ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΤΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΤΟΥΣ ΕΝΤΟΣ ΤΗΣ ΕΤΑΙΡΙΑΣ PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ, ραδιοφωνικές μεταδόσεις, που εδρεύει στη Θεσσαλονίκη, οδός Μητροπόλεως 49 με ΑΦΜ 082299420, χάριν συντομίας “SHOOK”
Εισαγωγή: Η προστασία των προσωπικών δεδομένων των φυσικών ή / και νομικών προσώπων, και ιδιαιτέρως η διαχείριση των προσωπικών δεδομένων των επισκεπτών του χώρου, των χρηστών του χώρου, των πελατών, και των υπαλλήλων της εταιρίας PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ αποτελεί πρωταρχικό μέλημα όλων των εταίρων και διαχειριστών αλλά και των συνδεόμενων με αυτήν εταιριών.
Στo πλαίσιο αυτό η εταιρία PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ υιοθετεί Κώδικα Δεοντολογίας για την Προστασία των Δικαιωμάτων του Ατόμου κατά την επεξεργασία των προσωπικών του δεδομένων εντός της σε συμμόρφωση με την εκάστοτε ισχύουσα εθνική και κοινοτική νομοθεσία και ενδεικτικά αλλά όχι περιοριστικά του νόμου 4624/2019 και του κανονισμού 2016/679.
O Παρών Κώδικας Δεοντολογίας αποτελεί διακήρυξη αρχών και αξιών όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα , λειτουργεί συμπληρωματικά προς την ισχύουσα νομοθεσία και είναι δεσμευτικός για όλα τα μέλη της εταιρίας PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ και τις συνδεόμενες με αυτή τρίτες εταιρίες, όπου και αν αυτά δραστηριοποιούνται. Ακολουθεί ο Κώδικας Δεοντολογίας για την Προστασία των Δικαιωμάτων του Ατόμου κατά την επεξεργασία των προσωπικών δεδομένων εντός της εταιρίας PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ.
Άρθρο 1: Αντικείμενο του Κώδικα.
Αντικείμενο του παρόντος Κώδικα είναι η κατοχύρωση ενός υψηλού και ομοιόμορφου επιπέδου προστασίας των προσωπικών δεδομένων των υποκειμένων εντός της εταιρίας PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ μέσω της εφαρμογής των εθνικών και κοινοτικών διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα.
Άρθρο 2: Νομική φύση του Κώδικα Δεοντολογίας- Σχέση Κώδικα με εθνική και κοινοτική νομοθεσία
2.1. Ο παρών Κώδικας Δεοντολογίας θέτει τις γενικές κατευθυντήριες γραμμές για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εντός της εταιρίας PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ είναι δεσμευτικός για όλες τις εταιρίες που συνδέονται ή με οποιονδήποτε τρόπο σχετίζονται με την PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ και τίθεται σε ισχύ με την ανάρτησή του στο επίσημο διαδικτυακό τόπο (site) της εκάστοτε εταιρίας από τη διοίκηση της και την υπογραφή του και έγκρισή του από το Διοικητικό Συμβούλιο ή εν προκειμένου από τον διαχειριστή αυτής.
2.2. Ο παρών Κώδικας εφαρμόζεται σε συνδυασμό με την εκάστοτε ισχύουσα εθνική (ν.4624/2019) και κοινοτική νομοθεσία (2016/679 ΕΕ) για την συλλογή, επεξεργασία και χρήση των προσωπικών δεδομένων όλων των υποκειμένων και ιδίως των προσωπικών δεδομένων των επισκεπτών, χρηστών διαδικτυακών υπηρεσιών, χρηστών των εγκαταστάσεων της εταιρίας και των διαδικτυακών υπηρεσιών και διαγωνισμών, πελατών, συνεργατών και υπαλλήλων της εταιρίας PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ.
2.3.Οι εταίροι και οι τυχόν εταιρίες που σχετίζονται με την εταιρία PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ θα επεξεργάζονται τα προσωπικά δεδομένα και θα κοινοποιούν αυτά στις δημόσιες Αρχές , όταν αυτό απαιτείται , σύμφωνα με τις προϋποθέσεις , που θέτει το εθνικό δίκαιο της χώρας , που διέπει την λειτουργία της εταιρίας, ιδίως δε τις Ελληνικές Αρχές (διοικητικές ή δικαστικές).
Άρθρο 3: Διαφάνεια της επεξεργασίας των Δεδομένων
Τα φυσικά ή νομικά πρόσωπα στα οποία αναφέρονται τα προσωπικά δεδομένα ( εφεξής « υποκείμενα των δεδομένων » ) θα πρέπει να έχουν πρόσβαση στις πληροφορίες που αφορούν στην επεξεργασία των προσωπικών τους δεδομένων μέσω κατάλληλων τρόπων ενημέρωσης , ιδίως δε μέσω της ανάρτησης του παρόντος Κώδικα στον επίσημο διαδικτυακό τόπο (site) της εταιρίας.
Άρθρο 4: Δικαίωμα ενημέρωσης και πρόσβασης του υποκειμένου
4.1. Τα υποκείμενα των δεδομένων έχουν δικαίωμα να γνωρίζουν εάν δεδομένα προσωπικού χαρακτήρα , που τα αφορούν , αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας .
4.2. Η ενημέρωση του υποκειμένου πρέπει να γίνει κατά τρόπο κατάλληλο και σαφή και να περιλαμβάνει τα εξής στοιχεία :
4.2.1 Την ταυτότητα και τα στοιχεία της επικοινωνίας του υπεύθυνου επεξεργασίας .
4.2.2 Τα προσωπικά του δεδομένα που αφορούν το υποκείμενο , καθώς και την προέλευσή τους .
4.2.3 Τον σκοπό και την πρόθεση της συλλογής , της επεξεργασίας και / ή της χρήσης των προσωπικών δεδομένων. Η πληροφορία θα πρέπει να περιλαμβάνει ποια δεδομένα καταγράφονται και / ή τυγχάνουν επεξεργασίας , για ποιο σκοπό και για ποιο χρονικό διάστημα .
4.2.4 Τον τρόπο επεξεργασίας και σε περίπτωση διαβίβασης σε τρίτους , τον αποδέκτη , τον σκοπό και τον βαθμό διαβίβασης .
4.2.5 Τις διατάξεις του παρόντος Κώδικα περί προστασίας των δικαιωμάτων του υποκειμένου.
4.3. Οι σχετικές πληροφορίες θα πρέπει να καθίστανται διαθέσιμες στον αιτούντα σε κατανοητή μορφή και εντός εύλογου χρονικού διαστήματος . Γενικά , οι σχετικές πληροφορίες θα δίνονται γραπτά .
4.4. Τα υποκείμενα των δεδομένων δύνανται να ζητούν και να λαμβάνουν από τον Υπεύθυνο επεξεργασίας , τις πληροφορίες που αφορούν στην επεξεργασία των προσωπικών τους δεδομένων και ο υπεύθυνος πρέπει να απαντά εγγράφως με τρόπο κατανοητό και χωρίς υπαίτια βραδύτητα , ή εντός ευλόγου χρονικού διαστήματος , όπως ορίζεται από την οικεία νομοθεσία .
4.5. Όπου αυτό είναι επιτρεπτό από την εθνική νομοθεσία , η εταιρία θα μπορεί να χρεώνει ένα ποσό για την παροχή των σχετικών πληροφοριών .
Άρθρο 5: Διαθεσιμότητα της ενημέρωσης
Η ενημέρωση θα πρέπει να είναι διαθέσιμη στα υποκείμενα , όταν τα δεδομένα συλλέγονται για πρώτη φορά και ακολούθως , οποτεδήποτε αυτή ζητηθεί .
Άρθρο 6: Προϋποθέσεις νόμιμης επεξεργασίας – Συγκατάθεση του υποκειμένου
6.1. Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το υποκείμενο δώσει την συγκατάθεσή του . Για την εφαρμογή του παρόντος άρθρου η συγκατάθεσή θα πρέπει να συγκεντρώνει τα εξής χαρακτηριστικά :
6.1.1 Η συγκατάθεση του υποκειμένου θα πρέπει να εξασφαλίζεται το αργότερο στην αρχή της συλλογής , επεξεργασίας ή χρήσης των προσωπικών δεδομένων .
6.1.2 Η συγκατάθεση θα πρέπει να δίνεται ρητά και οικειοθελώς , σε μορφή κατάλληλη κατά τις περιπτώσεις .
6.1.3 Η συγκατάθεση θα πρέπει να δίνεται κατόπιν σχετικής ενημέρωσης του υποκειμένου των δεδομένων σχετικά με τον σκοπό της επεξεργασίας , τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα , καθώς και την ταυτότητα του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία .
6.2. Η συγκατάθεση του υποκειμένου μπορεί να ανακληθεί οποτεδήποτε χωρίς αναδρομικό αποτέλεσμα .
6.3. Κατ ’ εξαίρεση επιτρέπεται η επεξεργασία των δεδομένων και χωρίς την συγκατάθεση του υποκειμένου όταν η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης , στην οποία το συμβαλλόμενο μέρος είναι υποκείμενο δεδομένων ή όταν υφίσταται σχετική νομική διάταξη του εθνικού ή κοινοτικού δικαίου , η οποία επιτρέπει την επεξεργασία προσωπικών δεδομένων χωρίς την προηγούμενη συγκατάθεση του υποκειμένου .
Άρθρο 7: Τα προσωπικά δεδομένα δεν θα χρησιμοποιούνται για άλλους σκοπούς , εκτός από αυτούς για τους οποίους αυτά είχαν αρχικά συλλεχθεί .
Άρθρο 8: Χρήση προσωπικών δεδομένων με σκοπό την προώθηση προϊόντων / υπηρεσιών
8.1. Η χρήση προσωπικών δεδομένων πελατών με σκοπό την προώθηση προϊόντων ή και υπηρεσιών θα γίνεται σύμφωνα με την εθνική και κοινοτική νομοθεσία .
8.2. Τα υποκείμενα των δεδομένων έχουν δικαίωμα να προβάλλουν αντιρρήσεις στην υπεύθυνη εταιρία για τη χρήση των δεδομένων τους με σκοπό την εμπορική προώθηση προϊόντων και υπηρεσιών της .
8.3.Η εταιρία και όλες οι συνδεδεμένες με αυτή εταιρίες έχουν την υποχρέωση να ενημερώνουν τα υποκείμενα ως προς το δικαίωμά τους αυτό , καθώς και ως προς τον τρόπο και την διαδικασία άσκησης του δικαιώματος αυτού , εφόσον αυτό τους ζητηθεί από το Υποκείμενο .
Άρθρο 9: Ειδικές Κατηγορίες Προσωπικών Δεδομένων
Η συλλογή και η επεξεργασία ειδικών δεδομένων προσωπικού χαρακτήρα απαγορεύεται , εκτός εάν το υποκείμενο έχει δώσει ρητή συγκατάθεση προς τούτο ή εάν η επεξεργασία επιτρέπεται χωρίς την συγκατάθεση του υποκειμένου βάσει της ισχύουσας εθνικής ή κοινοτικής νομοθεσίας . Επίσης , επιτρέπεται η επεξεργασία των ειδικών προσωπικών δεδομένων σε περίπτωση που η επεξεργασία αυτή είναι απαραίτητη για την εκπλήρωση υποχρεώσεων της υπεύθυνης εταιρίας , που πηγάζουν από το εργατικό δίκαιο , υπό την προϋπόθεση ότι αυτό επιτρέπεται από το εκάστοτε ισχύον εθνικό δίκαιο .
Άρθρο 10: Αρχές ως προς την Ποιότητα Δεδομένων
10.1. Η εταιρία και όλες οι συνδεδεμένες με αυτή εταιρίες θα πρέπει να λαμβάνουν όλα τα κατάλληλα μέτρα ώστε τα προσωπικά δεδομένα , που επεξεργάζονται να είναι ακριβή και , όταν αυτό είναι απαραίτητο , να επικαιροποιούνται ( ποιότητα δεδομένων ).
10.2. Η εταιρία αλλά και όλες οι εταιρίες που συνδέονται με αυτή θα πρέπει , επίσης , να λαμβάνουν όλα τα απαραίτητα μέτρα , ώστε δεδομένα ανακριβή ή ελλιπή να διαγράφονται ή να διορθώνονται .
10.3. Τα προσωπικά δεδομένα θα πρέπει να είναι κατάλληλα , συναφή προς το θέμα και όχι υπερβολικά σε σχέση με το συγκεκριμένο σκοπό για τον οποίο χρησιμοποιούνται ( οικονομία δεδομένων ). Η εταιρία εφαρμόζει σε κάθε περίπτωση αυστηρά πρωτόκολλο αυστηρώς περιορισμένων προσωπικών δεδομένων στις φόρμες επικοινωνίας της με (ονομα, τηλέφωνο και ημερομηνία γέννησης) για να αποφεύγονται εκτεταμένες χρήσεις δεδομένων και επεξεργασία δεδομένων ανηλίκων χωρίς αιτία. Τα δεδομένα θα πρέπει να Συλλέγονται μόνο για καθορισμένους , σαφείς και νόμιμους σκοπούς κατόπιν σχετικού αιτήματος και η επεξεργασία τους να συμβιβάζεται για τους σκοπούς αυτούς ( μετρημένη χρήση δεδομένων ).
10.4. Τα προσωπικά δεδομένα θα πρέπει να διατηρούνται από την εταιρία σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων μόνο κατά την διάρκεια της περιόδου που απαιτείται για την επίτευξη των σκοπών της συλλογής και της περαιτέρω επεξεργασίας . Μετά το πέρας της Περιόδου αυτής η εταιρία θα τα καταστρέφει ή θα διαγράφονται τα στοιχεία αναγνώρισης των υποκειμένων των δεδομένων ( ανωνυμοποίηση ).
Η ανωνυμοποίηση θα πρέπει να διενεργείται με τέτοιο τρόπο , ώστε η πραγματική ταυτότητα των υποκειμένων να μην μπορεί να αποκαλυφθεί , ή να μπορεί να αποκαλυφθεί μόνο με δυσανάλογα μεγάλη προσπάθεια .
Άρθρο 11: Αρχείο Δεδομένων
Οι αρχές της επεξεργασίας των δεδομένων, ιδιαίτερα της οικονομίας των δεδομένων και της μετρημένης χρήσης τους , θα πρέπει να λαμβάνονται υπόψη όταν δημιουργούνται αρχεία δεδομένων . Για τη δημιουργία των εν λόγω αρχείων θα τηρούνται τα οριζόμενα στην εθνική νομοθεσία . Στη προκειμένη περίπτωση θα τηρείται αρχείο το οποίο θα είναι πλήρως εναρμονισμένο με τις αρχές του κανονισμού (2016/679 ΕΕ).
Άρθρο 12: Διαβίβαση δεδομένων σε τρίτα μέρη
Η διαβίβαση των προσωπικών δεδομένων σε τρίτο μέρος απαγορεύεται , εκτός εάν το υποκείμενο των δεδομένων έχει δώσει ρητώς τη συγκατάθεσή του ή εάν η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου και της υπεύθυνης εταιρίας ή σε όσες περιπτώσεις η εθνική νομοθεσία επιτρέπει τη διαβίβαση προσωπικών δεδομένων .
Άρθρο 13: Υπευθυνότητα
Όταν διαβιβάζονται προσωπικά δεδομένα σε τρίτο μέρος που δεν είναι δημόσια Αρχή , η εταιρία , η οποία αρχικά είχε συλλέξει τα προσωπικά δεδομένα θα πρέπει να συνεργάζεται με το τρίτο μέρος , ώστε να διασφαλίζεται ότι τα προσωπικά δεδομένα υφίστανται νόμιμη επεξεργασία .
Ενδεικτικά ο Υπεύθυνος Επεξεργασίας θα πρέπει να διασφαλίζει ότι παρέχονται τα απαραίτητα μέτρα για την προστασία και την ασφάλεια των δεδομένων ή θα συζητηθούν και θα συμφωνηθούν με τον παραλήπτη . Όπου συνάπτονται συμφωνίες με οργανισμούς σε χώρες χωρίς επαρκή επίπεδα προστασίας των δεδομένων , πρέπει να εξασφαλιστούν ικανοποιητικές εγγυήσεις όσον αφορά στην προστασία των δεδομένων του ατόμου και την άσκηση των δικαιωμάτων που συνδέονται με αυτά , χωρίς επιφύλαξη ως προς την προγενέστερη άδεια με την αρμόδια αρχή , κατ ‘ απαίτηση της εθνικής νομοθεσίας .
Άρθρο 14: Επεξεργασία Δεδομένων από Υπεργολάβους
14.1. Όταν η εταιρία χρησιμοποιεί τις υπηρεσίες ενός υπερεργολάβου ή εκτελούντος την επεξεργασία , η σχετική έγγραφη σύμβαση θα πρέπει να περιλαμβάνει όρους αναφορικά με την νόμιμη επεξεργασία των προσωπικών δεδομένων από τον υπερεργολάβο . Οι εν λόγω όροι θα περιλαμβάνουν τις οδηγίες της εταιρίας ( του μέρους που ελέγχει τα δεδομένα ) σχετικά με τον τύπο και τον τρόπο της επεξεργασίας των δεδομένων , τον σκοπό της επεξεργασίας και τα τεχνικά και οργανωτικά μέτρα που απαιτούνται για την προστασία των δεδομένων .
14.2.Ο υπεργολάβος δεν θα πρέπει να χρησιμοποιεί τα προσωπικά δεδομένα , που του κοινοποιούνται δυνάμει της συμβατικής του σχέσης με την υπεύθυνη εταιρία , χωρίς την προηγούμενη συγκατάθεσή της .
14.3.Το κριτήριο της ασφάλειας των προσωπικών δεδομένων και της νόμιμης επεξεργασίας αυτών θα πρέπει να λαμβάνεται υπόψη για την επιλογή των υπεργολάβων .
Άρθρο 15: Έλεγχοι του επιπέδου της προστασίας
Εσωτερικοί έλεγχοι στις διαδικασίες επεξεργασίας των προσωπικών δεδομένων , θα πρέπει να διεξάγονται τακτικά , ώστε να επανεξετάζεται η αποτελεσματικότητα των εφαρμοζόμενων μέτρων για την προστασία των προσωπικών δεδομένων . Τέτοιοι έλεγχοι θα διεξάγονται εσωτερικά από τον Υπεύθυνο για την Ασφάλεια των Προσωπικών Δεδομένων , ή από άλλες οργανωτικές μονάδες της κάθε εταιρίες , οι οποίες είναι υπεύθυνες για τον εσωτερικό έλεγχο .
Άρθρο 16: Τεχνικά , Οργανωτικά Μέτρα και Μέτρα σχετιζόμενα με τους υπαλλήλους
16.1. Με την έναρξη της εργασιακής τους σχέσης και στη συνέχεια κάθε χρόνο , οι εργαζόμενοι των εταιριών , θα υπογράφουν σχετικές εγκυκλίους εμπιστευτικότητας και τήρησης των διαδικασιών της εταιρίας που αφορούν στην προστασία των προσωπικών δεδομένων των επισκεπτών των εγκαταστάσεων, χρηστών διαδικτύου, πελατών και των υπαλλήλων.
16.2. Οι εσωτερικές διαδικασίες της κάθε εταιρίας θα πρέπει να περιλαμβάνουν κατάλληλα οργανωτικά και τεχνικά μέτρα, ώστε να εξασφαλίζεται η νόμιμη επεξεργασία των προσωπικών δεδομένων των υποκειμένων . Κατ ’ ελάχιστον , οι διαδικασίες αυτές θα πρέπει να εξασφαλίζουν τα εξής :
16.2.1. Να εμποδίζουν μη εξουσιοδοτημένα άτομα από το να αποκτούν πρόσβαση στα συστήματα επεξεργασίας δεδομένων μέσω των οποίων τα προσωπικά δεδομένα επεξεργάζονται ή χρησιμοποιούνται ( έλεγχος φυσικής πρόσβασης ).
16.2.2. Να εξασφαλίζουν ότι τα συστήματα επεξεργασίας δεδομένων δεν μπορούν να χρησιμοποιηθούν από μη εξουσιοδοτημένα πρόσωπα ( έλεγχος άρνησης πρόσβασης ).
16.2.3. Να εξασφαλίζουν ότι τα πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν τα συστήματα επεξεργασίας δεδομένων έχουν πρόσβαση αποκλειστικά και μόνο στα δεδομένα για τα οποία έχουν εξουσιοδοτηθεί και ότι τα προσωπικά δεδομένα δεν μπορούν , κατά τη διάρκεια της επεξεργασίας ή της χρήσης ή μετά από την καταγραφή τους , να διαβαστούν , να αντιγραφούν , να αλλαχθούν ή να μετατοπιστούν από μη εξουσιοδοτημένα πρόσωπα ( έλεγχος πρόσβασης στα δεδομένα ).
16.2.4. Να εξασφαλίζουν ότι , κατά τη διάρκεια της ηλεκτρονικής διαβίβασης ή κατά τη διάρκεια της μεταφοράς ή της καταγραφής των δεδομένων , τα προσωπικά δεδομένα δεν μπορούν να διαβαστούν , αντιγραφούν , αλλαχθούν ή μετατοπιστούν από μη εξουσιοδοτημένο πρόσωπο , και ότι θα είναι δυνατό να εξεταστεί και εξακριβωθεί εάν προσωπικά δεδομένα έχουν μεταβιβαστεί μέσω εξοπλισμού μετάδοσης στοιχείων ( έλεγχος διαβίβασης δεδομένων ).
16.2.5. Να διασφαλίζουν ότι θα είναι δυνατό αναδρομικά να εξεταστεί και να εξακριβωθεί εάν και από ποιόν εισήχθησαν προσωπικά δεδομένα στα συστήματα επεξεργασίας δεδομένων , καθώς και εάν αυτά αλλάχθηκαν ή μετατοπίστηκαν ( έλεγχος εισόδου στα δεδομένα ).
16.2.6. Να διασφαλίζουν ότι τα προσωπικά δεδομένα που επεξεργάζονται οι υπεργολάβοι τυγχάνουν επεξεργασίας μόνο σύμφωνα με τις οδηγίες του εργοδότη ( έλεγχος υπεργολάβων ).
16.2.7. Να εξασφαλίζουν ότι τα προσωπικά δεδομένα προστατεύονται από τυχαία καταστροφή ή απώλεια ( έλεγχος διαθεσιμότητας ).
Άρθρο 17: Δικαιώματα των υποκειμένων
Κάθε υποκείμενο έχει το δικαίωμα να υποβάλλει ερωτήματα αναφορικά με την εφαρμογή του παρόντος Κώδικα Δεοντολογίας στην υπεύθυνη εταιρία και τα δικαιώματα που αναφέρονται στον παρόντα κώδικα .
Άρθρο 18: Δικαίωμα αντίρρησης / Δικαίωμα διαγραφής των δεδομένων
18.1. Το υποκείμενο των δεδομένων έχει δικαίωμα να προβάλλει οποτεδήποτε αντιρρήσεις στην υπεύθυνη εταιρία για την επεξεργασία των προσωπικών δεδομένων που το αφορούν .
18.2. Οι αντιρρήσεις θα απευθύνονται στον Υπεύθυνο για την Ασφάλεια των Προσωπικών Δεδομένων ή στην υπεύθυνη εταιρία ή στο ειδικώς εξουσιοδοτημένο πρόσωπο και θα πρέπει να περιέχουν αίτημα για συγκεκριμένη ενέργεια , όπως διόρθωση , προσωρινή μη χρησιμοποίηση , δέσμευση , μη διαβίβαση , διαγραφή .
18.3. Το δικαίωμα αντίρρησης ισχύει ακόμα και εάν το υποκείμενο παρείχε σε προηγούμενη περίπτωση τη συγκατάθεσή του για την χρήση των δεδομένων του
18.4. Νόμιμα αιτήματα διαγραφής των προσωπικών δεδομένων θα ικανοποιούνται άμεσα . Τα αιτήματα αυτά είναι κυρίως νόμιμα σε περίπτωση που δεν υφίσταται πλέον νόμιμη αιτία επεξεργασίας των δεδομένων αυτών . Οι περίοδοι διατήρησης των προσωπικών δεδομένων , που τίθενται από την εθνική νομοθεσία και υιοθετούνται από κάθε εταιρία , θα τηρούνται .
Άρθρο 19: Δικαίωμα Διόρθωσης
Το υποκείμενο των δεδομένων θα μπορεί , οποιαδήποτε στιγμή , να αιτείται γραπτώς την διόρθωση των προσωπικών του δεδομένων από την υπεύθυνη εταιρία στο μέτρο που αυτά δεν είναι πλήρη ή / και λανθασμένα .
Άρθρο 20: Δικαίωμα παροχής διευκρινήσεων και σχολιασμού
20.1. Εάν υποκείμενο δεδομένων ισχυρίζεται ότι τα δικαιώματά του έχουν παραβιαστεί υπό την μορφή της παράνομης επεξεργασίας των δεδομένων του και ειδικότερα σε περίπτωση παραβίασης του Κώδικα Δεοντολογίας , η εταιρία θα παρέχει διευκρινήσεις επί της υπόθεσης χωρίς υπαίτια καθυστέρηση και εντός την ορισμένη από την ισχύουσα νομοθεσία προθεσμία . Στην περίπτωση αυτή θα συνεργάζονται στενά και θα δοθεί αμοιβαία πρόσβαση σε όλες τις πληροφορίες αναγκαίες για την εξακρίβωση των γεγονότων της υπόθεσης .
20.2. Το τμήμα ασφάλειας πληροφοριών της εταιρίας που σχετίζεται πιο άμεσα με την σχετική υπόθεση θα πρέπει να συντονίζει την επικοινωνία με το υποκείμενο .
Άρθρο 21: Άσκηση δικαιωμάτων των Υποκειμένων
Τα υποκείμενα των προσωπικών δεδομένων δεν θα πρέπει να υφίστανται διακριτική μεταχείριση , εξαιτίας του γεγονότος ότι έκαναν χρήση των προαναφερομένων δικαιωμάτων .
Άρθρο 22: Ευθύνη επεξεργασίας Δεδομένων
22.1. Η εταιρία θα πρέπει να εγγυάται την συμμόρφωσή της με την νομοθεσία περί προστασίας των προσωπικών δεδομένων και με τις ρυθμίσεις του παρόντος Κώδικα Δεοντολογίας .
22.2. Ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων της εταιρίας , θα πρέπει να ενημερώνεται , χωρίς υπαίτια καθυστέρηση , για κάθε παραβίαση (συμπεριλαμβανομένης υποψίας παραβίασης ) της νομοθεσίας περί προστασίας προσωπικών δεδομένων καθώς και του παρόντος Κώδικα Δεοντολογίας .
Σε περίπτωση συμβάντων που αφορούν περισσότερες από μία εταιρίες, ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων θα πρέπει επίσης να ενημερώνεται .
22.3. Ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων της εταιρίας , θα πρέπει να ενημερώνεται για τυχόν αλλαγές του νομοθετικού πλαισίου , που αφορά στην προστασία των προσωπικών δεδομένων .
22.4. Οι Υπεύθυνοι για την Ασφάλεια των Προσωπικών Δεδομένων , της εταιρίας θα πρέπει να συντονίζουν τις ενέργειές τους μέσα στα πλαίσια της πολιτικής διασφάλισης των προσωπικών δεδομένων των συνδεόμενων με την εταιρία τρίτων εταιριών.
Άρθρο 23: Συντονισμός από τον Υπεύθυνο Ασφάλειας Προσωπικών Δεδομένων
23.1. Ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων της εταιρίας PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ θα συντονίζει τις ενέργειες των Υπεύθυνων για την Ασφάλεια των Προσωπικών Δεδομένων, σε περιπτώσεις γενικευμένων περιστατικών παραβίασης των ρυθμίσεων περί προστασίας των προσωπικών δεδομένων , τα οποία θέτουν σε κίνδυνο τον σκοπό του παρόντος κώδικα δεοντολογίας .
23.2. Καθήκον του Υπεύθυνου για την Ασφάλεια των Προσωπικών Δεδομένων είναι να αναπτύσσει και να εξελίσσει την πολιτική της εταιρίας PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ σε ζητήματα προστασίας των προσωπικών δεδομένων . Προκειμένου να επιτευχθεί ο σκοπός αυτός οι Υπεύθυνοι για την Ασφάλεια των Προσωπικών Δεδομένων θα πρέπει να συνεργάζονται .
Άρθρο 24: Εποπτικά καθήκοντα και καθήκοντα διαβούλευσης
24.1. Ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων της εταιρίας PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ είναι αρμόδιος για την καταγραφή της συμμόρφωσης με το εθνικό και διεθνές δίκαιο σχετικά με την προστασία των προσωπικών δεδομένων , καθώς και με τον παρόντα Κώδικα Δεοντολογίας.
24.2. Οι Υπεύθυνοι για την Ασφάλεια των Προσωπικών Δεδομένων , θα εξετάζουν επί τόπου όλες τις μεθόδους επεξεργασίας , οι οποίες περιλαμβάνουν την χρήση προσωπικών δεδομένων .
Άρθρο 25: Εκπαίδευση Εργαζομένων και δέσμευση
25.1 Η εταιρία PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ φροντίζει μέσω κατάλληλων προγραμμάτων και διαδικασιών για την εκπαίδευση των υπαλλήλων τους ως προς την νόμιμη επεξεργασία των προσωπικών δεδομένων , καθώς και ως προς την εφαρμογή του παρόντος Κώδικα Δεοντολογίας .
Άρθρο 26: Συνεργασία με τις Εποπτικές Αρχές
26.1 Η εταιρία PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ συμφωνεί να απαντά στα αιτήματα και να συμμορφώνεται προς τις υποδείξεις των αρμόδιων εποπτικών αρχών , οι οποίες είναι αρμόδιες για την εποπτεία της εφαρμογής της εθνικής νομοθεσίας περί προστασίας των δεδομένων προσωπικού χαρακτήρα.
Άρθρο 27: Προστασία προσωπικών δεδομένων ανηλίκων
27.1 Η εταιρία θα ακολουθεί κατά γράμμα το άρθρο 8 του Κανονισμού σε συνδυασμό με το άρθρο 21 του ν. 4624/2019 (ΦΕΚ Α 137/29.8.2019) αναφορικά με τις «Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών».
27.2 Η εταιρία, στην περίπτωση που νομική βάση της επεξεργασίας είναι η συγκατάθεση του υποκειμένου των δεδομένων (άρθρο 6 παρ. 1α), θα ακολουθεί συγκεκριμένο πρωτόκολλο ασφαλείας των προσωπικών δεδομένων του ανηλίκου.
27.3 Σύμφωνα με το πρωτόκολλο αυτό η συγκατάθεση για τη προστασία των προσωπικών δεδομένων που παρέχεται από παιδί για την επεξεργασία προσωπικών του δεδομένων, στο πλαίσιο προσφοράς υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε αυτό, είναι έγκυρη εάν το παιδί είναι τουλάχιστον 15 χρονών συμπληρωμένα. Εάν το παιδί είναι ηλικίας κάτω των 15 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού και μόνο στο πλαίσιο των υπηρεσιών της Κοινωνίας της Πληροφορίας.
Άρθρο 28: Επαλήθευση συγκατάθεσης από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.
28.1 Στα πλαίσια του προηγούμενου άρθρου και προκειμένου η εταιρία να μπορεί να επαληθεύσει και να αποδεικνύει τη χορηγηθείσα συγκατάθεση ή την εκ των υστέρων έγκριση από το πρόσωπο που έχει τη γονική μέρμνα του παιδιού, θα πρέπει να υιοθετήσει αυστηρά το πρωτόκολλο επαλήθευσης συγκατάθεσης κατά τις επιταγές της εθνικής νομοθεσίας σε συνδυασμό με τις αντίστοιχες του Γενικού Κανονισμού.
28.2 Μολονότι, η ερμηνεία του κανονισμού δεν απαιτεί την εκ των προτέρων συγκατάθεση (συναίνεση) του γονέα για την επεξεργασία των προσωπικών δεδομένων του παιδιού, στα πλαίσια των υπηρεσιών της κοινωνίας της πληροφορίας, αρκούμενη και στην εκ των υστέρων συγκατάθεση, δηλ. στην έγκρισή του, κατά παρέκκλιση από τον γενικό κανόνα της συναίνεσης, που θα εξυπηρετούσε περισσότερο τον σκοπό της προστασίας των προσωπικών δεδομένων ανηλίκων, η εταιρία θα πρέπει να επαληθεύει τέτοιου είδους συγκατάθεση εκ των προτέρων, για να λαμβάνει γνώση και να συγκατατίθεται και το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.
28.3 Περαιτέρω, σύμφωνα με την παρ. 2 του άρθρου 8 του Κανονισμού, ο υπεύθυνος επεξεργασίας και κατ’ επέκταση η εταιρία οφείλει να καταβάλει εύλογες προσπάθειες για να επαληθεύσει στις περιπτώσεις αυτές ότι η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.
28.4 Αντικείμενο της επαλήθευσης αυτής, η οποία λογικά ακολουθεί την επαλήθευση της ηλικίας του ανηλίκου, δεν είναι μόνο το γεγονός της συγκατάθεσης, αλλά και αν ο συγκατατεθείς είναι ο φορέας της άσκησης της γονικής μέριμνας.
28.5 Κατά την ερμηνεία της έκφρασης «εύλογες προσπάθειες», σε συνδυασμό με την έκφραση «λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία», η εταιρία θα πρέπει να εφαρμόζει την γενική αρχή της αναλογικότητας. Το εύλογο των προσπαθειών θα κριθεί κατά περίπτωση, σε σχέση με το μέγεθος της διακινδύνευσης των προσωπικών δεδομένων του ανηλίκου που εξαρτάται από το είδος της επεξεργασίας (σκοπός), το είδος των επεξεργαζόμενων δεδομένων, τις χρήσεις των δεδομένων (κοινολόγηση ή μη των δεδομένων).
28.6 Η εκπλήρωση της υποχρέωσης αυτής της εταιρίας και συγκεκριμένα το εύλογο των προσπαθειών του για επαλήθευση της συγκατάθεσης του ασκούντος τη γονική μέριμνα αποτελεί εξειδίκευση της υποχρέωσης της εταιρίας, που απορρέει από το άρθρο 7 του Κανονισμού, να «είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα», και της υποχρέωσης για λογοδοσία γενικότερα.
28.7 Ενδεικτικά η γονική συγκατάθεση μπορεί να παρέχεται π.χ. με ηλεκτρονικό ταχυδρομείο (e-mail), με αποστολή ΥΔ μέσω της εφαρμογής gov.gr που πιστοποιεί τη ψηφιακή υπογραφή, επαληθευόμενο με μεταγενέστερη αλληλογραφία ή τηλεφωνική επικοινωνία, ή με σαρωμένο έγγραφο ή με τηλεδιάσκεψη ή σε περίπτωση που τα προσωπικά δεδομένα θα κοινοποιούνται και σε τρίτους να αποστέλλεται ταχυδρομικά στους γονείς προς υπογραφή έγγραφο συγκατάθεσης, να ζητείται σχετικό ηλεκτρονικό μήνυμα με ηλεκτρονική υπογραφή των γονέων κ.ά.
Άρθρο 29: Ορισμοί
PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ:
Η εταιρία PLAN ΡΑΔΙΟΤΗΛΕΟΠΤΙΚΗ ΟΕ και όλες οι εταιρίες στις οποίες η ως άνω συμμετέχει άμεσα ή έμμεσα σε ποσοστό πάνω από 50% ή κάθε εταιρεία την οποία ελέγχει ή μέλη της είναι μέλη άλλης εταιρίας με ποσοστό άνω του 50%. Υπεύθυνη ή Αρμόδια εταιρία : Η εταιρία καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων των πελατών , των υπαλλήλων της , καθώς και των μελών της .
Υποκείμενο Δεδομένων : Τα φυσικά ή νομικά πρόσωπα , στα οποία αναφέρονται τα δεδομένα και των οποίων η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί από την υπεύθυνη εταιρία στην οποία το υποκείμενο είναι πελάτης ή υπάλληλος ή μέλος .
Προσωπικά δεδομένα : Κάθε πληροφορία , που απευθύνεται στο υποκείμενο των δεδομένων . Δεν λογίζονται ως προσωπικά δεδομένα τα στατιστικής φύσης συγκεντρωτικά στοιχεία , από τα οποία δεν μπορούν να προσδιοριστούν πια τα υποκείμενα των δεδομένων .
Ευαίσθητα ή ειδικά προσωπικά δεδομένα : Κάθε δεδομένο που αποκαλύπτει φυλετική ή εθνική καταγωγή , πολιτικές απόψεις , θρησκευτικές ή φιλοσοφικές πεποιθήσεις , συμμετοχή σε συνδικαλιστικά όργανα ή που αφορά στην υγεία ή στην ερωτική ζωή , στα σχετικά με ποινικές διώξεις ή καταδίκες , καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων .
Επεξεργασία Προσωπικών Δεδομένων ή επεξεργασία : Κάθε εργασία ή σειρά εργασιών που πραγματοποιείται στα προσωπικά δεδομένα , όπως συλλογή , καταχώριση , οργάνωση , διατήρηση , αποθήκευση , τροποποίηση , εξαγωγή , χρήση , διαβίβαση , διάδοση ή κάθε άλλης μορφής διάθεση , συσχέτιση ή συνδυασμός , διασύνδεση , δέσμευση , διαγραφή , καταστροφή .
Συγκατάθεση του υποκειμένου των δεδομένων : Κάθε ελεύθερη , ρητή και ειδική δήλωση βουλήσεως , που εκφράζεται με τρόπο σαφή , και εν πλήρη επίγνωση , και με την οποία , το υποκείμενο των δεδομένων , αφού προηγουμένως ενημερωθεί , δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν . Η ενημέρωση αυτή περιλαμβάνει πληροφόρηση τουλάχιστον για τον σκοπό της επεξεργασίας , τα δεδομένα ή τις κατηγορίες δεδομένων που αφορά η επεξεργασία , τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα , καθώς και το όνομα , την επωνυμία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του . Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε , χωρίς αναδρομικό αποτέλεσμα .
Αποδέκτης των δεδομένων : Κάθε φυσικό ή νομικό πρόσωπο , δημόσια Αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός , στον οποίο ανακοινώνονται τα δεδομένα , ανεξαρτήτως εάν πρόκειται για τρίτο μέρος ή όχι .
Τρίτος : Κάθε φυσικό ή νομικό πρόσωπο , δημόσια Αρχή ή υπηρεσία ή οποιοσδήποτε άλλος Οργανισμός , εκτός από το υποκείμενο των δεδομένων , ο Υπεύθυνος επεξεργασίας και τα πρόσωπα , που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα , εφόσον αυτά ενεργούν υπό την εποπτεία ή εκ μέρος του Υπεύθυνου Επεξεργασίας.
Υπεύθυνος επεξεργασίας : οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα , όπως φυσικό ή νομικό πρόσωπο , δημόσια αρχή ή υπηρεσία . Όταν ο σκοπός και ο τρόπος της επεξεργασίας καθορίζονται με διατάξεις νόμου ή κανονιστικές διατάξεις εθνικού ή κοινοτικού δικαίου , ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια βάσει των οποίων γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή το κοινοτικό δίκαιο .
Εκτελών την επεξεργασία : οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας , όπως φυσικό ή νομικό πρόσωπο , δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός .
Αρχείο δεδομένων προσωπικού χαρακτήρα : (“ αρχείο ”), κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα , τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια .
Υπηρεσία στα πλαίσια της Κοινωνίας της Πληροφορίας: Σύμφωνα με το άρθρο 4 αρ. 25 του Κανονισμού, σε συνδυασμό με το άρθρο 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, υπηρεσία κοινωνίας των πληροφοριών είναι κάθε υπηρεσία που συνήθως παρέχεται έναντι αμοιβής, με ηλεκτρονικά μέσα εξ αποστάσεως και κατόπιν συγκεκριμένης παραγγελίας ενός αποδέκτη υπηρεσιών. Ως «εξ αποστάσεως» υπηρεσία νοείται εκείνη που παρέχεται χωρίς τα συμβαλλόμενα μέρη να είναι ταυτόχρονα παρόντα. Υπηρεσία «με ηλεκτρονικά μέσα» είναι εκείνη που παρέχεται στην αφετηρία της και γίνεται αποδεκτή στον προορισμό της μέσω εξοπλισμών ηλεκτρονικής επεξεργασίας (συμπεριλαμβανομένης της ψηφιακής συμπίεσης) ή αποθήκευσης δεδομένων και η οποία παρέχεται, διαβιβάζεται και λαμβάνεται εξ ολοκλήρου μέσω τηλεφωνικής γραμμής, ραδιοφωνικής μετάδοσης, οπτικής ίνας ή με άλλα ηλεκτρομαγνητικά μέσα. Η υπηρεσία «κατόπιν συγκεκριμένης παραγγελίας ενός αποδέκτη υπηρεσιών» αφορά υπηρεσία που παρέχεται με μετάδοση δεδομένων κατόπιν συγκεκριμένης παραγγελίας. Οι υπηρεσίες κοινωνίας των πληροφοριών που προσφέρονται απευθείας σε παιδί, στις οποίες αναφέρεται το άρθρο 8 του Κανονισμού, είναι υπηρεσίες που είτε απευθύνονται σε παιδιά από τη φύση τους (παιδικές ιστοσελίδες) είτε είναι γενικού ενδιαφέροντος, αλλά οι ιδιοκτήτες τους αποκτούν γνώση πχ. με λήψη της ηλικίας του επισκέπτη ότι στη συγκεκριμένη περίπτωση η υπηρεσία χρησιμοποιείται από παιδί. Συνεπώς δεν εμπίπτει στο πεδίο εφαρμογής της διάταξης του άρθρου 8 του Κανονισμού οποιαδήποτε άλλη περίπτωση που γίνεται επεξεργασία προσωπικών δεδομένων παιδιών, π.χ. όταν η συλλογή δεδομένων γίνεται εκτός διαδικτύου σε ένα μη επιγραμμικό εμπορικό κατάστημα.