Εισαγωγή

Από τις 25 Μαΐου 2018 έχει τεθεί σε εφαρμογή ο Κανονισμός (ΕΕ) 2016/679 Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (ΓΚΠΔ), τον οποίο μπορείτε να αναζητήσετε εδώ.

Η παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων για την έκδοση προσωποποιημένης κάρτας (στο εξής: Πολιτική) αφορά τον Οργανισμό με την επωνυμία «Οργανισμός Συγκοινωνιακού Έργου Θεσσαλονίκης Α.Ε.» και διακριτικό τίτλο «ΟΣΕΘ» (εφεξής: ΟΣΕΘ ή οργανισμός ή φορέας), με έδρα την Θέρμη Θεσσαλονίκης, Αγροτεμάχιο 51, Κτίριο Β1 Ganas & Ganas, με Τ.Κ. 57001, Ελλάδα.

Ο ΟΣΕΘ αποδίδει ιδιαίτερη σημασία στην προστασία των δεδομένων προσωπικού χαρακτήρα των συναλλασσόμενων και των στελεχών του, καθώς και οιωνδήποτε προσώπων επισκέπτονται τους διαδικτυακούς τόπους του οργανισμού. Για το λόγο αυτό έχει εκπονήσει την παρούσα Πολιτική προκειμένου να ενημερώσει τα ανωτέρω πρόσωπα σχετικά με τον τρόπο συλλογής, χρήσης και κοινοποίησης των προσωπικών τους δεδομένων. Μπορείτε να επικοινωνήσετε με τον υπεύθυνο επεξεργασίας στα ακόλουθα στοιχεία επικοινωνίας: τηλεφωνικός αριθμός: 2310 483070 και διεύθυνση ηλεκτρονικού ταχυδρομείου-email: info@oseth.com.gr.

Βασικοί Ορισμοί

Ακολουθούν βασικοί ορισμοί, σύμφωνα με το αρ. 4 του ΓΚΠΔ:

Δεδομένα προσωπικού χαρακτήρα: είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου

Επεξεργασία: είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

Υπεύθυνος επεξεργασίας: είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.

Εκτελών την επεξεργασία: είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

Αποδέκτης: είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.

Τρίτος: είναι οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.

Πώς συλλέγουμε δεδομένα προσωπικού χαρακτήρα σας.

Δεδομένα προσωπικού χαρακτήρα σας συλλέγονται από τον ΟΣΕΘ:

1. Με την προσέλευσή σας στα εκδοτήρια, κατόπιν υποβολής σχετικού αιτήματός σας για την έκδοση προσωποποιημένης κάρτας.
2. Με την υποβολή αιτήματός σας για την έκδοση προσωποποιημένης κάρτας στον διαδικτυακό ιστότοπο του ΟΣΕΘ.

Για ποιον σκοπό επεξεργαζόμαστε δεδομένα προσωπικού χαρακτήρα σας.

Τα δεδομένα προσωπικού χαρακτήρα σας χρησιμοποιούνται αποκλειστικά και μόνο για λόγους που αφορούν την εκπλήρωση του σκοπού δραστηριότητας του ΟΣΕΘ, δηλαδή την παροχή υπηρεσιών μεταφοράς με τα μέσα μαζικής μεταφοράς στην περιοχή αρμοδιότητας του Οργανισμού. Ειδικότερα, τα δεδομένα προσωπικού χαρακτήρα σας προορίζονται να χρησιμοποιηθούν για την έκδοση προσωποποιημένων καρτών.

Ποια δεδομένα προσωπικού χαρακτήρα σας υποβάλλονται σε επεξεργασία.

Με σκοπό την έκδοση προσωποποιημένων καρτών, σε επεξεργασία υποβάλλονται τα ακόλουθα δεδομένα προσωπικού χαρακτήρα σας:

1. Στοιχεία επικοινωνίας: Επώνυμο, Όνομα, E-mail, ταχυδρομική διεύθυνση, τηλέφωνο
2. Προσωπικά στοιχεία: AMKA ή Αριθμό Διαβατηρίου, μήνα/έτος γέννησης
3. Δεδομένα εικόνας: φωτογραφία
4. Δεδομένα συναλλαγών (κωδικοί συναλλαγών)

Εκτελούντες την επεξεργασία για τον ΟΣΕΘ

Τα δεδομένα προσωπικού χαρακτήρα σας, διαβιβάζονται σε συνεργάτες του ΟΣΕΘ, πάντοτε υπό προϋποθέσεις που εξασφαλίζουν πλήρως ότι τα προσωπικά στοιχεία σας δεν υφίστανται οποιαδήποτε παράνομη επεξεργασία, ήτοι άλλη από τον σκοπό της διαβίβασης. Ειδικότερα, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα σας αποκτούν:

1. Η AMCO ABEE, στα πλαίσια συνεργασίας με τον ΟΣΕΘ για την ανάπτυξη και συντήρηση του πληροφοριακού συστήματος Αυτοματοποιημένης Συλλογής Κομίστρου. H εν λόγω Εταιρεία επιτελεί ρόλο «Εκτελούντος την Επεξεργασία» (αρ. 4 στ. 8 του ΓΚΠΔ).
2. Η ΕΔΥΤΕ Α.Ε., η οποία παρέχει το data center G-Cloud που φιλοξενεί το υποσύστημα και η οποία επιτελεί ρόλο «Εκτελούντος την Επεξεργασία» (αρ. 4 στ. 8 του ΓΚΠΔ).
3. Η Indigital, στα πλαίσια συνεργασίας με τον ΟΣΕΘ για την ανάπτυξη και συντήρηση του portal του ΟΣΕΘ και η οποία επιτελεί ρόλο «Εκτελούντος την Επεξεργασία» (αρ. 4 στ. 8 του ΓΚΠΔ).

Νομική βάση επεξεργασίας

Τα δεδομένα προσωπικού χαρακτήρα σας υποβάλλονται σε επεξεργασία, που είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος (αρ. 6 §1 στοιχ. β του ΓΚΠΔ).

Χρονικό διάστημα τήρησης

Τα δεδομένα προσωπικού χαρακτήρα σας τηρούνται για εύλογο χρονικό διάστημα. Ειδικότερα τα δεδομένα προσωπικού σας χαρακτήρα τηρούνται:

1. Για όσο διάστημα είναι ενεργός ο λογαριασμός σας, δηλαδή μέχρι την διαγραφή του λογαριασμού σας από εσάς τους ίδιους.
2. Διαφορετικά για όσο χρονικό διάστημα επιβάλλεται από ειδικότερη νομοθεσία.
3. Σε ό,τι αφορά την φωτογραφία διαγράφεται κατά την έκδοση της κάρτας.

Μετά το πέρας του χρονικού διαστήματος τήρησης, τα δεδομένα προσωπικού χαρακτήρα σας καταστρέφονται σύμφωνα με την κείμενη νομοθεσία και τις διαδικασίες του οργανισμού. Τα δεδομένα προσωπικού χαρακτήρα ενδέχεται να τηρηθούν για μεγαλύτερο χρονικό διάστημα προς ικανοποίηση εννόμων υποχρεώσεών μας.

Εμπιστευτικότητα και Διαβίβαση των δεδομένων προσωπικού χαρακτήρα

Για την πρόσβαση στα προσωπικά δεδομένα σας έχουν οριστεί αρμόδια στελέχη του ΟΣΕΘ, που δεσμεύονται για την τήρηση εχεμύθειας και εμπιστευτικότητας, παράλληλα απαγορεύεται η πρόσβαση άνευ εξουσιοδότησης. Επίσης, οι Εκτελούντες την Επεξεργασία για λογαριασμό του ΟΣΕΘ έχουν συμφωνήσει και δεσμευτεί συμβατικά να τηρούν εχεμύθεια, να μην διαβιβάζουν σε τρίτους προσωπικά δεδομένα χωρίς την άδεια του ΟΣΕΘ, να λαμβάνουν κατάλληλα μέτρα ασφάλειας και να συμμορφώνονται με το νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων.

Δεν πραγματοποιείται διαβίβαση εκτός Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Διαβίβαση ενδέχεται να πραγματοποιηθεί στις αρμόδιες Ελληνικές Αρχές, στην περίπτωση διερεύνησης συμβάντος. Αναλυτικότερα, τα τηρούμενα προσωπικά δεδομένα δύνανται να κοινοποιηθούν στις αρμόδιες δικαστικές, αστυνομικές και άλλες διοικητικές Αρχές, κατόπιν νομίμου αιτήματός τους και σύμφωνα με τις κάθε φορά ισχύουσες νομοθετικές διατάξεις. Επιπλέον, σε περίπτωση νόμιμης διάταξης εισαγγελικής ή άλλης Αρχής, ή διεξαγωγής τακτικής ανάκρισης ή προκαταρκτικής εξέτασης, ο οργανισμός υποχρεούται να θέσει τα σχετικά στοιχεία στη διάθεση της αιτούσας Αρχής.

Τεχνικά και οργανωτικά μέτρα για την προστασία δεδομένων

Σύμφωνα με τα αρ. 24, 32 κ.ά του ΓΚΠΔ, ο ΟΣΕΘ, υπό την ιδιότητα του υπευθύνου επεξεργασίας, εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων. Ενδεικτικά, σημειώνεται ότι ο ΟΣΕΘ έχει προβεί στον ορισμό DPO, ως οφείλει βάσει του αρ. 37 §1 στοιχ. α’ του ΓΚΠΔ. Λαμβάνει τεχνικά και οργανωτικά μέτρα για την προστασία τόσο του φυσικού και ψηφιακού του αρχείου. Προέβη στην εκπόνηση Μελέτης Εκτίμησης Αντικτύπου Προστασίας Δεδομένων (ΜΕΑΠΔ/DPIA), για όσες διαδικασίες απαιτείται (όπως για το ψηφιακό κόμιστρο), κατά τα οριζόμενα στο αρ. 35 του ΓΚΠΔ και στην Απόφαση 65/2018 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

Δικαιώματα υποκειμένων των δεδομένων

Σύμφωνα με το αρ. 12 του ΓΚΠΔ, ο ΟΣΕΘ (ως υπεύθυνος επεξεργασίας) επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων. Επιπλέον, ο υπεύθυνος επεξεργασίας παρέχει στα υποκείμενα των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος τους χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων.

Αναλυτικότερα, ως υποκείμενα των δεδομένων μπορείτε να αιτηθείτε:

1. Δικαίωμα πρόσβασης: μπορείτε να αιτηθείτε ανά πάσα στιγμή, ενημέρωση από τον ΟΣΕΘ για το εάν επεξεργάζεται προσωπικά σας δεδομένα και, σε καταφατική περίπτωση, να ζητήσετε να ενημερωθείτε για τον σκοπό της επεξεργασίας, το είδος των δεδομένων που αποτελούν αντικείμενο επεξεργασίας, σε ποιους διαβιβάζονται, πόσο διάστημα αποθηκεύονται, αν γίνεται αυτοματοποιημένη λήψη αποφάσεων, σύμφωνα με το αρ. 15 του ΓΚΠΔ.
2. Δικαίωμα διόρθωσης: μπορείτε να ζητήσετε από τον ΟΣΕΘ τη διόρθωση ανακριβών ή ανεπίκαιρων δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επίσης, μπορείτε να αιτηθείτε την συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης, σύμφωνα με το αρ. 16 του ΓΚΠΔ.
3. Δικαίωμα διαγραφής: μπορείτε να ζητήσετε την διαγραφή δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το αρ. 17 ΓΚΠΔ.
4. Δικαίωμα περιορισμού της επεξεργασίας: μπορείτε να αιτηθείτε τον περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σας, σύμφωνα με το αρ. 18 του ΓΚΠΔ.
5. Δικαίωμα στη φορητότητα των δεδομένων: το Υποκείμενο των Δεδομένων, υπό τις προϋποθέσεις του άρ. 20 ΓΚΠΔ, να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία έχει παράσχει στον υπεύθυνο επεξεργασίας σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο.

Η ικανοποίηση ή όχι των ανωτέρω δικαιωμάτων σταθμίζεται από κοινού με ειδικότερη νομοθεσία.

Τρόπος άσκησης δικαιωμάτων

Τα αιτήματα σας, απευθύνονται στον υπεύθυνο επεξεργασίας (ΟΣΕΘ) στην διεύθυνση ηλεκτρονικής αλληλογραφίας info@oseth.com.gr ή/και στον τηλεφωνικό αριθμό 2310 483070. Όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα σας, μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας σας. Εφόσον εξακριβωθεί η ταυτότητα σας, ο υπεύθυνος επεξεργασίας σας παρέχει πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν του αιτήματος σας, χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας σας ενημερώνει για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν υποβάλλεται το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν έχετε ζητήσει κάτι διαφορετικό.

Επικοινωνία με την ΑΠΔΠΧ

Σε περίπτωση που μετά από την επικοινωνίας σας με τον Οργανισμό δεν ικανοποιήθηκε το αίτημά σας μπορείτε να προβείτε σε καταγγελία στην ΑΠΔΠΧ ηλεκτρονικά https://www.dpa.gr/el/polites/katagelia_stin_arxi) ή με την αποστολή email: complaints@dpa.gr ή  ταχυδρομικά, Λ. Κηφισίας 1-3, 115 23 Αθήνα ή και με αυτοπροσώπως στα γραφεία της Αρχής (1ος όροφος). Ώρες 09:00 – 13:00.

Επικοινωνία με τον DPO του ΟΣΕΘ

Υπεύθυνος Προστασίας Δεδομένων του ΟΣΕΘ, είναι η COMPUTER STUDIO ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΕΜΠΟΡΙΑ ΚΑΙ ΥΠΗΡΕΣΙΕΣ ΗΛΕΚΤΡΟΝΙΚΩΝ ΥΠΟΛΟΓΙΣΤΩΝ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ με έδρα την Λεωφόρο Βουλιαγμένης 223, Δάφνη Αττικής και Τ.Κ. 17237. Μπορείτε πάντοτε να επικοινωνείτε με τον DPO του Οργανισμού στην διεύθυνση ηλεκτρονικού ταχυδρομείου-email: dpo@oseth.com.gr.