Privacy Policy

ΠΟΛΙΤΙΚΗ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

1. Αντικείμενο και στόχοι

H εταιρεία «VASSILIS ALEXANDROS POUTETSIS ARCHITECTS AND ASSOCIATES IKE», με δ.τ. «VAP ARCHITECTS», που εδρεύει στο Χαλάνδρι Αττικής, οδός Τομπάζη 24, Τ.Κ. 15232, όπως εκπροσωπείται νόμιμα (εφεξής η «Εταιρία») στα πλαίσια της επαγγελματικής της δραστηριόητας θεσπίζει την παρούσα πολιτική Ιδιωτικότητας και Προστασίας Προσωπικών Δεδομένων (εφεξής η «Πολιτική»), και διαθέτει τα απαραίτητα οργανωτικά μέτρα και τεχνικά μέτρα ασφαλείας και κανόνες που αφορούν και διασφαλίζουν την προστασία και ασφάλεια των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού τους χαρακτήρα και την άσκηση των δικαιωμάτων των φυσικών προσώπων αναφορικά με την επεξεργασία των δεδομένων προσωπικού τους χαρακτήρα, σύμφωνα με τον Εϋρωπαϊκό Κανονισμό 2016/679 (εφεξής «GDPR»), τον ελληνικό νόμο 4624/2019, όπως ισχύει, την εκάστοτε εφαρμοζόμενη νομοθεσία και τις αποφάσεις και υποδείξεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής η «ΑΠΔΠΧ»).

Η Πολιτική, οι κανόνες και τα οργανωτικά και τεχνικά μέτρα που λαμβάνει η Εταιρεία για την εφαρμογή του υφιστάμενου νομικού πλαισίου αφορά τους υφιστάμενους, υποψήφιους ή πρώην εργαζόμενους, συνεργάτες-ελεύθερους επαγγελματίες, πελάτες, προμηθευτές και γενικά συνεργαζόμενους τρίτους της Εταιρείας ή οποιαδήποτε άλλο φυσικό πρόσωπο τα δεδομένα προσωπικού χαρακτήρα του οποίου έτυχαν, τυγχάνουν ή θα τύχουν αντικείμενο επεξεργασίας με βάση τον GDPR από την Εταιρεία είτε ως υπεύθυνη επεξεργασίας είτε ως εκτελούσα επεξεργασίας προσωπικών δεδομένων.

1. Ποια είναι τα δεδομένα προσωπικού χαρακτήρα και τι σημαίνει ότι τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο επεξεργασίας από την Εταιρεία

Δεδομένα προσωπικού χαρακτήτα είναι κάθε πληροφορία που ταυτοποιεί ή μπορεί να ταυτοποιήσει φυσικό πρόσωπο (εφεξής «υποκείμενο δεδομένων») και το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί άμεσα ή έμμεσα. Στα δεδομένα προσωπικού χαρακτήρα ανήκουν ανάμεσα στα άλλα το ονοματεπώνυμο, η διεύθυνση κατοικίας, το κινητό ή σταθερό τηλέφωνο, η ηλικία, το επάγγελμα, o αριθμός ΤΕΕ του αρχιτέκτονα ή πολιτικού μηχανικού ή τοπογράφου, το φύλο, η εθνικότητα, το προσωπικό e-mail, ο αριθμός δελτίου ταυτότητας, ο ΑΦΜ, ο ΑΜΚΑ, ο ατομικός αριθμός τραπεζικού λογαριασμού, το βιογραφικό, η οικογενειακή κατάσταση, η οικονομική κατάσταση και οποιαδήποτε άλλη πληροφορία επιτρέπει τη μοναδική ταυτοποίηση ενός φυσικού προσώπου κατά τις διατάξεις τουGDPR, του νόμου 4624/2019, της εκάστοτε ισχύουσας ελληνικής νομοθεσίας, καθώς και των αποφάσεων της ΑΠΔΠΧ.

Τα δεδομένα προσωπικού χαρακτήρα διακρίνονται σε δύο κατηγορίες: στα δεδομένα προσωπικού χαρακτήρα (απλά) και τα δεδομένα προσωπικού χαρακτήρα ειδικής κατηγορίας (πρώην ευαίσθητα). Δεδομένα προσωπικού χαρακτήρα που δεν ανήκουν στην ειδική κατηγορία δεδομένων προσωπικού χαρακτήρα ανήκουν στα (απλά) δεδομένα προσωπικού χαρακτήρα. 

Δεδομένα προσωπικού χαρακτήρα ειδικής κατηγορίας (πρώην ευαίσθητα) είναι τα δεδομένα υγείας, δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή η συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτη ταυτοποίηση προσώπου. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα ειδικής κατηγορίας εκτός των περιπτώσεων των εξαιρέσεων του άρθρου 9 παρ. 2 του GDPR. 

Επεξεργασία των δεδομένων προσωπικού χαρακτήρα σημαίνει κάθε πράξη ή σειρά πράξεων που πραγματοποιείται από την Εταιρεία ως υπεύθυνη επεξεργασίας προσωπικών δεδομένων με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, ο περιορισμός, η διαγραφή, η καταστροφή, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός αναφορικά με δεδομένα προσωπικού χαρακτήρα των υποκειμένων δεδομένων.

1. Τήρηση νομιμότητας όταν η Εταιρεία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα

Η Εταιρεία όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εφαρμόζει την αρχή της νομιμότητας και κάθε επεξεργασία είναι σύννομη με βάση τo άρθρο 6 και κατά περίπτωση υπό τις προϋποθέσεις του άρθρου 9 παρ. 2 του GDPR και τα προβλεπόμενα στο νόμο 4624/2019, την εκάστοτε νομοθεσία περί δεδομένων προσωπικού χαρακτήρα και τις αποφάσεις της ΑΠΔΠΧ. Η Εταιρία χρησιμοποιεί ή/και θα χρησιμοποιήσει με διαφανή τρόπο τα ελάχιστα απαραίτητα δεδομένα προσωπικού χαρακτήρα για τους ακόλουθους σύννομους σκοπούς επεξεργασίας, κατά περίπτωση, για την εκτέλεση σύμβασης ή προσυμβατικής σχέσης, για τη συμμόρφωση με νομική υποχρέωση της Εταιρείας ή για την εξυπηρέτηση έννομου συμφέροντος της Εταιρείας ή για την θεμελίωση, άσκηση νομικών αξιώσεων ή λόγω ρητής συγκατάθεσης με το υποκείμενο δεδομένων (όπου απαιτείται) για επεξεργασία των προσωπικών δεδομένων με συγκεκριμένο σκοπό που μπορεί το υποκείμενο δεδομένων ελεύθερα να ανακαλέσει οποτεδήποτε και δωρεάν ή για την προάσπιση ζωτικού συμφέροντος του υποκειμένου δεδομένων ή για λόγους εθνικής ή δημόσιας ασφάλειας και συμφέροντος. Συγκεκριμένα:

• Για τους υποψήφιους εργαζόμενους που επιθυμούν να καλύψουν συγκεκριμένη θέση εργασίας στην Εταιρεία την οποία έχει δημοσιεύσει η τελευταία ή για υποψήφιους εργαζόμενους που επιθυμούν να εργαστούν στην Εταιρεία αποστέλλοντας το βιογραφικό τους με συγκεκριμένη δημοσιευμένη θέση εργασίας (πρόσκληση ενδιαφέροντος) ή στις περιπτώσεις εξωτερικών συνεργατών που επιθυμούν να παρέχουν εξωτερικά υπηρεσίες στην Εταιρεία με βάση τα ως άνω, η τελευταία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους (βιογραφικό σημείωμα, δεδομένα προσωπικού χαρακτήρα που εμπεριέχονται σε αυτό, προσωπικό e-mail) σύννομα (προσυμβατικό στάδιο) με σκοπό την πρόσληψή τους ή εξωτερική συνεργασία. Σε περίπτωση μη κάλυψης συγκεκριμένης δημοσιευμένης θέσης εργασίας από τον υποψήφιο εργαζόμενο ή υποψήφιο εξωτερικό συνεργάτη κατά περίπτωση με βάση τα ως άνω, τα δεδομένα προσωπικού χαρακτήρα του αποθηκεύονται στα ηλεκτρονικά αρχεία της Εταιρείας μας για χρονικό διάστημα 12 μηνών από την ημερομηνία κάλυψης της θέσης εργασίας ή της θέσης που αφορά την κάλυψη παροχής εξωτερικών υπηρεσιών με σκοπό τυχόν επικοινωνία της Εταιρείας με το υποκείμενο δεδομένων για κάλυψη παρόμοιας εργασιακής θέσης ή θέσης που αφορά την παροχή εξωτερικών υπηρεσιών αποκλειστικά και μόνο στην Εταιρεία μας εντός του χρονικού διαστήματος αυτού. Τα ίδια ισχύουν και για την περίπτωση που υποψήφιος εργαζόμενος ή υποψήφιος εξωτερικός συνεργάτης αποστέλλει το βιογραφικό του στην Εταιρεία μας χωρίς να υπάρχει δημοσιευμένη συγκεκριμένη θέση εργασίας ή κάλυψης θέσης παροχής εξωτερικών υπηρεσιών, οπότε και η Εταιρεία αποθηκεύει τα δεδομένα αυτά στα ηλεκτρονικά της αρχεία για χρονικό διάστημα 12 μηνών από την ημερομηνία λήψης του βιογραφικού.Τα εν λόγω αρχεία καταστρέφονται με το πέρας της ως άνω δωδεκάμηνης περιόδου. 

• Για τους εργαζόμενους που διατηρούν εξαρτημένη σχέση εργασίας με την Εταιρεία, η Εταιρεία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα (βιογραφικό,ονοματεπώνυμο, διεύθυνση, τηλέφωνο επικοινωνίας, ΑΦΜ,ΑΜΚΑ, στοιχεία τραπεζικού λογαριασμού κ.τ.λ.), σύννομα και θεμιτά (εκτέλεση σύμβασης εργασίας), καθώς η επεξεργασία είναι απαραίτητη για τον σκοπό επίτευξης της εξαρτημένης εργασιακής σχέσης της οποίας συμβαλλόμενο μέρος είναι το φυσικό πρόσωπο (υποκείμενο δεδομένων) εργαζόμενος. Παράλληλα, η Εταιρεία επεξεργάζεται τα προσωπικά δεδομένα των εργαζομένων σύννομα και θεμιτά προκειμένου να συμμορφωθεί με νομικές της υποχρεώσεις π.χ. διαβίβαση δεδομένων προσωπικού χαρακτήρα προς ασφαλιστικούς φορείς, φορολογικές αρχές, αποθήκευση προσωπικών δεδομένων μετά τη λήξη της εργασιακής σχέσης σύμφωνα με την κείμενη ασφαλιστική και φορολογική νομοθεσία αλλά και για σκοπούς προάσπισης των έννομων συμφερόντων της Εταιρείας ή/και θεμελίωσης, άσκησης νομικών αξιώσεων (αποθήκευση μετά τη λήξη της εργασιακής σχέσης π.χ. για υπεράσπιση δικαιωμάτων της Εταιρείας σε τυχόν έγερση μισθολογικών/ασφαλιστικών αξιώσεων από τον εργαζόμενο κατά της Εταιρείας) εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του εργαζόμενου που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα. Η Εταιρεία, επίσης, επεξεργάζεται δυνάμει της σύμβασης εργασίας και σύμφωνα με το άρθρο 9 παρ. 2 (β) του GDPR τα ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα (μόνο δεδομένα υγείας), καθώς η επεξεργασία είναι απαραίτητη για την εκτέλεση των νομικών της υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων της ή των εργαζομένων στο τομέα του εργατικού δικαίου και του δικαίου της κοινωνικής ασφάλισης και κοινωνικής προστασίας παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα των εργαζόμενων.
• Για τους συνεργάτες ελεύθερους επαγγελματίες που παρέχουν υπηρεσίες στην Εταιρεία, η Εταιρεία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα (βιογραφικό,ονοματεπώνυμο, διεύθυνση, τηλέφωνο επικοινωνίας, ΑΦΜ, στοιχεία τραπεζικού λογαριασμού κ.τ.λ.),  σύννομα (εκτέλεση σύμβασης έργου), καθώς η επεξεργασία είναι απαραίτητη για τον σκοπό επίτευξης της συμβατικής σχέσης έργου της οποίας συμβαλλόμενο μέρος είναι το φυσικό πρόσωπο (υποκείμενο δεδομένων) ελεύθερος επαγγελματίας. Παράλληλα, η Εταιρεία επεξεργάζεται τα προσωπικά δεδομένα σε αυτήν την περίπτωση σύννομα προκειμένου να συμμορφωθεί με νομικές της υποχρεώσεις π.χ. διαβίβαση δεδομένων προσωπικού χαρακτήρα προς φορολογικές αρχές αλλά και για σκοπούς προάσπισης των έννομων συμφερόντων της (αποθήκευση μετά τη λήξη της σύμβασης έργου π.χ. για τυχόν έγερση αστικών αξιώσεων από τον συνεργάτη κατά της Εταιρείας) εκτός εαν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του συνεργάτη που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα. 
• Για τους πελάτες που παράσχονται υπηρεσίες από την Εταιρεία προς αυτούς, η Εταιρεία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα (ονοματεπώνυμο, διεύθυνση, τηλέφωνο επικοινωνίας, ΑΦΜ κτλ) είτε αφορά φυσικά πρόσωπα πελάτες είτε αφορά νόμιμους εκπροσώπους νομικών προσώπων,  σύννομα (εκτέλεση σύμβασης έργου), καθώς η επεξεργασία είναι απαραίτητη για τον σκοπό επίτευξης της συμβατικής σχέσης έργου της οποίας συμβαλλόμενο μέρος είναι το φυσικό πρόσωπο ή το νομικό πρόσωπο που εκπροσωπείται από το φυσικό πρόσωπο (υποκείμενο δεδομένων) νόμιμο εκπρόσωπο. Παράλληλα, η Εταιρεία επεξεργάζεται τα προσωπικά δεδομένα σε αυτήν την περίπτωση σύννομα προκειμένου να συμμορφωθεί με νομικές της υποχρεώσεις π.χ. διαβίβαση δεδομένων προσωπικού χαρακτήρα προς φορολογικές αρχές αλλά και για σκοπούς προάσπισης των έννομων συμφερόντων της (αποθήκευση μετά τη λήξη της σύμβασης έργου π.χ. για τυχόν έγερση αστικών αξιώσεων από τον πελάτη κατά της Εταιρείας) εκτός εαν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του πελάτη που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα. 
• Για τους προμηθευτές αγαθών ή υπηρεσιών που συνεργάζεται η Εταιρεία, η Εταιρεία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα (ονοματεπώνυμο, διεύθυνση, τηλέφωνο επικοινωνίας, ΑΦΜ κτλ) είτε αφορά φυσικά πρόσωπα πελάτες είτε αφορά νόμιμους εκπροσώπους φυσικά πρόσωπα (υποκείμενα δεδομένων) των νομικών προσώπων,  σύννομα (εκτέλεση σύμβασης προμήθειας ή υπηρεσιών), καθώς η επεξεργασία είναι απαραίτητη για τον σκοπό επίτευξης της συμβατικής σχέσης προμήθειας ή υπηρεσιών της οποίας συμβαλλόμενο μέρος είναι το φυσικό πρόσωπο ή το νομικό πρόσωπο που εκπροσωπείται από το νόμιμο εκπρόσωπο του προμηθευτή ή παρόχου υπηρεσιών (υποκείμενο δεδομένων). Παράλληλα, η Εταιρεία επεξεργάζεται τα προσωπικά δεδομένα σε αυτήν την περίπτωση σύννομα προκειμένου να συμμορφωθεί με νομικές της υποχρεώσεις π.χ. διαβίβαση δεδομένων προσωπικού χαρακτήρα προς φορολογικές αρχές αλλά και για σκοπούς προάσπισης των έννομων συμφερόντων της (αποθήκευση μετά τη λήξη της σύμβασης προμήθειας ή υπηρεσιών π.χ. για τυχόν έγερση αστικών αξιώσεων από τον πάροχο κατά της Εταιρείας) εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του παρόχου που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα. 

1. Ποιες είναι οι αρχές επεξεργασίας δεδομένων προσωπικού χαρακτήρα που εφαρμόζει η Εταιρεία 

Η Εταιρία εφαρμόζει τις αρχές επεξεργασίας δεδομένων προσωπικού χαρακτήραμε βάση το άρθρο 5 του GDPR (νομιμότητα, αντικειμενικότητα, διαφάνεια, περιορισμός σκοπού, ελαχιστοποίηση δεδομένων, ακρίβεια, περιορισμός χρόνου αποθήκευσης, ακεραιότητα, εμπιστευτικότητα και λογοδοσία).

Τα δεδομένα προσωπικού χαρακτήρα των υποκειμένων δεδομένων υποβάλλονται :α) σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 του GDPR («περιορισμός του σκοπού»). H Εταιρεία ενημερώνει τα υποκείμενα δεδομένων ότι συλλέγει και επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα με βάση αυτήν την αρχή λαμβάνοντας τα απαραίτητα οργανωτικά και τεχνικά μέτρα για την ασφάλειά τους με βάση τον GDPR και σε περίπτωση που δεν τα συνέλεγε και δεν τα επεξεργαζόταν δεν θα ήταν δυνατή η εκπλήρωση του θεμιτού και νόμιμου σκοπού της επεξεργασίας, όπως π.χ. η εκτέλεση σύμβασης έργου, εργασίας, αξιολόγηση για πιθανή συνεργασία (προσυμβατικό στάδιο)του υποκειμένου δεδομένων είτε ως εξωτερικός συνεργάτης, πελάτης, εργαζόμενος, γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»). Αυτό σημαίνει ότι η Εταιρία θα ζητήσει πάντα από το υποκείμενο δεδομένων τα ελάχιστα απαιτούμενα κατά νόμο προσωπικά σας δεδομένα για να εκπληρωθεί ο θεμιτός και νόμιμος σκοπός της επεξεργασίας. H Εταιρεία ενημερώνει τα υποκείμενα δεδομένων ότι συλλέγει και επεξεργάζεται τα ελάχιστα δεδομένα προσωπικού χαρακτήρα με βάση αυτήν την αρχή λαμβάνοντας τα απαραίτητα οργανωτικά και τεχνικά μέτρα με βάση τον GDPR και σε περίπτωση που δεν συνέλεγε και δεν επεξεργαζόταν αυτά τα ελάχιστα απαραίτητα προσωπικών δεδομένων δεν θα ήταν δυνατή η εκπλήρωση του θεμιτού και νόμιμου σκοπού της επεξεργασίας, όπως π.χ. η εκτέλεση σύμβασης έργου, εργασίας, αξιολόγηση για πιθανή συνεργασία είτε ως εξωτερικός συνεργάτης, πελάτης, εργαζόμενος, δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· λαμβάνονται όλα τα εύλογα μέτρα από την Εταιρεία για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια») . Αυτό σημαίνει ότι μπορεί το υποκείμενο δεδομένων να ρωτήσει και να πληροφορηθεί ποια δεδομένα συλλέγει η Εταιρεία για αυτό, και να τα διορθώσει ή/και διαγράψει συμπληρώνοντας σχετική αίτηση που έχει η Εταιρεία διαθέσιμη σε ηλεκτρονική μορφή στα αρχεία της και σύμφωνα με τον όρο 5 της παρούσης Πολιτικής, εκτός εάν η διατήρησή τους επιβάλλεται από το νόμο για φορολογικούς, αποδεικτικούς ή δικαστικούς σκοπούς και για δίωξη αξιόποινων πράξεων, ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 του GDPR και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο GDPR για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»). Αυτό σημαίνει ότι η Εταιρία διατηρεί τα προσωπικά δεδομένα μόνο για όσο χρόνο επιβάλλεται από τους συμβατικούς όρους ή/και, σε συνδυασμό με την κείμενη νομοθεσία, βάσει του εκάστοτε σκοπού επεξεργασίας, ενώ στη συνέχεια τα καταστρέφει, στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»). 

H Εταιρεία φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με το σύνολο των ως άνω («λογοδοσία»).

1. Δικαιώματα υποκειμένων δεδομένων έναντι της Εταιρείας

Η Εταιρεία λαμβάνει τα κατάλληλα μέτρα ανάμεσα στα οποία είναι και η ενημέρωση των υποκειμένων δεδομένων μέσω της παρούσας Πολιτικής για να παρέχει δωρεάν (και σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση) στα υποκείμενα των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 του GDPR, καθώς και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και 34 του GDPR.

Η Εταιρεία δηλώνει ότι με την παρούσα Πολιτική GDPR έχει ενημερώσει τα υποκείμενα δεδομένων επαρκώς και καταλλήλως για τα προβλεπόμενα στα άρθρα 13 και 14 GDPR (ενημέρωση) και θα ενημερώσει στο μέλλον αν ενεργοποιηθεί κάποια επιπλέον ή επικαιροποιημένη υποχρέωση της Εταιρείας με βάση τα άρθρα αυτά. 

Η Εταιρεία δηλώνει ότι με την παρούσα Πολιτική έχει ενημερώσει τα υποκείμενα δεδομένων επαρκώς και καταλλήλως και  ειδικότερα μέσω του όρου 9 της παρούσας Πολιτικής για τα αναφερόμενα στο άρθρο 32GDPR (ασφάλεια) και θα ενημερώσει στο μέλλον αν ενεργοποιηθεί κάποια επιπλέον ή επικαιροποιημένη υποχρέωση της Εταιρείας με βάση το άρθρο αυτό.

Τα δικαιώματά των υποκειμένων δεδομένων με βάση τα άρθρα 15-22 και 34 του GDPR για τα δεδομένα προσωπικού χαρακτήρα τα οποία μπορεί το υποκείμενο δεδομένων να ασκήσει προς την Εταιρεία είναι (15-22 GDPR) το δικαίωμα πρόσβασης, διόρθωσης, δικαίωμα στη λήθη, περιορισμού της επεξεργασίας, διόρθωσης ή διαγραφής ή περιορισμού των δεδομένων, δικαιώμα φορητότητάς τους στο υποκείμενο δεδομένων ή σε τρίτο, δικαίωμα εναντίωσης, δικαίωμα να μην υπόκειται το υποκείμενο δεδομένωνσε αυτοματοποιημένη λήψη αποφάσεων περιλαμβανομένης και της κατάρτισης προφίλ, και (34 GDPR) δικαίωμα ενημέρωσης για παραβίαση των προσωπικών δεδομένων. Η Εταιρεία μας δεν λαμβάνει αποφάσεις αυτοματοποιημένα που επηρεάζουν τα συμφέροντα των υποκειμένων δεδομένων ούτε καταρτίζει προφίλ με βάση το άρθρο 22 του GDPR. 

Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα. Η Εταιρεία παρέχει δωρεάν στο υποκείμενο των δεδομένων σχέδια εντύπων που βρίσκονται στα αρχεία της Εταιρείας μας για να ασκήσετε τα ως άνω δικαιώματά σας.

1. Προθεσμίες απάντησης από την Εταιρεία προς αιτήματα υποκειμένων δεδομένων

Οι πληροφορίες κατόπιν ενός εκ των ως άνω αιτημάτων του υποκειμένου δεδομένων δίνονται από την Εταιρεία χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Η Εταιρεία ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό. Εάν η Εταιρεία δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, η Εταιρεία ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας στην Αρχή Προστασίας Προσωπικών Δεδομένων και άσκησης δικαστικής προσφυγής. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η Εταιρεία μπορεί είτε: α) να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή β) να αρνηθεί να δώσει συνέχεια στο αίτημα. Η Εταιρεία φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

1. Μη εξακρίβωση ταυτότητας υποκειμένου δεδομένων ή αμφιβολίες περί της ταυτότητας του υποκειμένου δεδομένων

Στις περιπτώσεις που η Εταιρεία στα πλαίσια του όρου 5 και 6 της Πολιτικής δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου δεδομένων ενημερώνει σχετικά το υποκείμενο εάν είναι δυνατόν. Στην περίπτωση αυτή δεν εφαρμόζονται τα άρθρα 15-20 του GDPR(δικαίωμα πρόσβασης, διόρθωσης, δικαίωμα στη λήθη, δικαίωμα περιορισμού, δικαίωμα διόρθωσης ή διαγραφής ή περιορισμού, δικαίωμα φορητότητας). Παρόλα αυτά, το υποκείμενο δεδομένων μπορεί να δώσει συμπληρωματικές πληροφορίες προκειμένου να ασκήσει τα δικαιώματά του που απορρέουν από τα άρθρα 15-20 GDPR.

Η Εταιρεία δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του και βάσει των άρθρων 15 έως 22 του GDPR (δικαίωμα πρόσβασης, διόρθωσης, δικαίωμα στη λήθη, δικαίωμα περιορισμού, δικαίωμα διόρθωσης ή διαγραφής ή περιορισμού, δικαίωμα φορητότητας, δικαίωμα εναντίωσης, δικαίωμα να μην υπόκειται με αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ), εκτός αν η Εταιρεία αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων. Όταν η Εταιρεία έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 15 έως 21 του GDPR(δικαίωμα πρόσβασης, διόρθωσης, δικαίωμα στη λήθη, δικαίωμα περιορισμού, δικαίωμα διόρθωσης ή διαγραφής ή περιορισμού, δικαίωμα φορητότητας, δικαίωμα εναντίωσης) μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων. 

1. Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτους αποδέκτες

Η Εταιρία μας διαβιβάζει τα προσωπικά δεδομένα σε τρίτους αποδέκτες,αποκλειστικά και μόνο για την εκπλήρωση των θεμιτών και νόμιμων σκοπών της επεξεργασίας και με βάση την τήρηση των αρχών που αναφέρονται στην παρούσα Πολιτική και ειδικότερα στον όρο 4 αυτής. Τρίτοι αποδέκτες μπορεί να είναι οι εξωτερικοί λογιστές μας για τη εκπλήρωση των οικονομικών υποχρεώσεων της Εταιρείας προς εσάς ή το αντίστροφο,το σύστημα Εργάνη για την εκπλήρωση των νομικών μας υποχρεώσεων προς τους εργαζόμενους με βάση το εργατικό και ασφαλιστικό δίκαιο, οι φορολογικές αρχές για την εκπλήρωση των νομικών μας υποχρεώσεων με βάση το φορολογικό δίκαιο, εξωτερικοί δικηγόροι για λόγους έννομου συμφέροντος της Εταιρείας όπως π.χ. διαπράγματευση και υπογραφή όρων σύμβασης έργου ή σύμβασης προμήθειας ή παροχής υπηρεσιών ή σύμβασης εργαζόμενου ήλόγω έγερσης δικαστικών αξιώσεων (ποινικών και αστικών) εκτός αν υπερτερεί το έννομο συμφέρον του υποκειμένου δεδομένων να μη τύχουν επεξεργασίας τα προσωπικά τους δεδομένα. Περαιτέρω, με βάση το έννομο συμφέρον της Εταιρείας τα αναγκαία και ελάχιστα προσωπικά δεδομένα μπορούν να διαβιβαστούν σε υποψήφιο πελάτη ή πελάτη της Εταιρείας προκειμένου να ελεγχθεί από αυτόν το οργανόγραμμα της Εταιρείας με σκοπό την επισκόπηση και αποτελεσματική εκτέλεση υφιστάμενης (ή πιθανής-προσυμβατικό στάδιο) σύμβασης έργου μεταξύ πελάτη και Εταιρείας.

Επιπλέον, τα δεδομένα προσωπικού χαρακτήρα δύνανται να διαβιβαστούν και επεξεργαστούν για λόγους εθνικής ασφάλειας ή δημόσιας ασφάλειας κατόπιν αιτήματος δημόσιου φορέα ή όταν επίσημοι κρατικοί και εποπτικοί φορείς (π.χ. διωκτικές και εισαγγελικές αρχές, Δίωξη ηλεκτρονικού εγκλήματος, ΑΠΔΠΧ. ΕΕΤΤ, ΑΔΑΕ, εποπτικές αρχές), καλέσουν την Εταιρεία να συμμορφωθεί με τη κείμενη νομοθεσία και να αποτραπούν σε βάρος της Εταιρείας και σε βάρος των πελατών της ή τρίτων ποινικά αδικήματα. Σε τέτοιες περιπτώσεις έρευνας ο δημόσιος φορέας δεν θεωρείται αποδέκτης.

Η Εταιρεία μας δεν διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε τρίτες χώρες. Εάν το πράξει θα λάβει όλα τα απαραίτητα μέτρα και θα πληρούνται προηγουμένως όλες οι προϋποθέσεις με βάση τα άρθρα 45-49 του GDPR ενημέρωντας τα υποκείμενα δεδομένων στις περιπτώσεις που απαιτείται. 

1. Ασφάλεια των προσωπικών δεδομένων  

Σε κάθε περίπτωση,η Εταιρεία λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας αξιολογώντας τη φύση των δραστηριοτήτων της Εταιρείας και τις κατηγορίες δεδομένων προσωπικού χαρακτήτα που επεξεργάζεται ώστε να διασφαλίσει την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των δεδομένων. Στόχος μας είναι να διασφαλίζουμε ότι οι προσωπικές πληροφορίες των υποκειμένων δεδομένων συλλέγονται, χρησιμοποιούνται,διαβιβάζονται, αποθηκεύονται και επεξεργάζονται με ασφάλεια. Για το σκοπό αυτό διαθέτουμε κατάλληλες πολιτικές ασφαλείας και χρησιμοποιούμε τα κατάλληλα τεχνικά και επιχειρησιακά εργαλεία, όπωςfirewalls, καθιέρωση επιπέδων πρόσβασης, εξουσιοδοτημένοι υπάλληλοι για πρόσβαση σε προσωπικά δεδομένα, εκπαίδευση προσωπικού, περιοδικοί έλεγχοι, δυνατότητες επιχειρησιακής συνέχειας σε περίπτωση γεγονότων καταστροφής ή παραβίασης, ορισμό Υπεύθυνου Προστασίας Προσωπικών Δεδομένων.

1. Παραβίαση προσωπικών δεδομένων- επικοινωνία-άλλες ενημερώσεις

H Εταιρεία οφείλει σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, δηλαδή παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία να ενημερώνει άμεσα το υποκείμενο δεδομένων για μια τέτοια παραβίαση, τη φύση της και τα αναληφθέντα μέτρα. Την ίδια υποχρέωση έχουν και τα υποκείμενα δεδομένων αν αντιληφθούν τέτοια παραβίαση και οφείλουν να ενημερώσουν την Εταιρεία.

Εάν έχετε ερωτήσεις ή σχόλια σχετικά με την παρούσα Πολιτική ή εαν θεωρείτε ότι δεν έχουμε ακολουθήσει τις αρχές που ορίζονται σε αυτή, παρακαλούμε να μας στείλετε e-mail στην ηλεκτρονική διεύθυνση vap@vap-arch.gr ή να επικοινωνήσετε μαζί μας στην παρακάτω ταχυδρομική διεύθυνση: οδός Τομπάζη 24, Τ.Κ. 15232. Το υποκείμενο δεδομένων μπορεί να απευθυνθεί στον εποπτικό φορέα (Αρχή Προστασίας των Δεδομένων Προσωπικού Χαρακτήρα) για την διαφύλαξη των συμφερόντων του αν θεωρεί ότι αυτά θίγονται με βάση την κείμενη νομοθεσία και την παρούσα Πολιτική GDPR.

1. Ισχύς Πολιτικής Ασφάλειας και Προστασίας Προσωπικών Δεδομένων 

Η παρούσα Πολιτική επικαιροποιήθηκε από την Εταιρία την 01/02/2022 και υπόκειται σε περιοδική βελτίωση και αναθεώρηση.