Πολιτική Απορρήτου

Προστασία Δεδομένων

Σκοπός και πεδίο εφαρμογής

Η Book4travel  (εφεξής «Εταιρεία») δεσμεύεται να προστατεύει τα προσωπικά δεδομένα και να αποφεύγει την κακή χρήση των προσωπικών δεδομένων.

Αυτή η πολιτική ισχύει για όλους τους υπαλλήλους, κοινό, αντιπροσώπους και εργολάβους της Εταιρείας, συμπεριλαμβανομένων και των εξωτερικών συνεργατών, και δημιουργεί ένα ελάχιστο πρότυπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα καθώς επίσης ορίζει εφεξής και τις αρμοδιότητές τους.

Νομική βάση

Η πολιτική αυτή είναι σύμφωνη με τον Γενικό Κανονισμό Προστασίας Δεδομένων της ΕΕ (ΓΚΠΔ) και το Νόμο 4624/19 για την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων, όπως τροποποιήθηκε και ισχύει, καθώς και με κάθε δευτερογενές δίκαιο / γνωμοδοτήσεις / αποφάσεις που εκδόθηκαν από την Ελληνική Αρχή Προστασίας Δεδομένων και οποιαδήποτε σχετική νομοθεσία.

Ορισμοί

Τα προσωπικά δεδομένα είναι πληροφορίες που μπορούν να σχετίζονται με ένα άτομο – φυσικό πρόσωπο. Τα δεδομένα θεωρούνται προσωπικά εάν ταυτοποιείται το πρόσωπο το οποίο αφορούν.

Ειδικές κατηγορίες δεδομένων (επίσης γνωστές ως ευαίσθητα προσωπικά δεδομένα) αφορούν:

α) Θρησκευτικές, φιλοσοφικές, πολιτικές ή συνδικαλιστικές απόψεις ή δραστηριότητες,

β) την υγεία, γενετική ή βιομετρική πληροφόρηση, το συγγενικό περιβάλλον ή τη φυλετική και εθνική καταγωγή, δεδομένα σχετικά με τη σεξουαλική ζωή ενός ατόμου ή τον σεξουαλικό προσανατολισμό

γ) ποινικές διαδικασίες και καταδίκες

Κατάρτιση προφίλ είναι μια συλλογή δεδομένων που επιτρέπει την εκτίμηση των χαρακτηριστικών ενός ατόμου και συνεπώς σημαντικών πτυχών της προσωπικότητάς του / της.

Το υποκείμενο δεδομένων είναι φυσικό πρόσωπο στο οποίο αφορούν τα προσωπικά δεδομένα.

Η επεξεργασία δεδομένων είναι οποιαδήποτε δραστηριότητα που περιλαμβάνει προσωπικά δεδομένα, ανεξάρτητα από τα μέσα και τη διαδικασία που εφαρμόζεται, π.χ. η συλλογή, αποθήκευση, χρήση, αναθεώρηση, αποκάλυψη, μεταφορά, αρχειοθέτηση, προβολή και καταστροφή προσωπικών δεδομένων.

Ως αρχείο δεδομένων νοείται κάθε απόθεμα προσωπικών δεδομένων που είναι διαρθρωμένο κατά τρόπο που να επιτρέπει την ταυτοποίηση του εν λόγω προσώπου από τα δεδομένα. Π.χ. οποιοδήποτε εργαλείο πληροφορικής που περιέχει προσωπικά δεδομένα.

Ως διαβίβαση νοείται η πρόσβαση στα προσωπικά δεδομένα, για παράδειγμα επιτρέποντας πρόσβαση, μετάδοση ή δημοσίευση.

Η εκτίμηση αντικτύπου στα προσωπικά δεδομένα είναι μια συστηματική διαδικασία για τον εντοπισμό, την αξιολόγηση και την τεκμηρίωση των κινδύνων και των επιπτώσεων των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Ο υπεύθυνος επεξεργασίας είναι το νομικό πρόσωπο που αποφασίζει για το σκοπό, το περιεχόμενο και τη διαδικασία επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Ο εκτελών την επεξεργασία είναι ένα φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας δεδομένων.

Γενικές υποχρεώσεις κατά την επεξεργασία προσωπικών δεδομένων

Αρχές επεξεργασίας δεδομένων: Κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πρέπει να συμμορφώνεται με τις ακόλουθες αρχές.

Νόμιμη επεξεργασία

Τα προσωπικά δεδομένα μπορούν να υποβάλλονται σε επεξεργασία αποκλειστικά με νόμιμο τρόπο. Ο εκτελών την επεξεργασία πρέπει να διασφαλίζει τη συμμόρφωση με την παρούσα πολιτική και τους σχετικούς νόμους και κανονισμούς

Συγκατάθεση

Πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται και να δίνει τη συγκατάθεσή του οικειοθελώς. Η συγκατάθεση μπορεί να δίδεται ρητά ή σιωπηρά, π.χ. με την παροχή προσωπικών δεδομένων στον υπεύθυνο επεξεργασίας δεδομένων. Η συγκατάθεση δεν χρειάζεται απαραίτητα να είναι γραπτή, ωστόσο, προκειμένου να αποδεικνύεται η συναίνεση (π.χ. προς δικαστήρια και αρχές), συνιστάται γραπτή ή ηλεκτρονική συγκατάθεση ή επιτρεπόμενη καταγραφή κλήσεων (αποδοχή από το Υποκείμενο). Το υποκείμενο των δεδομένων μπορεί να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή.

Δεν απαιτείται συγκατάθεση στις ακόλουθες περιπτώσεις:

α) εάν το υποκείμενο των δεδομένων έχει γενικά καταστήσει τα προσωπικά του δεδομένα δημόσια προσβάσιμα, π.χ. πληροφορίες που δίδονται σε εφημερίδα ή τηλεφωνικούς καταλόγους, και δεν έχει απαγορεύσει την επεξεργασία τους,

β) για την εκτέλεση σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος,

γ) προκειμένου να ληφθούν μέτρα σχετικά με το αίτημα του υποκειμένου των δεδομένων πριν από τη σύναψη της σύμβασης,

δ) για τη συμμόρφωση με τις νομικές υποχρεώσεις του υπεύθυνου επεξεργασίας δεδομένων,

ε) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,

στ) εάν τα νόμιμα συμφέροντα που επιδιώκει η Εταιρεία ή τρίτος υπερισχύουν των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, εκτός εάν τα εν λόγω συμφέροντα υπερισχύουν των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.

Υποχρέωση πληροφόρησης

Το υποκείμενο των δεδομένων πρέπει να γνωρίζει επαρκώς τα προσωπικά δεδομένα που θα συλλεχθούν και του σκοπούς της επεξεργασίας τους, πριν δώσει τη συγκατάθεσή του.

Το υποκείμενο δεδομένων πρέπει να ενημερώνεται, τουλάχιστον, σχετικά με:

α) τη ταυτότητα του υπευθύνου επεξεργασίας δεδομένων, δηλ. της Εταιρείας (στις περισσότερες περιπτώσεις),
β) τα στοιχεία επικοινωνίας του DPO, όταν έχει οριστεί με βάση τις διατάξεις,
γ) το είδος των επεξεργαζόμενων προσωπικών δεδομένων,
δ) το σκοπό της επεξεργασίας,
ε) το έννομο συμφέρον της Εταιρείας για την επεξεργασία των προσωπικών δεδομένων, κατά περίπτωση,
στ) τις κατηγορίες του παραλήπτη δεδομένων εάν έχει προγραμματιστεί αποκάλυψη,
ζ) τις λεπτομέρειες μίας σχεδιαζόμενης διασυνοριακής μεταφοράς,
η) την περίοδο διατήρησης των δεδομένων ή κριτήριων που χρησιμοποιήθηκαν για τον καθορισμό τους,
θ) εάν εφαρμόζεται αυτοματοποιημένη λήψη αποφάσεων και τη σημασία της επεξεργασίας για το υποκείμενο των δεδομένων,
ι) οδηγίες σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων.

Σκοπός επεξεργασίας

Τα προσωπικά δεδομένα μπορούν να υποβάλλονται σε επεξεργασία μόνο για τον σκοπό που υποδεικνύεται κατά τη στιγμή της συλλογής, ή για το σκοπό που προβλέπεται από το νόμο. Η επεξεργασία των προσωπικών δεδομένων πρέπει να γίνεται με καλή πίστη και τα δεδομένα που συλλέγονται ή αποθηκεύονται πρέπει να είναι απαραίτητα για την εκπλήρωση του σκοπού της επεξεργασίας τους.

Κάθε πρόσωπο που επεξεργάζεται δεδομένα είναι υπεύθυνο να διασφαλίσει ότι η επεξεργασία είναι νόμιμη και συνεπής με το σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα.

Ποιότητα δεδομένων

Κάθε πρόσωπο που επεξεργάζεται προσωπικά δεδομένα πρέπει να διασφαλίζει ότι τα δεδομένα είναι ορθά και πλήρη.

Η Εταιρεία πρέπει να λαμβάνει κάθε τεχνικό και οργανωτικό μέτρο προκειμένου να διασφαλίσει ότι τα προσωπικά δεδομένα, που είναι λανθασμένα ή ελλιπή, διορθώνονται ή καταστρέφονται.

Διαβίβαση σε τρίτους

Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται σε τρίτους μόνον εφόσον είναι απαραίτητο. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να παρέχονται ανωνύμως, εφόσον κρίνεται σκόπιμο.

Τρίτος εκτελών την επεξεργασία για λογαριασμό της Εταιρείας, π.χ. ένας εργολάβος ή πάροχος υπηρεσιών, πρέπει να συμφωνήσει συμβατικά για την επεξεργασία προσωπικών δεδομένων σύμφωνα με την παρούσα πολιτική. Οι όροι αυτής της πολιτικής συμπεριλαμβάνονται με παραπομπή στις σχετικές συμβάσεις.

Διασυνοριακή αποκάλυψη προσωπικών δεδομένων

Τα δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται στο εξωτερικό μόνο εάν ο αλλοδαπός νόμος προβλέπει επαρκές επίπεδο προστασίας των δεδομένων. Σε περίπτωση που ο αλλοδαπός νόμος δεν παρέχει επαρκές επίπεδο προστασίας δεδομένων, τα δεδομένα προσωπικού χαρακτήρα μπορούν να μεταφερθούν σε αυτή τη χώρα μόνον εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει συναινέσει ρητά στη μεταφορά ή εάν η προστασία δεδομένων προβλέπεται από την κατάλληλη συμφωνία περί μεταφοράς δεδομένων.

Η Εταιρεία θα λαμβάνει το κατάλληλο προσωπικό, τεχνικά και οργανωτικά μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας προσωπικών δεδομένων.

Συγκεκριμένα, η Εταιρεία θα λαμβάνει διασφαλίσεις για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση και επεξεργασία. Με τον τρόπο αυτό θα ληφθούν υπόψη οι τεχνολογικές καινοτομίες και θα καθοριστούν διαδικασίες ασφαλείας προσαρμοσμένες στις ιδιαιτερότητες της επεξεργασίας.

Αποθήκευση και διατήρηση δεδομένων

Τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται για όσο χρόνο απαιτείται για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν τα δεδομένα. Τα στοιχεία της αποθήκευσης δεδομένων και των περιόδων διατήρησης καθορίζονται στην Πολιτική Διατήρησης Δεδομένων της Εταιρείας.

Δικαιώματα των υποκειμένων των δεδομένων

Κάθε υποκείμενο δεδομένων έχει τα ακόλουθα δικαιώματα σύμφωνα με το ΓΚΠΔ:

α) Το δικαίωμα ενημέρωσης,
β) Το δικαίωμα πρόσβασης,
γ) Το δικαίωμα διόρθωσης,
δ) Το δικαίωμα διαγραφής,
ε) Το δικαίωμα περιορισμού της επεξεργασίας,
στ) Το δικαίωμα στη φορητότητα δεδομένων,
ζ) Το δικαίωμα αντίρρησης,
η) Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και τη δημιουργία προφίλ.

Οι υπάλληλοι της Εταιρείας οφείλουν να σέβονται το αίτημα πρόσβασης του υποκειμένου των δεδομένων.

Καταγραφή παραβίασης δεδομένων

Κάθε παράβαση αυτής της πολιτικής, των σχετικών νόμων και κανονισμών προστασίας δεδομένων συνιστά παραβίαση προσωπικών δεδομένων. Ενδεικτικά συμβάντα είναι η παράνομη καταστροφή, απώλεια, αλλοίωση, η μη εξουσιοδοτημένη αποκάλυψη, καθώς και η επεξεργασία δεδομένων χωρίς συγκατάθεση ή για σκοπούς άλλους από εκείνους που υποδεικνύονται τη στιγμή της συλλογής.

Ειδοποίηση για παραβίαση δεδομένων

Η Εταιρεία πρέπει να ειδοποιήσει την αρμόδια εποπτική αρχή για την παραβίαση δεδομένων εντός 72 ωρών από τη στιγμή που λαμβάνει γνώση.

Επιπλέον, εάν η παραβίαση των προσωπικών δεδομένων είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται χωρίς καθυστέρηση.

Τεκμηρίωση των αρχείων δεδομένων

Η Εταιρεία τηρεί κατάλογο όλων των βάσεων δεδομένων και των αρχείων που περιέχουν προσωπικά δεδομένα. Ο κατάλογος περιλαμβάνει τις ακόλουθες ελάχιστες πληροφορίες:

α) το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας δεδομένων και κάθε κοινού υπεύθυνου επεξεργασίας δεδομένων,
β) όνομα και στοιχεία επικοινωνίας του DPO,
γ) περιγραφή της βάσης δεδομένων ή του αρχείου,
δ) σκοπός της βάσης δεδομένων ή του αρχείου,
ε) περιγραφή των κατηγοριών επεξεργαζόμενων προσωπικών δεδομένων, π.χ. διεύθυνση, πληροφορίες για την υγεία κ.λπ.,
στ) περιγραφή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα,
ζ) περιγραφή των κατηγοριών των αποδεκτών δεδομένων, στους οποίους έχουν διαβιβαστεί ή πρόκειται να γνωστοποιηθούν τα προσωπικά δεδομένα, συμπεριλαμβανομένων των αποδεκτών σε τρίτες χώρες,
η) περιγραφή της διασυνοριακής μεταφοράς δεδομένων,
θ) τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων, όπου είναι δυνατόν,
ι) γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας, όπου είναι δυνατόν,
κ) τις λεπτομέρειες μεταφοράς δεδομένων εκτός της ΕΕ.

Τα αρχεία δεδομένων ταξινομούνται ανάλογα με την ανάγκη προστασίας τους.

Κατάρτιση και ευαισθητοποίηση

Κάθε υπάλληλος της Εταιρείας εκπαιδεύεται σε θέματα προστασίας δεδομένων και ασφάλειας δεδομένων.

Αρμοδιότητες

Υπεύθυνος επεξεργασίας δεδομένων

Ο υπεύθυνος επεξεργασίας δεδομένων της Εταιρείας, είναι υπεύθυνος για την ορθή επεξεργασία των προσωπικών δεδομένων και την τήρηση των απαιτήσεων προστασίας δεδομένων και ασφάλειας δεδομένων όπως ορίζεται στην παρούσα πολιτική ή σύμφωνα με την ισχύουσα νομοθεσία. Συγκεκριμένα, για:

α) την τήρηση των αρχών «προστασία των δεδομένων από τον σχεδιασμό» και «προστασία των δεδομένων εξ ορισμού» κατά την ανάπτυξη νέων δραστηριοτήτων επεξεργασίας δεδομένων,
β) τη σωστή κατανομή των δικαιωμάτων των υποκειμένων των δεδομένων,
γ) διεξαγωγή εκτιμήσεων αντικτύπου για την προστασία των προσωπικών δεδομένων με τη βοήθεια του υπεύθυνου προστασίας δεδομένων,
δ) διορίζει τον εκτελούντα την επεξεργασία,
ε) την κοινοποίηση παραβίασης των προσωπικών δεδομένων στην εποπτική αρχή και στο υποκείμενο των δεδομένων (κατά περίπτωση).

Ο εκτελών την επεξεργασία

Ο εκτελών την επεξεργασία είναι υπεύθυνος για την επεξεργασία των προσωπικών δεδομένων σύμφωνα με τις οδηγίες που λαμβάνει από τον υπεύθυνο επεξεργασίας δεδομένων. Επιπλέον, ο εκτελών την επεξεργασία είναι υπεύθυνος να ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον υπεύθυνο επεξεργασίας δεδομένων σχετικά με την παραβίαση της προστασίας δεδομένων.

Ο εκτελών την επεξεργασία πρέπει να επιτρέπει συμβατικά σε οποιονδήποτε ενδεχόμενο υπεργολάβο, που λαμβάνει εντολή να εκτελέσει την επεξεργασία δεδομένων, να συμμορφώνεται με τις ίδιες οδηγίες που λαμβάνει από τον υπεύθυνο επεξεργασίας δεδομένων.

Παραβίαση της πολιτικής προστασίας δεδομένων

Οι πιθανές κυρώσεις και ζημίες που απορρέουν από την παραβίαση προστασίας δεδομένων είναι σοβαρές τόσο για το πρόσωπο που διαπράττει την παραβίαση όσο και για την Εταιρεία.

ΤΙ ΔΕΔΟΜΕΝΑ ΕΠΕΞΕΡΓΑΖΟΜΑΣΤΕ ΣΤΗΝ BOOK4TRAVEL

Για να εκτελεστούν οι συμβάσεις με τους πελάτες και να δοθούν απρόσκοπτα οι υπηρεσίες μας, για να τηρηθεί ο νόμος και για να διεκπεραιωθούν πληρωμές, συλλέγουμε και επεξεργαζόμαστε στο πλαίσιο υπηρεσιών ταξιδίων και φιλοξενίας (Ξενοδοχεία, αερομεταφορές, μεταφορά μετρητών, θαλάσσιες μεταφορές, συνεδριακό τουρισμό, προγράμματα αναψυχής, μετακινήσεις) τα εξής δεδομένα:

Για λογαριασμό των προμηθευτών μας ονοματεπώνυμο, προορισμό, ημερομηνίες, στοιχεία ταυτότητας ή διαβατηρίου, ηλεκτρονικό ταχυδρομείο, τηλέφωνο, κάρτες επιβράβευσης αφοσιωμένου πελάτη, αριθμό κυκλοφορίας οχήματος, επαγγελματική ιδιότητα, ημερομηνία γέννησης, εθνικότητα, φύλο, συνήθειες διατροφής, προτιμήσεις.

Για τη διευκόλυνση της επικοινωνίας με τον πελάτη η Book4Travel διατηρεί τα δεδομένα: ονοματεπώνυμο, διεύθυνση, ηλεκτρονικό ταχυδρομείο και τηλέφωνο.