ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΤΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΤΟΥΣ ΕΝΤΟΣ ΤΗΣ ΕΠΙΧΕΙΡΗΣΗΣ ΒΑΣΙΛΙΚΗ ΘΕΟΔΩΡΙΔΟΥ – FASHION FOR TWO
Εισαγωγή: Η προστασία των προσωπικών δεδομένων των φυσικών ή / και νομικών προσώπων και ιδιαιτέρως η διαχείριση των προσωπικών δεδομένων των πελατών, και υπαλλήλων της επιχείρησης ΒΑΣΙΛΙΚΗ ΘΕΟΔΩΡΙΔΟΥ – FASHION FOR TWO αποτελεί πρωταρχικό μας μέλημα.
Στo πλαίσιο αυτό, υιοθετούμε Κώδικα Δεοντολογίας για την Προστασία των Δικαιωμάτων του Ατόμου, κατά την επεξεργασία των προσωπικών του δεδομένων, σε συμμόρφωση με την εκάστοτε ισχύουσα εθνική και κοινοτική νομοθεσία.
O Παρών Κώδικας Δεοντολογίας αποτελεί διακήρυξη αρχών και αξιών όσον αφορά στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα, λειτουργεί συμπληρωματικά προς την ισχύουσα νομοθεσία και είναι δεσμευτικός. Ακολουθεί ο Κώδικας Δεοντολογίας για την Προστασία των Δικαιωμάτων του Ατόμου κατά την επεξεργασία των προσωπικών δεδομένων εντός της Fashion for Two.
Άρθρο 1: Αντικείμενο του Κώδικα.
Αντικείμενο του παρόντος Κώδικα είναι η κατοχύρωση ενός υψηλού και ομοιόμορφου επιπέδου προστασίας των προσωπικών δεδομένων των υποκειμένων εντός της επιχείρησης, μέσω της εφαρμογής των εθνικών και κοινοτικών διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα.
Άρθρο 2: Νομική φύση του Κώδικα Δεοντολογίας – Σχέση Κώδικα με εθνική και κοινοτική νομοθεσία.
2.1. Ο παρών Κώδικας Δεοντολογίας θέτει τις γενικές κατευθυντήριες γραμμές για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εντός της Fashion for Two, είναι δεσμευτικός για όλες τις εταιρίες που συνδέονται ή με οποιονδήποτε τρόπο σχετίζονται με αυτήν και τίθεται σε ισχύ με την ανάρτηση του στο επίσημο διαδικτυακό τόπο (site) της εκάστοτε εταιρίας από τη διοίκηση της και την υπογραφή του και έγκριση του από το Διοικητικό Συμβούλιο ή εν προκειμένω από το διαχειριστή αυτής.
2.2. Ο παρών Κώδικας εφαρμόζεται σε συνδυασμό με την εκάστοτε ισχύουσα εθνική και κοινοτική νομοθεσία (2016/679 ΕΕ) για τη συλλογή, επεξεργασία και χρήση των προσωπικών δεδομένων όλων των υποκειμένων και ιδίως των προσωπικών δεδομένων των πελατών και υπαλλήλων της επιχείρησης.
2.3. Οι εταιρίες που σχετίζονται με τη Fashion for Two θα επεξεργάζονται τα προσωπικά δεδομένα και θα κοινοποιούν αυτά στις δημόσιες Αρχές, όταν αυτό απαιτείται, σύμφωνα με τις προϋποθέσεις που θέτει το εθνικό δίκαιο της χώρας και δη, οι Ελληνικές Αρχές.
Άρθρο 3: Διαφάνεια της επεξεργασίας των Δεδομένων.
Τα φυσικά ή νομικά πρόσωπα στα οποία αναφέρονται τα προσωπικά δεδομένα (εφεξής «υποκείμενα των δεδομένων», υπό την έννοια του άρθρου 28 του παρόντος) θα πρέπει να έχουν πρόσβαση στις πληροφορίες που αφορούν στην επεξεργασία των προσωπικών τους δεδομένων μέσω κατάλληλων τρόπων ενημέρωσης, ιδίως δε μέσω της ανάρτησης του παρόντος Κώδικα στον επίσημο διαδικτυακό τόπο (site) της εταιρίας.
Άρθρο 4: Δικαίωμα ενημέρωσης και πρόσβασης του υποκειμένου.
4.1. Τα υποκείμενα των δεδομένων έχουν δικαίωμα να γνωρίζουν εάν δεδομένα προσωπικού χαρακτήρα που τα αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας .
4.2. Η ενημέρωση του υποκειμένου πρέπει να γίνει κατά τρόπο κατάλληλο και σαφή και να περιλαμβάνει τα εξής στοιχεία:
4.2.1. Την ταυτότητα και τα στοιχεία της επικοινωνίας του υπεύθυνου επεξεργασίας.
4.2.2. Τα προσωπικά του δεδομένα που αφορούν στο υποκείμενο, καθώς και την προέλευση τους.
4.2.3. Τον σκοπό και την πρόθεση της συλλογής, της επεξεργασίας και / ή της χρήσης των προσωπικών δεδομένων. Η πληροφορία θα πρέπει να περιλαμβάνει ποια δεδομένα καταγράφονται και / ή τυγχάνουν επεξεργασίας, για ποιο σκοπό και για ποιο χρονικό διάστημα.
4.2.4. Τον τρόπο επεξεργασίας και σε περίπτωση διαβίβασης σε τρίτους, τον αποδέκτη, το σκοπό και το βαθμό διαβίβασης.
4.2.5. Τις διατάξεις του παρόντος Κώδικα περί προστασίας των δικαιωμάτων του υποκειμένου.
4.3. Οι σχετικές πληροφορίες θα πρέπει να καθίστανται διαθέσιμες στον αιτούντα σε κατανοητή μορφή και εντός εύλογου χρονικού διαστήματος. Γενικά, οι σχετικές πληροφορίες θα δίνονται γραπτά.
4.4. Τα υποκείμενα των δεδομένων δύνανται να ζητούν και να λαμβάνουν από τον Υπεύθυνο επεξεργασίας τις πληροφορίες που αφορούν στην επεξεργασία των προσωπικών τους δεδομένων και ο Yπεύθυνος πρέπει να απαντά εγγράφως με τρόπο κατανοητό και χωρίς υπαίτια βραδύτητα ή εντός ευλόγου χρονικού διαστήματος, όπως ορίζεται από την οικεία νομοθεσία.
4.5. Όπου αυτό είναι επιτρεπτό από την εθνική νομοθεσία, η επιχείρηση θα μπορεί να χρεώνει ένα ποσό για την παροχή των σχετικών πληροφοριών.
Άρθρο 5: Διαθεσιμότητα της ενημέρωσης.
Η ενημέρωση θα πρέπει να είναι διαθέσιμη στα υποκείμενα, όταν τα δεδομένα συλλέγονται για πρώτη φορά και ακολούθως, οποτεδήποτε αυτή ζητηθεί.
Άρθρο 6: Προϋποθέσεις νόμιμης επεξεργασίας – Συγκατάθεση του υποκειμένου.
6.1. Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το υποκείμενο δώσει την συγκατάθεση του. Για την εφαρμογή του παρόντος άρθρου, η συγκατάθεση θα πρέπει να συγκεντρώνει τα εξής χαρακτηριστικά:
6.1.1. Η συγκατάθεση του υποκειμένου θα πρέπει να εξασφαλίζεται το αργότερο στην αρχή της συλλογής, επεξεργασίας ή χρήσης των προσωπικών δεδομένων.
6.1.2. Η συγκατάθεση θα πρέπει να δίνεται ρητά και οικειοθελώς, σε μορφή κατάλληλη κατά τις περιπτώσεις .
6.1.3. Η συγκατάθεση θα πρέπει να δίνεται κατόπιν σχετικής ενημέρωσης του υποκειμένου των δεδομένων σχετικά με το σκοπό της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και την ταυτότητα του υπεύθυνου της επεξεργασίας ή του εκτελούντος την επεξεργασία.
6.2. Η συγκατάθεση του υποκειμένου μπορεί να ανακληθεί οποτεδήποτε, χωρίς αναδρομικό αποτέλεσμα.
6.3. Κατ’ εξαίρεση, επιτρέπεται η επεξεργασία των δεδομένων και χωρίς τη συγκατάθεση του υποκειμένου, όταν η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης, στην οποία το συμβαλλόμενο μέρος είναι υποκείμενο δεδομένων ή όταν υφίσταται σχετική νομική διάταξη του εθνικού ή κοινοτικού δικαίου, η οποία επιτρέπει την επεξεργασία προσωπικών δεδομένων χωρίς την προηγούμενη συγκατάθεση του υποκειμένου.
Άρθρο 7: Τα προσωπικά δεδομένα δε θα χρησιμοποιούνται για άλλους σκοπούς, εκτός από αυτούς για τους οποίους αυτά είχαν αρχικά συλλεχθεί.
Άρθρο 8: Χρήση προσωπικών δεδομένων με σκοπό την προώθηση προϊόντων/υπηρεσιών.
8.1. Η χρήση προσωπικών δεδομένων πελατών με σκοπό την προώθηση προϊόντων ή και υπηρεσιών θα γίνεται σύμφωνα με την εθνική και κοινοτική νομοθεσία .
8.2. Τα υποκείμενα των δεδομένων έχουν δικαίωμα να προβάλλουν αντιρρήσεις στην υπεύθυνη εταιρία για τη χρήση των δεδομένων τους, με σκοπό την εμπορική προώθηση προϊόντων και υπηρεσιών της.
Άρθρο 9: Ειδικές Κατηγορίες Προσωπικών Δεδομένων.
Η συλλογή και η επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα απαγορεύεται, εκτός εάν το υποκείμενο έχει δώσει ρητή συγκατάθεση προς τούτο ή εάν η επεξεργασία επιτρέπεται χωρίς τη συγκατάθεση του υποκειμένου, βάσει της ισχύουσας εθνικής ή κοινοτικής νομοθεσίας. Επίσης, επιτρέπεται η επεξεργασία των ευαίσθητων προσωπικών δεδομένων σε περίπτωση που η επεξεργασία αυτή είναι απαραίτητη για την εκπλήρωση υποχρεώσεων της υπεύθυνης εταιρίας, που πηγάζουν από το εργατικό δίκαιο, υπό την προϋπόθεση ότι αυτό επιτρέπεται από το εκάστοτε ισχύον εθνικό δίκαιο .
Άρθρο 10: Αρχές ως προς την Ποιότητα Δεδομένων.
10.1. Η επιχείρηση θα πρέπει να λαμβάνει όλα τα κατάλληλα μέτρα, ώστε τα προσωπικά δεδομένα που επεξεργάζεται να είναι ακριβή και όταν αυτό είναι απαραίτητο, να επικαιροποιούνται (ποιότητα δεδομένων).
10.2. Η επιχείρηση, αλλά και όλες οι εταιρίες που σχετίζονται με αυτήν, θα πρέπει, επίσης, να λαμβάνουν όλα τα απαραίτητα μέτρα, ώστε δεδομένα ανακριβή ή ελλιπή να διαγράφονται ή να διορθώνονται.
10.3. Τα προσωπικά δεδομένα θα πρέπει να είναι κατάλληλα, συναφή προς το θέμα και όχι υπερβολικά σε σχέση με το συγκεκριμένο σκοπό για τον οποίο χρησιμοποιούνται (οικονομία δεδομένων). Τα δεδομένα θα πρέπει να συλλέγονται μόνο για καθορισμένους, σαφείς και νόμιμους σκοπούς, κατόπιν σχετικού αιτήματος και η επεξεργασία τους να συμβιβάζεται για τους σκοπούς αυτούς (μετρημένη χρήση δεδομένων).
10.4. Τα προσωπικά δεδομένα θα πρέπει να διατηρούνται από την επιχείρηση σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων μόνο κατά τη διάρκεια της περιόδου που απαιτείται για την επίτευξη των σκοπών της συλλογής και της περαιτέρω επεξεργασίας. Μετά το πέρας της περιόδου αυτής, η επιχείρηση θα τα καταστρέφει ή θα διαγράφονται τα στοιχεία αναγνώρισης των υποκειμένων των δεδομένων (ανωνυμοποίηση).
Η ανωνυμοποίηση θα πρέπει να διενεργείται με τέτοιο τρόπο, ώστε η πραγματική ταυτότητα των υποκειμένων να μην μπορεί να αποκαλυφθεί ή να μπορεί να αποκαλυφθεί μόνο με δυσανάλογα μεγάλη προσπάθεια.
Άρθρο 11: Αρχείο Δεδομένων.
Οι αρχές της επεξεργασίας των δεδομένων, ιδιαίτερα της οικονομίας των δεδομένων και της μετρημένης χρήσης τους θα πρέπει να λαμβάνονται υπόψη όταν δημιουργούνται αρχεία δεδομένων. Για τη δημιουργία των εν λόγω αρχείων, θα τηρούνται τα οριζόμενα στην εθνική νομοθεσία. Στην προκειμένη περίπτωση, θα τηρείται αρχείο, το οποίο θα είναι πλήρως εναρμονισμένο με τις αρχές του κανονισμού (2016/679 ΕΕ).
Άρθρο 12: Διαβίβαση δεδομένων σε τρίτα μέρη.
Η διαβίβαση των προσωπικών δεδομένων σε τρίτο μέρος απαγορεύεται, εκτός εάν το υποκείμενο των δεδομένων έχει δώσει ρητώς τη συγκατάθεση του ή εάν η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του υποκειμένου και της υπεύθυνης επιχείρησης ή σε όσες περιπτώσεις η εθνική νομοθεσία επιτρέπει τη διαβίβαση προσωπικών δεδομένων .
Άρθρο 13: Υπευθυνότητα.
Όταν διαβιβάζονται προσωπικά δεδομένα σε τρίτο μέρος που δεν είναι δημόσια Αρχή, η επιχείρηση, η οποία αρχικά είχε συλλέξει τα προσωπικά δεδομένα, θα πρέπει να συνεργάζεται με το τρίτο μέρος, ώστε να διασφαλίζεται ότι τα προσωπικά δεδομένα υφίστανται νόμιμη επεξεργασία.
Ενδεικτικά, ο Υπεύθυνος Επεξεργασίας θα πρέπει να διασφαλίζει ότι παρέχονται τα απαραίτητα μέτρα για την προστασία και την ασφάλεια των δεδομένων ή θα συζητηθούν και θα συμφωνηθούν με τον παραλήπτη. Όπου συνάπτονται συμφωνίες με οργανισμούς σε χώρες χωρίς επαρκή επίπεδα προστασίας των δεδομένων, πρέπει να εξασφαλιστούν ικανοποιητικές εγγυήσεις, όσον αφορά στην προστασία των δεδομένων του ατόμου και την άσκηση των δικαιωμάτων που συνδέονται με αυτά, χωρίς επιφύλαξη ως προς την προγενέστερη άδεια με την αρμόδια αρχή, κατ’ απαίτηση της εθνικής νομοθεσίας .
Άρθρο 14: Επεξεργασία Δεδομένων από Υπεργολάβους.
14.1. Όταν η επιχείρηση χρησιμοποιεί τις υπηρεσίες ενός υπερεργολάβου ή εκτελούντος την επεξεργασία, η σχετική έγγραφη σύμβαση θα πρέπει να περιλαμβάνει όρους αναφορικά με τη νόμιμη επεξεργασία των προσωπικών δεδομένων από τον υπερεργολάβο. Οι εν λόγω όροι θα περιλαμβάνουν τις οδηγίες της επιχείρησης (του μέρους που ελέγχει τα δεδομένα) σχετικά με τον τύπο και τον τρόπο της επεξεργασίας των δεδομένων, το σκοπό της επεξεργασίας και τα τεχνικά και οργανωτικά μέτρα που απαιτούνται για την προστασία των δεδομένων.
14.2. Ο υπεργολάβος δε θα πρέπει να χρησιμοποιεί τα προσωπικά δεδομένα που του κοινοποιούνται δυνάμει της συμβατικής του σχέσης με την υπεύθυνη επιχείρηση, χωρίς την προηγούμενη συγκατάθεση της.
14.3. Το κριτήριο της ασφάλειας των προσωπικών δεδομένων και της νόμιμης επεξεργασίας αυτών θα πρέπει να λαμβάνεται υπόψη για την επιλογή των υπεργολάβων .
Άρθρο 15: Έλεγχοι του επιπέδου της προστασίας.
Εσωτερικοί έλεγχοι στις διαδικασίες επεξεργασίας των προσωπικών δεδομένων θα πρέπει να διεξάγονται τακτικά, ώστε να επανεξετάζεται η αποτελεσματικότητα των εφαρμοζόμενων μέτρων για την προστασία των προσωπικών δεδομένων. Τέτοιοι έλεγχοι θα διεξάγονται εσωτερικά από τον Υπεύθυνο για την Ασφάλεια των Προσωπικών Δεδομένων.
Άρθρο 16: Τεχνικά, Οργανωτικά Μέτρα και Μέτρα σχετιζόμενα με τους υπαλλήλους.
16.1. Με την έναρξη της εργασιακής τους σχέσης και στη συνέχεια κάθε χρόνο, οι τυχόν εργαζόμενοι της επιχείρησης, θα υπογράφουν σχετικές εγκυκλίους εμπιστευτικότητας και τήρησης των διαδικασιών της εταιρίας που αφορούν στην προστασία των προσωπικών δεδομένων των πελατών και των υπαλλήλων.
16.2. Οι εσωτερικές διαδικασίες της επιχείρησης θα πρέπει να περιλαμβάνουν κατάλληλα οργανωτικά και τεχνικά μέτρα, ώστε να εξασφαλίζεται η νόμιμη επεξεργασία των προσωπικών δεδομένων των υποκειμένων. Κατ’ ελάχιστον, οι διαδικασίες αυτές θα πρέπει να εξασφαλίζουν τα εξής:
16.2.1. Να εμποδίζουν μη εξουσιοδοτημένα άτομα από το να αποκτούν πρόσβαση στα συστήματα επεξεργασίας δεδομένων, μέσω των οποίων τα προσωπικά δεδομένα επεξεργάζονται ή χρησιμοποιούνται (έλεγχος φυσικής πρόσβασης).
16.2.2. Να εξασφαλίζουν ότι τα συστήματα επεξεργασίας δεδομένων δεν μπορούν να χρησιμοποιηθούν από μη εξουσιοδοτημένα πρόσωπα (έλεγχος άρνησης πρόσβασης).
16.2.3. Να εξασφαλίζουν ότι τα πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν τα συστήματα επεξεργασίας δεδομένων έχουν πρόσβαση αποκλειστικά και μόνο στα δεδομένα για τα οποία έχουν εξουσιοδοτηθεί και ότι τα προσωπικά δεδομένα δεν μπορούν, κατά τη διάρκεια της επεξεργασίας ή της χρήσης ή μετά από την καταγραφή τους, να διαβασθούν, να αντιγραφούν, να αλλαχθούν ή να μετατοπιστούν από μη εξουσιοδοτημένα πρόσωπα (έλεγχος πρόσβασης στα δεδομένα).
16.2.4. Να εξασφαλίζουν ότι, κατά τη διάρκεια της ηλεκτρονικής διαβίβασης ή κατά τη διάρκεια της μεταφοράς ή της καταγραφής των δεδομένων, τα προσωπικά δεδομένα δεν μπορούν να διαβασθούν, αντιγραφούν, αλλαχθούν ή μετατοπισθούν από μη εξουσιοδοτημένο πρόσωπο και ότι θα είναι δυνατό να εξετασθεί και εξακριβωθεί εάν προσωπικά δεδομένα έχουν μεταβιβασθεί μέσω εξοπλισμού μετάδοσης στοιχείων (έλεγχος διαβίβασης δεδομένων).
16.2.5. Να διασφαλίζουν ότι θα είναι δυνατό αναδρομικά να εξετασθεί και να εξακριβωθεί, εάν και από ποιόν εισήχθησαν προσωπικά δεδομένα στα συστήματα επεξεργασίας δεδομένων, καθώς και εάν αυτά αλλάχθηκαν ή μετατοπίστηκαν (έλεγχος εισόδου στα δεδομένα).
16.2.6. Να διασφαλίζουν ότι τα προσωπικά δεδομένα που επεξεργάζονται οι υπεργολάβοι τυγχάνουν επεξεργασίας μόνο σύμφωνα με τις οδηγίες του εργοδότη (έλεγχος υπεργολάβων).
16.2.7. Να εξασφαλίζουν ότι τα προσωπικά δεδομένα προστατεύονται από τυχαία καταστροφή ή απώλεια (έλεγχος διαθεσιμότητας).
Άρθρο 17: Δικαιώματα των υποκειμένων.
Κάθε υποκείμενο έχει το δικαίωμα να υποβάλλει ερωτήματα, αναφορικά με την εφαρμογή του παρόντος Κώδικα Δεοντολογίας στην υπεύθυνη επιχείρηση και τα δικαιώματα που αναφέρονται στα άρθρα 4, 18 και 19 του παρόντος.
Άρθρο 18: Δικαίωμα αντίρρησης / Δικαίωμα διαγραφής των δεδομένων.
18.1. Το υποκείμενο των δεδομένων έχει δικαίωμα να προβάλλει οποτεδήποτε αντιρρήσεις στην υπεύθυνη επιχείρηση για την επεξεργασία των προσωπικών δεδομένων που το αφορούν.
18.2. Οι αντιρρήσεις θα απευθύνονται στον Υπεύθυνο για την Ασφάλεια των Προσωπικών Δεδομένων ή στην υπεύθυνη επιχείρηση ή στο ειδικώς εξουσιοδοτημένο πρόσωπο και θα πρέπει να περιέχουν αίτημα για συγκεκριμένη ενέργεια, όπως διόρθωση, προσωρινή μη χρησιμοποίηση, δέσμευση, μη διαβίβαση, διαγραφή.
18.3. Το δικαίωμα αντίρρησης ισχύει ακόμα και εάν το υποκείμενο παρείχε σε προηγούμενη περίπτωση τη συγκατάθεση του για τη χρήση των δεδομένων του.
18.4. Νόμιμα αιτήματα διαγραφής των προσωπικών δεδομένων θα ικανοποιούνται άμεσα. Τα αιτήματα αυτά είναι κυρίως νόμιμα, σε περίπτωση που δεν υφίσταται πλέον νόμιμη αιτία επεξεργασίας των δεδομένων αυτών.
Άρθρο 19: Δικαίωμα Διόρθωσης.
Το υποκείμενο των δεδομένων θα μπορεί οποιαδήποτε στιγμή να αιτείται γραπτώς τη διόρθωση των προσωπικών του δεδομένων από την υπεύθυνη επιχείρηση, στο μέτρο που αυτά δεν είναι πλήρη ή / και λανθασμένα .
Άρθρο 20: Δικαίωμα παροχής διευκρινήσεων και σχολιασμού.
20.1. Εάν υποκείμενο δεδομένων ισχυρίζεται ότι τα δικαιώματα του έχουν παραβιασθεί υπό την μορφή της παράνομης επεξεργασίας των δεδομένων του και ειδικότερα σε περίπτωση παραβίασης του Κώδικα Δεοντολογίας, η επιχείρηση θα παρέχει διευκρινήσεις επί της υπόθεσης, χωρίς υπαίτια καθυστέρηση και εντός της ορισμένης από την ισχύουσα νομοθεσία προθεσμίας. Στην περίπτωση αυτή, θα συνεργάζονται στενά και θα δοθεί αμοιβαία πρόσβαση σε όλες τις πληροφορίες αναγκαίες για την εξακρίβωση των γεγονότων της υπόθεσης.
20.2. Το τμήμα ασφάλειας πληροφοριών της επιχείρησης που σχετίζεται πιο άμεσα με τη σχετική υπόθεση, θα πρέπει να συντονίζει την επικοινωνία με το υποκείμενο.
Άρθρο 21: Άσκηση δικαιωμάτων των Υποκειμένων.
Τα υποκείμενα των προσωπικών δεδομένων δε θα πρέπει να υφίστανται διακριτική μεταχείριση, εξαιτίας του γεγονότος ότι έκαναν χρήση των προαναφερομένων δικαιωμάτων .
Άρθρο 22: Ευθύνη επεξεργασίας Δεδομένων.
22.1. Η επιχείρηση θα πρέπει να εγγυάται τη συμμόρφωση της με τη νομοθεσία περί προστασίας των προσωπικών δεδομένων και με τις ρυθμίσεις του παρόντος Κώδικα Δεοντολογίας.
22.2. Ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων της επιχείρησης θα πρέπει να ενημερώνεται, χωρίς υπαίτια καθυστέρηση, για κάθε παραβίαση (συμπεριλαμβανομένης υποψίας παραβίασης) της νομοθεσίας περί προστασίας προσωπικών δεδομένων, καθώς και του παρόντος Κώδικα Δεοντολογίας.
22.3. Ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων της επιχείρησης, θα πρέπει να ενημερώνεται για τυχόν αλλαγές του νομοθετικού πλαισίου, που αφορά στην προστασία των προσωπικών δεδομένων.
Άρθρο 23: Συντονισμός από τον Υπεύθυνο Ασφάλειας Προσωπικών Δεδομένων.
23.1. Ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων της επιχείρησης Fashion for Two θα συντονίζει τις ενέργειες σε περιπτώσεις γενικευμένων περιστατικών παραβίασης των ρυθμίσεων περί προστασίας των προσωπικών δεδομένων, τα οποία θέτουν σε κίνδυνο το σκοπό του παρόντος Κώδικα Δεοντολογίας.
23.2. Καθήκον του Υπεύθυνου για την Ασφάλεια των Προσωπικών Δεδομένων είναι να αναπτύσσει και να εξελίσσει την πολιτική της επιχείρησης Fashion for Two σε ζητήματα προστασίας των προσωπικών δεδομένων.
Άρθρο 24: Εποπτικά καθήκοντα και καθήκοντα διαβούλευσης.
24.1. Ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων της επιχείρησης Fashion for Two είναι αρμόδιος για την καταγραφή της συμμόρφωσης με το εθνικό και διεθνές δίκαιο, σχετικά με την προστασία των προσωπικών δεδομένων, καθώς και με τον παρόντα Κώδικα Δεοντολογίας.
24.2. Ο Υπεύθυνος για την Ασφάλεια των Προσωπικών Δεδομένων, θα εξετάζει επί τόπου όλες τις μεθόδους επεξεργασίας, οι οποίες περιλαμβάνουν τη χρήση προσωπικών δεδομένων.
Άρθρο 25: Εκπαίδευση Εργαζομένων και δέσμευση.
Η επιχείρηση Fashion for Two θα φροντίζει, μέσω κατάλληλων προγραμμάτων και διαδικασιών για την εκπαίδευση των υπαλλήλων της, ως προς την νόμιμη επεξεργασία των προσωπικών δεδομένων, καθώς και ως προς την εφαρμογή του παρόντος Κώδικα Δεοντολογίας.
Άρθρο 26: Συνεργασία με τις Εποπτικές Αρχές.
Η επιχείρηση Fashion for Two συμφωνεί να απαντά στα αιτήματα και να συμμορφώνεται προς τις υποδείξεις των αρμόδιων εποπτικών αρχών, οι οποίες είναι αρμόδιες για την εποπτεία της εφαρμογής της εθνικής νομοθεσίας περί προστασίας των δεδομένων προσωπικού χαρακτήρα.
Άρθρο 27: Ορισμοί.
Επιχείρηση: Η επιχείρηση με την επωνυμία «ΒΑΣΙΛΙΚΗ ΘΕΟΔΩΡΙΔΟΥ – Fashion for Two».
Υποκείμενο Δεδομένων: Τα φυσικά ή νομικά πρόσωπα, στα οποία αναφέρονται τα δεδομένα και των οποίων η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί από την υπεύθυνη επιχείρηση, στην οποία το υποκείμενο είναι πελάτης ή υπάλληλος ή μέλος.
Προσωπικά δεδομένα: Κάθε πληροφορία που απευθύνεται στο υποκείμενο των δεδομένων. Δε λογίζονται ως προσωπικά δεδομένα τα στατιστικής φύσης συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν να προσδιορισθούν πια τα υποκείμενα των δεδομένων .
Ευαίσθητα προσωπικά δεδομένα: Κάθε δεδομένο που αποκαλύπτει φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστικά όργανα ή που αφορά στην υγεία ή στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων.
Επεξεργασία Προσωπικών Δεδομένων ή Επεξεργασία: Κάθε εργασία ή σειρά εργασιών που πραγματοποιείται στα προσωπικά δεδομένα, όπως συλλογή, καταχώριση, οργάνωση, διατήρηση, αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση ή κάθε άλλης μορφής διάθεση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.
Συγκατάθεση του υποκειμένου των δεδομένων: Κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή και εν πλήρη επίγνωση και με την οποία, το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Η ενημέρωση αυτή περιλαμβάνει πληροφόρηση τουλάχιστον για το σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες δεδομένων που αφορά η επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και το όνομα, την επωνυμία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του. Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε, χωρίς αναδρομικό αποτέλεσμα.
Αποδέκτης των δεδομένων: Κάθε φυσικό ή νομικό πρόσωπο, δημόσια Αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, στον οποίο ανακοινώνονται τα δεδομένα, ανεξαρτήτως εάν πρόκειται για τρίτο μέρος ή όχι .
Τρίτος: Κάθε φυσικό ή νομικό πρόσωπο, δημόσια Αρχή ή υπηρεσία ή οποιοσδήποτε άλλος Οργανισμός, εκτός από το υποκείμενο των δεδομένων, ο Υπεύθυνος επεξεργασίας και τα πρόσωπα, που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, εφόσον αυτά ενεργούν υπό την εποπτεία ή εκ μέρος του Υπεύθυνου Επεξεργασίας.
Υπεύθυνος επεξεργασίας: Οποιοσδήποτε καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία. Όταν ο σκοπός και ο τρόπος της επεξεργασίας καθορίζονται με διατάξεις νόμου ή κανονιστικές διατάξεις εθνικού ή κοινοτικού δικαίου, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια βάσει των οποίων γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή το κοινοτικό δίκαιο.
Εκτελών την επεξεργασία: Οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός.
Αρχείο δεδομένων προσωπικού χαρακτήρα: Κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια.