Πολιτική Προστασίας Προσωπικών Δεδομένων
Δήλωση Εφαρμογής
Η Εταιρεία μας έχει υιοθετήσει, εγκαταστήσει και εφαρμόζει Σύστημα Διαχείρισης Ασφάλειας Προσωπικών Δεδομένων (ΣΔΑΠΔ) κατά το Διεθνές Πρότυπο ΙSO 27701:2019, ως προέκταση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) κατά το Διεθνές Πρότυπο ΙSO 27001:2013.
Στην Πολιτική του ΣΔΑΠΔ διατυπώνονται:
- η δέσμευση της διοίκησης,
- οι υπευθυνότητες και οι ρόλοι,
- η διαρκής αφοσίωση για βελτίωση,
- τα θέματα στοχοθεσίας.
Ειδικότερα, η Εταιρεία εφαρμόζει νομικές εξειδικεύσεις σύμφωνα με το γεωγραφικό και ουσιαστικό πεδίο εφαρμογής της επεξεργασίας που διεξάγει.
To εφαρμοστικό πλαίσιο του ΣΔΑΠΔ εντάσσεται και προσδιορίζεται από τον Γενικό Κανονισμό Προστασίας Δεδομένων χωρίς όμως να περιορίζεται σε αυτό.
H εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (Γ.Κ.Π.Δ.) αποτελεί προτεραιότητα για την BRAINSPACE TECHNOLOGIES M.A.E.
Η BRAINSPACE TECHNOLOGIES M.A.E. δέχεται ως προσωπικά δεδομένα: Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Για παράδειγμα σε αυτές τις πληροφορίες περιλαμβάνονται, ενδεικτικά, το ονοματεπώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, ο κώδικας διαδικτυακού πρωτοκόλλου (IP), οι πληροφορίες για την εργασιακή κατάσταση, και άλλα.
Τα δεδομένα ειδικών κατηγοριών, δηλαδή τα δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και τα γενετικά δεδομένα, τα βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, τα δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό, λαμβάνουν ειδικότερη προστασία.
Οι κανόνες προστασίας ισχύουν όταν η συλλογή, η χρήση, η αποθήκευση και κάθε άλλη πράξη επί των δεδομένων των φυσικών προσώπων γίνεται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
Η πολιτική αυτή είναι σύμφωνη με τον Γενικό Κανονισμό για την Προστασία Δεδομένων της Ε.Ε. (Γ.Κ.Π.Δ.) και το ισχύον εσωτερικό δίκαιο, καθώς και με τις γνωμοδοτήσεις, οδηγίες, κατευθυντήριες γραμμές, συστάσεις και αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Ορισμοί
- «Δεδομένα Προσωπικού Χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
- «Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
- «Περιορισμός της Επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,
- «Σύστημα Αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,
- «Υπεύθυνος Επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
- «Εκτελών την Επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπευθύνου της Επεξεργασίας,
- «Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
- «Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον Εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,
- «Συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
- «Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
- «Δεδομένα Ειδικών Κατηγοριών»: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
Κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα που συλλέγονται
Η BRAINSPACE TECHNOLOGIES M.A.E. στο πλαίσιο των δραστηριοτήτων της και της συνήθους λειτουργίας της, δύναται να συλλέγει δεδομένα προσωπικού χαρακτήρα τόσο πελατών ή συνεργατών της, όσο και των εργαζομένων της καθώς επίσης και των εν γένει συνεργατών της, αλλά και λοιπών φυσικών προσώπων με τα οποία συναλλάσσεται στο πλαίσιο της λειτουργίας της.
Ανάλογα με τη μορφή και τον σκοπό επεξεργασίας η BRAINSPACE TECHNOLOGIES M.A.E. δύναται να συλλέγει και να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως ενδεικτικά τα ακόλουθα:
ΚΑΤΗΓΟΡΙΕΣ ΥΠΟΚΕΙΜΕΝΩΝ |
ΚΑΤΗΓΟΡΙΕΣ ΔΕΔΟΜΕΝΩΝ |
Πελάτες BRAINSPACE TECHNOLOGIES M.A.E. |
Τα δεδομένα πελατών, εφόσον πρόκειται για φυσικά πρόσωπα ή για τους νόμιμους εκπροσώπους νομικών προσώπων, διότι τα «δεδομένα προσωπικού χαρακτήρα» αφορούν μόνο πληροφορίες που αφορούν φυσικά πρόσωπα και δεν εμπίπτουν σε αυτή την κατηγορία δεδομένα που αφορούν νομικά πρόσωπα όπως είναι εταιρείες και οργανισμοί. Αυτά μπορεί να περιλαμβάνουν: 1. Στοιχεία ταυτότητας και δημογραφικά (λ.χ. ονοματεπώνυμο, πατρώνυμο κ.λπ.) 2. Στοιχεία επικοινωνίας (λ.χ. ταχυδρομική διεύθυνση έδρας, τηλέφωνο, Email κ.λπ.) 3. Επαγγελματικά στοιχεία 4. Εμπορικές Συμφωνίες 5. Τραπεζικοί Λογαριασμοί 6. Υπόλοιπα λογαριασμών 7. Καταγραφή εικόνας μέσω συστήματος βίντεο επιτήρησης 8. Άλλα σχετικά στοιχεία |
Προμηθευτές/Εξωτερικοί Συνεργάτες |
Τα δεδομένα προμηθευτών, εφόσον πρόκειται για φυσικά πρόσωπα ή για τους νόμιμους εκπροσώπους νομικών προσώπων, διότι τα «δεδομένα προσωπικού χαρακτήρα» αφορούν μόνο πληροφορίες που αφορούν φυσικά πρόσωπα και δεν εμπίπτουν σε αυτή την κατηγορία δεδομένα που αφορούν νομικά πρόσωπα όπως είναι εταιρείες και οργανισμοί. Αυτά μπορεί να περιλαμβάνουν: 1. Στοιχεία ταυτότητας και δημογραφικά (λ.χ. ονοματεπώνυμο, πατρώνυμο κ.λπ.), 2. Στοιχεία ασφάλισης (λ.χ. ΑΜΚΑ ή ΠΑΑΥΠΑ και λοιπά στοιχεία Μητρώου Φορέα Κοινωνικής Ασφάλισης αν απαιτούνται) 3. Στοιχεία επικοινωνίας (λ.χ. ταχυδρομική διεύθυνση έδρας, τηλέφωνο, Email κ.λπ.) 4. Επαγγελματικά στοιχεία 5. Υπόλοιπα λογαριασμών 6. Τραπεζικοί Λογαριασμοί 7. Καταγραφή εικόνας μέσω συστήματος βίντεο επιτήρησης 8. Άλλα σχετικά στοιχεία |
Εργαζόμενοι (Ενεργοί Και Μη) / Υποψήφιοι Εργαζόμενοι |
Δεδομένα εργαζομένων της BRAINSPACE TECHNOLOGIES M.A.E., υπό οποιαδήποτε εργασιακή σχέση καθώς και δεδομένα πρώην και υποψήφιων εργαζομένων, τα οποία τηρούνται σε υπηρεσιακούς φακέλους ή και τυχόν άλλων υπηρεσιών για σκοπούς λειτουργίας της εργασιακής σχέσης τους με την BRAINSPACE TECHNOLOGIES M.A.E. Αυτά μπορεί να περιλαμβάνουν: 1. Στοιχεία ταυτότητας και δημογραφικά (λ.χ. ονοματεπώνυμο, πατρώνυμο κ.λπ.) 2. Στοιχεία ασφάλισης (λ.χ. ΑΜΚΑ και λοιπά στοιχεία Μητρώου Φορέα Κοινωνικής Ασφάλισης αν απαιτούνται) 3. Στοιχεία επικοινωνίας (λ.χ. ταχυδρομική διεύθυνση, τηλέφωνο, Email κ.λπ.) 4. Βιογραφικά Σημειώματα 5. Δεδομένα υγείας (λ.χ. ιατρικές βεβαιώσεις και γνωματεύσεις, στοιχεία αιμοδοσίας κ.λπ.) 6. Οικονομικά στοιχεία (λ.χ. τραπεζικοί λογαριασμοί, κ.λπ.) 7. Στοιχεία οικογενειακής κατάστασης (λ.χ. βεβαιώσεις και πιστοποιητικά, αριθμός και στοιχεία τέκνων κ.ο.κ.) 8. Μεταδεδομένα και logs χρήσης πληροφοριακών συστημάτων 9. Καταγραφή εικόνας μέσω συστήματος βίντεο επιτήρησης 10. Άλλα σχετικά στοιχεία |
Δεδομένα άλλων φυσικών προσώπων |
Τα δεδομένα άλλων φυσικών προσώπων που τυχαίνει να επισκέπτονται υποδομές της εταιρείας (εγκαταστάσεις, ιστότοπος) ή να συνεργάζονται με αυτή ή να ανήκουν σε συνεργαζόμενους φορείς. Αυτά μπορεί να περιλαμβάνουν: 1. Διεύθυνση ΙΡ 2. Ανωνυμοποιημένα στατιστικά επισκεψιμότητας 3. Email επικοινωνίας 4. Μηνύματα με την μορφή ελεύθερου κειμένου 5. Καταγραφή εικόνας μέσω συστήματος βίντεο επιτήρησης 6. Άλλα σχετικά στοιχεία |
Πίνακας 1. Οι κατηγορίες Υποκειμένων και των δεδομένων τους
Σκοποί και Νομικές Βάσεις Επεξεργασίας
Η BRAINSPACE TECHNOLOGIES M.A.E. δύναται να συλλέγει και να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πελατών και άλλων φυσικών προσώπων τα οποία αναφέρθηκαν στην ανωτέρα παράγραφο και κάνουν χρήση των παρεχόμενων υπηρεσιών και προϊόντων της. Επί της αρχής, η BRAINSPACE TECHNOLOGIES M.A.E. ενδέχεται να συλλέγει και να επεξεργάζεται δεδομένα προσωπικού́ χαρακτήρα για τους κάτωθι σκοπούς με τις αντίστοιχες νομικές βάσεις επεξεργασίας:
ΣΚΟΠΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ |
ΝΟΜΙΚΕΣ ΒΑΣΕΙΣ |
Τη συλλογή, επεξεργασία, διασταύρωση και διαβίβαση στοιχείων της Φορολογικής, Ασφαλιστικής και Εργασιακής Διοίκησης αποκλειστικώς για την υποστήριξη και λειτουργία του πλαισίου λειτουργίας της. |
1. Συμμόρφωση με έννομη υποχρέωση [αρθ. 6 §1 περ. γ) Γ.Κ.Π.Δ.] ή/και 2. H επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης [αρθ. 6 §1 περ. (β) Γ.Κ.Π.Δ.] ή/και 3. Εξυπηρέτηση έννομων συμφερόντων [αρθ. 6 §1 περ. (στ) Γ.Κ.Π.Δ.] |
Τη συλλογή και επεξεργασία των αναγκαίων δεδομένων εργαζομένων ή/και υποψήφιων εργαζομένων και συνεργατών για τη δέουσα εξυπηρέτηση υφιστάμενων εργασιακών σχέσεων ή σχέσεων συνεργασίας ή την εξέταση ενδεχόμενης μελλοντικής συνεργασίας. |
1. Συμμόρφωση με έννομη υποχρέωση [αρθ. 6 §1 περ. (γ) Γ.Κ.Π.Δ.] ή/και 2. H επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης [αρθ. 6 §1 περ. (β) Γ.Κ.Π.Δ.] ή/και 3. Εξυπηρέτηση έννομων συμφερόντων [αρθ. 6 §1 περ. στ) Γ.Κ.Π.Δ.] |
Σύναψη συμβάσεων στο πλαίσιο παροχής ή λήψης προϊόντων και υπηρεσιών. |
1. Συμμόρφωση με έννομη υποχρέωση [αρθ. 6 §1 περ. (β) Γ.Κ.Π.Δ.] ή/και 2. Εξυπηρέτηση έννομων συμφερόντων [αρθ. 6 §1 περ. στ) Γ.Κ.Π.Δ.] |
Τη συλλογή και επεξεργασία δεδομένων εικόνας με χρήση κυκλώματος καμερών, για λόγους ασφάλειας. |
Εξυπηρέτηση έννομων συμφερόντων [αρθ. 6 §1 περ. στ) Γ.Κ.Π.Δ.] |
Για κάθε άλλη μορφή επεξεργασίας, BRAINSPACE TECHNOLOGIES M.A.E. ζητά ειδική γραπτή, ελεύθερη και κατόπιν προγενέστερης ενημέρωσης συγκατάθεση των υποκειμένων πριν την έναρξη της επεξεργασίας, εφόσον απαιτείται. |
|
Η αναφορά σε περισσότερες της μίας νομικών βάσεων επεξεργασίας, δεν έχει την έννοια ότι η BRAINSPACE TECHNOLOGIES M.A.E. προβαίνει σε αλλαγή αυτών (lawful basis swapping) υποσκάπτοντας τα δικαιώματα των υποκειμένων των δεδομένων, αλλά ότι υφίστανται περιπτώσεις που είναι εφαρμοστέες περισσότερες από μία νομικές βάσεις επεξεργασίας.
Τέλος η BRAINSPACE TECHNOLOGIES M.A.E. δε χρησιμοποιεί ως κύρια βάση επεξεργασίας τη συγκατάθεση των υποκειμένων των δεδομένων (είτε πρόκειται για απλά δεδομένα είτε για ειδικών κατηγοριών), σύμφωνα με τις συστάσεις της Ομάδας Εργασίας του Αρ.29 (πλέον Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων). Σε εξαιρετικές περιπτώσεις δύναται να ζητηθεί η συγκατάθεση των υποκειμένων ως νόμιμη βάση επεξεργασίας (π.χ. για την παροχή πρόσθετων υπηρεσιών), όταν η επεξεργασία δεν δύναται να συντελεστεί υπό διαφορετική νόμιμη βάση. Και σε αυτές τις περιπτώσεις τα υποκείμενα ενημερώνονται προγενεστέρως και κατάλληλα πριν να παράσχουν τη συγκατάθεσή τους και διατηρούν πλήρη δικαιώματα, μεταξύ άλλων και ανάκλησης της συγκατάθεσης.
Δικαιώματα Υποκειμένων των Δεδομένων
Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να:
- Ενημερώνονται σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.
- Aποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν.
- Zητούν τη διόρθωση εσφαλμένων, ανακριβών ή τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα.
- Yποβάλλουν αίτημα για τη διαγραφή δεδομένων προσωπικού χαρακτήρα όταν δεν είναι πλέον απαραίτητα ή εάν η επεξεργασία είναι παράνομη.
- Εναντιώνονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή τους, υπό την επιφύλαξη του αρ.21 παρ.6 ΓΚΠΔ.
- Υποβάλλουν αίτημα για περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένες περιπτώσεις.
- Υποβάλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Λεωφ. Κηφισίας 1-3, 11523 Αμπελόκηποι, τηλ. 210.647.5600, www.dpa.gr) ή στην εποπτική αρχή του κράτους μέλους της ΕΕ όπου διαμένουν ή εργάζονται ή στην εποπτική αρχή του τόπου της εικαζόμενης παράβασης.
Επικοινωνία
Τα ανωτέρω δικαιώματα καθώς και κάθε δικαίωμα σχετικά με τα προσωπικά δεδομένα, ασκούνται κατόπιν γραπτής αίτησης που κατατίθεται στις εγκαταστάσεις της εταιρείας (Βασιλέως Αλεξάνδρου 5-7, 11528 Αττική) ή μέσω ηλεκτρονικής επικοινωνίας αποστέλλοντας μήνυμα στο dpo@brainspace.gr το οποίο εξετάζεται και από τον Υπεύθυνο Προστασίας Δεδομένων της εταιρείας, όπως αυτός ορίζεται από την BRAINSPACE TECHNOLOGIES M.A.E.
Αρχές Επεξεργασίας
Η BRAINSPACE TECHNOLOGIES M.A.E. τηρεί τις αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα (άρθρο 5 Γ.Κ.Π.Δ.):
- Υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»).
- Συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· ή περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»).
- Είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»).
- Είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· και πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»).
- Διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»).
- Υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Αρχεία Δραστηριοτήτων Επεξεργασίας
H BRAINSPACE TECHNOLOGIES M.A.E. τηρεί αρχείο δραστηριοτήτων επεξεργασίας τόσο για τις επεξεργασίες για τις οποίες ασκεί το ρόλο του Υπευθύνου Επεξεργασίας όσο και για τις επεξεργασίες στις οποίες λειτουργεί ως Εκτελών την Επεξεργασία.
Στην πρώτη περίπτωση το αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:
- το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, του από κοινού Υπευθύνου Επεξεργασίας, του εκπροσώπου του Υπευθύνου Επεξεργασίας και του Υπευθύνου Προστασίας Δεδομένων,
- τους σκοπούς της επεξεργασίας,
- περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,
- τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς Οργανισμούς,
- όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς Οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,
- όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διαφόρων κατηγοριών δεδομένων,
- όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1.
Στη δεύτερη περίπτωση περιλαμβάνονται οι ακόλουθες:
- Όνομα και στοιχεία επικοινωνίας Υπευθύνου Επεξεργασίας.
- Όνομα και στοιχεία επικοινωνίας εκπροσώπου του Υπευθύνου Επεξεργασίας (όπου υφίσταται).
- Όνομα και στοιχεία επικοινωνίας αναθέτοντος Εκτελούντος την Επεξεργασία (όπου υφίσταται).
- Όνομα και στοιχεία επικοινωνίας εκπροσώπου του Εκτελούντος την Επεξεργασίας (όπου υφίσταται).
- Κατηγορίες επεξεργασιών.
- Όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς Οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων.
- Γενική περιγραφή οργανωτικών και τεχνικών μέτρων ασφάλειας (όπου είναι δυνατό).
Τα ανωτέρω αρχεία τηρούν τις προϋποθέσεις του Γενικού Κανονισμού Προστασίας Δεδομένων, τις γνωμοδοτήσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και τις απαιτήσεις του Διεθνούς Προτύπου ISO 27701:2019.
Ασφάλεια Δεδομένων Προσωπικού Χαρακτήρα
Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η BRAINSPACE TECHNOLOGIES M.A.E. εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Γ.Κ.Π.Δ., υιοθετώντας και εφαρμόζοντας ολιστική πολιτική ασφάλειας των δεδομένων προσωπικού χαρακτήρα.
Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
Για την αποτροπή περίπτωσης παραβίασης δεδομένων προσωπικού χαρακτήρα, η BRAINSPACE TECHNOLOGIES M.A.E. έχει υιοθετήσει και εφαρμόζει Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με τις απαιτήσεις του Διεθνούς προτύπου ISO 27001:2013, του Διεθνούς Προτύπου 27701:2019 καθώς και συγκεκριμένη πολιτική διαχείρισης τυχόν περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα.
Κατάρτιση Προσωπικού
Η BRAINSPACE TECHNOLOGIES M.A.E. αποδέχεται ότι η προστασία των δεδομένων προσωπικού χαρακτήρα προϋποθέτει την ευαισθητοποίηση του ανθρώπινου δυναμικού της σχετικά με την προστασία των προσωπικών δεδομένων. Στην κατεύθυνση αυτή, αποδέχεται την υιοθέτηση και εφαρμογή της αρχής του προσανατολισμού της δέουσας εκπαίδευσης με εκμετάλλευση των Πρακτικών της Ορθής Πληροφόρησης (Fair Information Practices-FIP), που συμπυκνώνουν ένα σύνολο προτύπων που διέπουν τη συλλογή και χρήση των προσωπικών δεδομένων και την αντιμετώπιση θεμάτων ιδιωτικότητας και ακρίβειας.
Η BRAINSPACE TECHNOLOGIES M.A.E. επιδιώκει την εκ μέρους του ανθρώπινου δυναμικού του συνειδητοποίηση βασικών εννοιών προστασίας δεδομένων προσωπικού χαρακτήρα. Η κατάρτιση τους πρέπει να επικεντρωθεί στις Αρχές Δίκαιων Πρακτικών Πληροφόρησης (FIPP), που αποτελούν τη «ραχοκοκαλιά» των περισσότερων νόμων περί προστασίας του ιδιωτικού απορρήτου.
Ειδικότερα:
- FIPP σχετικά με την Προστασία των Δεδομένων – αρχές σχετικά με την νομιμότητα και τον περιορισμό της συλλογής προσωπικών δεδομένων.
- FIPP σχετικά με την Επεξεργασία και Χρήση των Δεδομένων – αρχές σχετικά με το βαθμό ευαισθησίας των δεδομένων, την περιορισμένη πρόσβαση σε αυτά, την τήρηση εμπιστευτικότητας, το πεπερασμένο της επεξεργασίας, την εξειδίκευση του σκοπού της επεξεργασίας και την ασφαλή διεξαγωγή της.
- FIPP σχετικά με την Ατομική Συμμετοχή του Υποκειμένου των Δεδομένων– αρχές σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων, όπως το δικαίωμα πρόσβασης, το δικαίωμα διορθώσεως σε περίπτωση ανακριβών πληροφοριών, το δικαίωμα έγκαιρης ειδοποίησης των υποκειμένων, και την εξασφάλιση της σύννομης συγκατάθεσης τους.
- FIPP σχετικά με τη Μεταβίβαση των Δεδομένων – αρχές σχετικά με την μεταβίβαση και την γνωστοποίηση προσωπικών δεδομένων σε τρίτα πρόσωπα (νομικά ή φυσικά).
- FIPP σχετικά με τη Λογοδοσία της BRAINSPACE TECHNOLOGIES M.A.E., αρχές σχετικά με την πολιτική απορρήτου της BRAINSPACE TECHNOLOGIES M.A.E. και το ρόλο του Υπευθύνου Προστασίας Δεδομένων στη διασφάλιση των δεδομένων.
Τροποποίηση
Η παρούσα πολιτική ενδέχεται μελλοντικά να χρειαστεί τροποποίηση σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Σε περίπτωση που η τροποποίηση των υπόψη όρων είναι τέτοιας φύσης και έκτασης, ώστε να μην καλύπτεται από τους ανωτέρω όρους επεξεργασίας δεδομένων, η BRAINSPACE TECHNOLOGIES M.A.E. θα δημοσιοποιήσει τη νέα έκδοση της πολιτικής.
Privacy Policy
Application Statement
Our Company has adopted, installed, and implements a Personal Information Management System (PIMS) according to the International Standard ISO 27701:2019, as an extension of the Information Security Management System (ISMS) according to the International Standard ISO 27001:2013.
The Policy of PIMS states:
- the commitment of the administration,
- responsibilities and roles,
- constant commitment to improvement,
- targeting issues.
In particular, the Company applies legal specializations according to the geographical and essential scope of its processing.
The implementation framework of the PIMS is determined by the General Data Protection Regulation but is not limited to it.
The implementation of the General Data Protection Regulation (GDPR) is a priority for BRAINSPACE TECHNOLOGIES M.A.E.
BRAINSPACE TECHNOLOGIES M.A.E. accepts as personal data: Any information relating to an identified or identifiable natural person alive. For example, this information includes name, home address, ID number, Internet Protocol (IP) code, information about their health and insurance capacity, employment status, and more.
Special categories data, such as health, racial or ethnic origin, trade union activity, etc., receive special protection.
The rules apply when collecting, using, and storing personal data digitally or in hard copy through a structured filing system.
This policy is in line with the EU General Data Protection Regulation. (GDPR), and opinions/decisions issued by the Hellenic Data Protection Authority.
Terms and Definitions
- ‘Personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
- ‘Processing’ means any operation or set of operations which is performed on personal data or sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
- ‘Restriction of processing’ means the marking of stored personal data to limit their processing in the future.
- ‘Filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised, or dispersed on a functional or geographical basis,
- ‘Controller’ means the natural or legal person, public authority, agency, or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the Controller or the specific criteria for its nomination may be provided for by Union or Member State law.
- ‘Processor’ means a natural or legal person, public authority, agency, or other body which processes personal data on behalf of the Controller.
- ‘Recipient’ means a natural or legal person, public authority, agency, or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry by Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall comply with the applicable data protection rules according to the purposes of the processing.
- ‘Third party’ means a natural or legal person, public authority, agency or body other than the data subject, Controller, Processor, and persons who, under the direct authority of the Controller or Processor, are authorised to process personal data.
- ‘Consent’ of the data subject means any freely given, specific, informed, and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by clear affirmative action, signifies agreement to the processing of personal data relating to him or her.
- ‘Personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored, or otherwise processed.
- ‘Special categories data’ means personal data disclosing racial or ethnic origin, political views, religious or philosophical beliefs, or trade union affiliation, as well as the processing of genetic, biometric data for the data relating to health or data relating to the natural sexual life or sexual orientation of a person.
Categories of Personal Data Collected
In the context of its activities and its regular operation, BRAINSPACE TECHNOLOGIES M.A.E. may collect personal data of its customers or associates, its employees, its associates in general, and other natural persons with whom it trades within its operation.
Depending on the form and purpose of processing, BRAINSPACE TECHNOLOGIES M.A.E. may collect and process personal data, such as the following:
CATEGORIES OF DATA SUBJECTS |
CATEGORIES OF DATA |
BRAINSPACE TECHNOLOGIES M.A.E.’s clients
|
Customer data in the case of natural persons or legal representatives of legal persons, because “personal data” refers only to information relating to natural persons and does not fall into this category of data relating to legal persons such as companies and organizations. These may include: 1. Identity and demographics (e.g., name, patronymic, etc.) 2. Contact details (e.g., postal address, telephone, Email, etc.)
8. Image capture via video surveillance system 9. Other relevant information. |
Suppliers/External Partners |
The data of suppliers / external partners, in the case of natural persons or legal representatives of legal persons, because “personal data” refers only to information concerning natural persons and does not fall into this category of data concerning legal entities such as companies and organizations. These may include: 1. Identity and demographics (e.g., name, patronymic, etc.) 2. Insurance details (e.g., Social Security Number or Temporary Social Security and other information of the Social Security Institution Register if required) 3. Contact details (e.g., postal address, telephone, Email, etc.)
|
Employees (Active and Non-Active) / Candidate Employees |
BRAINSPACE TECHNOLOGIES M.A.E.’s employee’s data, under any employment relationship as well as data of former and prospective employees, which are kept in official files or any other services for the purposes of operating their employment relationship with BRAINSPACE TECHNOLOGIES M.A.E. These may include: 1. Identity and demographics (e.g., name, patronymic, etc.) 2. Insurance details (e.g., Social Security Number or Temporary Social Security and other information of the Social Security Institution Register if required) 3. Contact details (e.g., postal address, telephone, Email, etc.) 4. Curriculum Vitae 5. Health data (eg medical certificates and opinions, blood donation data, etc.), 6. Financial data (eg bank accounts, etc.) 7. Marital status information (eg certificates and certificates, number and details of children, etc.) 8. Metadata and logs for the use of information systems 9. Image capture via video surveillance system 10. Other relevant information. |
Data of other natural persons |
The data of other natural persons who happen to visit the infrastructure of the company (facilities, website) or to cooperate with it or belong to collaborating bodies. These may include: 1. IP address 2. Anonymized traffic statistics 3. Contact email 4. Messages in the form of free text 5. Image capture via video surveillance system 6. Other relevant information |
Table 1. The categories of Data and Data Subjects
Purposes and Legal Basis of Processing
BRAINSPACE TECHNOLOGIES M.A.E. may collect, and process personal data of customers and other individuals mentioned in the above paragraph who make use of its services and products. In principle, BRAINSPACE TECHNOLOGIES M.A.E. may collect and process personal data for the following purposes with the corresponding legal processing bases:
PURPOSE OF PROCESSING |
LEGAL BASIS |
The collection, processing, cross-checking and transmission of data of the Tax, Insurance and Labor Administration exclusively for the support and operation of its operating framework. |
1. Processing is necessary for compliance with a legal obligation [Art. 6 §1 case. (c) GDPR] and/or 2. Processing is necessary for the performance of a contract to which the data subject obligation [Art. 6 §1 case. (b) GDPR] and/or 3. Processing is necessary for the purposes of the legitimate interests pursued by the Controller [Art. 6 §1 case. f) GDPR] |
The collection and processing of the necessary data of employees and / or prospective employees and associates for the proper service of existing employment or cooperation relationships or the consideration of possible future cooperation. |
1. Processing is necessary for compliance with a legal obligation [Art. 6 §1 case. (c) GDPR] and/or 2. Processing is necessary for the performance of a contract to which the data subject obligation [Art. 6 §1 case. (b) GDPR] and/or 3. Processing is necessary for the purposes of the legitimate interests pursued by the Controller [Art. 6 §1 case. (f) GDPR] |
Concluding contracts in the context of providing or receiving products and services. |
1. Processing is necessary for the performance of a contract to which the data subject obligation [Art. 6 §1 case. (b) GDPR] and/or 2. Processing is necessary for the purposes of the legitimate interests pursued by the Controller [Art. 6 §1 case. (f) GDPR] |
The collection and processing of image data using closed circuit cameras (CCTV) for security reasons. |
Processing is necessary for the purposes of the legitimate interests pursued by the Controller [Art. 6 §1 case. (f) GDPR] |
For any other form of processing, BRAINSPACE TECHNOLOGIES M.A.E. seeks the written, free and prior informed consent of the subjects prior to processing, if required. |
|
Table 2. The primary purposes and legal bases of processing
The reference to more than one legal processing base does not mean that BRAINSPACE TECHNOLOGIES M.A.E. is changing them (lawful basis swapping) by undermining the rights of the data subjects, but that there are cases where more than one legal processing base is applicable.
Finally, BRAINSPACE TECHNOLOGIES M.A.E. does not use as its primary processing base the consent of data subjects (whether it is simple data or special categories), according to the recommendations of the Working Group of No. 29 (now the European Data Protection Council). In exceptional cases, the subjects’ consent may be sought as a legal basis for processing (e.g., for the provision of additional services) when the processing cannot take place on a different legal basis. In these cases, the subjects are informed in advance and appropriately before giving their consent and retain full rights, including the withdrawal of consent.
Rights of Data Subjects
Data subjects have the right to:
- Be informed about the processing of personal data.
- Gain access to the personal data concerning them.
- Request the correction of incorrect, inaccurate, or the completion of incomplete personal data.
- Request the deletion of personal data when it is no longer necessary or if the processing is illegal.
- Oppose to the processing of personal data for reasons related to their unique situation, subject to Article.21 par.6 of the GDPR.
- Apply for a restriction on the processing of personal data in specific cases.
- Submit a complaint to the Hellenic Data Protection Authority (1-3 Kifissias Ave., 11523 Ampelokipi, tel. 210.647.5600, www.dpa.gr) or to the supervisory authority of the EU Member State where they reside or work or to the supervisory authority of the place of the alleged violation.
Communication
The above rights, as well as any right regarding personal data, are exercised upon a written request submitted at the company’s premises (Vasileos Alexandrou 5-7, 11528 Attiki) or via electronic communication by sending an email to dpo@brainspace.gr, which is also examined by the Data Protection Officer, as appointed by BRAINSPACE TECHNOLOGIES M.A.E.
Processing principles
BRAINSPACE TECHNOLOGIES M.A.E. adheres to the principles governing the processing of personal data. According to article 5 of GDPR, personal data shall be:
- Processed lawfully, fairly, and transparently concerning the data subject (lawfulness, fairness, and transparency).
- Collected for specified, explicit, and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes, or statistical purposes shall, under Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’).
- Adequate, relevant, and limited to what is necessary for relation to the purposes for which they are processed (‘data minimization’).
- Accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that inaccurate personal data regarding the purposes for which they are processed are erased or rectified without delay (accuracy).
- Kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for more extended periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes under Article 89(1) subject to the implementation of the appropriate technical and organizational measures required by this Regulation to safeguard the rights and freedoms of the data subject (storage limitation).
- Processed in a manner that ensures appropriate security of the personal data, including protection against unauthorized or unlawful processing and accidental loss, destruction, or damage, using appropriate technical or organizational measures (integrity and confidentiality).
Records of Processing Activities
BRAINSPACE TECHNOLOGIES M.A.E. keeps records of processing activities for the processes for which it acts as Controller and as Processor.
In the first case, the file contains all the following information:
- the name and contact details of the Controller and, where applicable, of the joint Controller, of the Controller’s representative, and of the data protection officer,
- the purposes of the processing,
- a description of the categories of data subjects and the categories of personal data,
- the categories of recipients to whom personal data are to be disclosed or disclosed, including recipients in third countries or international organizations,
- where applicable, transfers of personal data to a third country or international organization, including the designation of that third country or international organization and, in the case of transfers referred to in the second subparagraph of Article 49 (1), documentation of appropriate guarantees,
- where possible, the deadlines for deleting the various categories of data,
- where possible, a general description of the technical and organizational security measures referred to in Article 32 (1).
The second case includes the following:
- Name and contact details of the Controller.
- Name and contact details of the representative of the Controller (where applicable).
- Name and contact details of the contracting Processor (where applicable).
- Name and contact details of the representative of the Processor (where applicable).
- Processing categories.
- Where applicable, transfers of personal data to a third country or international organization, including the identification of that third country or international organization and, in the case of transfers referred to in the second subparagraph of Article 49 (1), documentation of appropriate guarantees.
- General description of organizational and technical safety measures (where possible).
The above records comply with the General Data Protection Regulation requirements, the opinions of the Hellenic Data Protection Authority, and the requirements of the International Standard ISO 27701: 2019.
Personal Data Security
Taking into account the nature, scope, context and purposes of the processing, as well as the risks of different probability and severity of the rights and freedoms of individuals, BRAINSPACE TECHNOLOGIES M.A.E. implements appropriate technical and organizational measures to ensure and ensure can prove that the processing is carried out under the GDPR, adopting and applying a holistic policy of personal data security.
In assessing the appropriate level of security, account shall be taken in particular of the risks arising from processing, including accidental or unlawful destruction, loss, alteration, unauthorized disclosure, or access to personal data transmitted, stored, or otherwise processed.
To prevent the occurrence of a personal data breach, BRAINSPACE TECHNOLOGIES M.A.E. has adopted and implements an Information Security Management System following the requirements of International Standard ISO 27001: 2013, International Standard 27701: 2019, and a specific policy for the management of personal data breach cases.
Staff Awareness
BRAINSPACE TECHNOLOGIES M.A.E. accepts that personal data protection presupposes the awareness of its human resources regarding the protection of personal data. In this regard, it agrees with adopting and applying the principle of proper education guidance using Fair Information Practices (FIP), which condenses a set of standards governing the collection and use of personal data and addressing privacy issues and accuracy.
BRAINSPACE TECHNOLOGIES M.A.E. seeks to raise awareness of fundamental concepts of personal data protection on its human resources. Their training should focus on the Principles of Fair Information Practices (FIPP), the “backbone” of most privacy laws.
Particularly:
- FIPP on Data Protection – principles on the legality and limitation of collecting personal data.
- FIPP on the Processing and Use of Data – principles regarding the degree of sensitivity of the data, the limited access to it, the observance of confidentiality, the finiteness of the processing, the specification of the purpose of the processing, and its safe conduct.
- FIPP on Individual Data Entity Participation – principles regarding data subjects’ rights, such as the right of access, the right of correction in case of inaccurate information, the right of timely notification of data subjects, and the securing of their legal consent.
- FIPP on Data Transfer – principles on transferring and disclosing personal data to third parties (legal or natural).
- FIPP on BRAINSPACE TECHNOLOGIES M.A.E. Accountability, principles on BRAINSPACE TECHNOLOGIES M.A.E. privacy policy and the role of the Data Protection Officer (DPO) in data security.
Amendment
This policy may need to be amended in the future regarding the processing of personal data. If the modification of these terms is of such an extent that the above data processing terms do not cover it, BRAINSPACE TECHNOLOGIES M.A.E. will publish the new version of the policy.