Στο πλαίσιο του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 που τέθηκε σε ισχύ από τις 25.05.2018, (στο εξής ο «Γενικός Κανονισμός για την Προστασία Δεδομένων» ή «Κανονισμός» ή «GDPR»), και του ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις» ακολουθεί περιγραφή των μηχανισμών για την ορθή εφαρμογή των προβλέψεων του Κανονισμού και του ν. 4624/2019 αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

Ο Κανονισμός αντικατέστησε το προϋφιστάμενο νομικό πλαίσιο για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά σε διατάξεις του ν. 2472/1997, νοείται ως αναφορά στις αντίστοιχες διατάξεις του Κανονισμού και του ν. 4624/2019.

Για τον προσδιορισμό των ορισμών που χρησιμοποιούνται στην παρούσα Πολιτική Διαχείρισης Προσωπικών Δεδομένων παραπέμπουμε στο κείμενο του Κανονισμού όπως αυτό έχει δημοσιευθεί στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Πληροφορίες για τα στοιχεία του Υπευθύνου Επεξεργασίας, τα υποκείμενα των δεδομένων, τις κατηγορίες δεδομένων που επεξεργάζεται το ΤΕΚΕ, τις πηγές άντλησης αυτών, τις νομικές βάσεις για την επεξεργασία των δεδομένων, τους σκοπούς επεξεργασίας, τους αποδέκτες αυτών, τον χρόνο τήρησής τους, τα δικαιώματα των υποκειμένων και τα στοιχεία του Υπεύθυνου Προστασίας Δεδομένων, αντλούνται από τις Δηλώσεις Προστασίας Δεδομένων Προσωπικού Χαρακτήρα των Καταθετών/Επενδυτών - Πελατών Πιστωτικών Ιδρυμάτων. Υπόδειγμα της δήλωσης συγκατάθεσης για την επεξεργασία προσωπικών δεδομένων από το ΤΕΚΕ θα βρείτε εδώ.

Συμπληρωματικά αναφέρουμε τα ακόλουθα:

1. Σε περίπτωση που ζητηθούν από το υποκείμενο των δεδομένων πληροφορίες για τα τηρούμενα και επεξεργαζόμενα δεδομένα του, το ΤΕΚΕ, ως υπεύθυνος επεξεργασίας, παρέχει στο υποκείμενο, γραπτώς ή με άλλα μέσα, μεταξύ των οποίων περιλαμβάνονται και τα ηλεκτρονικά μέσα, κάθε πληροφορία που θα του ζητηθεί, χρησιμοποιώντας συνοπτική, διαφανή, εύκολα προσβάσιμη μορφή και σαφή και απλή διατύπωση. Οι πληροφορίες αυτές οι οποίες παρέχονται δωρεάν, δίδονται χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος, προθεσμίας που δύναται να παραταθεί κατά δύο ακόμα μήνες με έγγραφη ειδοποίηση του υποκειμένου, λαμβανομένου υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτουμένων πληροφοριών. Εάν τα αιτήματα του υποκειμένου είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί αιτιολογημένα να δώσει συνέχεια στο αίτημα.
2. Το ΤΕΚΕ ενημερώνει το υποκείμενο, με κοινοποίηση προς αυτό για: την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας ή του εξουσιοδοτημένου από τον υπεύθυνο επεξεργασίας προσώπου, τα νόμιμα συμφέροντα του υπευθύνου επεξεργασίας, ως δικαιολογητική βάση της επεξεργασίας, τις κατηγορίες των δεδομένων που τυγχάνουν επεξεργασίας, τους αποδέκτες ή κατηγορίες αποδεκτών των δεδομένων, την ανακοίνωση της μεταφοράς των δεδομένων σε τρίτες χώρες, την περίοδο διατήρησης των αρχείων των δεδομένων, τα δικαιώματα των υποκειμένων στην πρόσβαση, διόρθωση, διαγραφή, περιορισμό της επεξεργασίας και εναντίωσης σε αυτή, το δικαίωμα φορητότητας, το δικαίωμα στην μη αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ, το δικαίωμα του υποκειμένου που έχει παράσχει τη συναίνεσή του/συγκατάθεσή του για επεξεργασία, να ανακαλέσει αυτήν οποτεδήποτε και το δικαίωμα υποβολής καταγγελίας σε εποπτεύουσα αρχή.
3. Σε περίπτωση υποβολής αιτήματος διακοπής συγκέντρωσης/οριστικής διαγραφής δεδομένων ή αιτήματος χρήσης του δικαιώματος λήθης από το υποκείμενο, το ΤΕΚΕ προβαίνει στην άμεση διακοπή συγκέντρωσης αυτών των δεδομένων και οριστική διαγραφή όσων έχουν συλλεγεί, με την παράδοση, με απόδειξη παραλαβής, αυτών στα υποκείμενα ή με την υλική καταστροφή των δεδομένων ή με την ολική διαγραφή από τους Η/Υ.
4. Σε περίπτωση παραβίασης της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή άνευ αδείας κοινολόγηση ή πρόσβαση στα δεδομένα ή υπονοιών για παραβίαση της ασφάλειας, το ΤΕΚΕ θα απευθυνθεί άμεσα στον υπεύθυνο προς έλεγχο και προστασία των Η/Υ καθώς και σε εξειδικευμένους συμβούλους για την διαπίστωση του τρόπου παραβίασης και κάλυψη του υπάρχοντος κενού που δημιουργήθηκε. Ως τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση στα δεδομένα θεωρείται ενδεικτικά: η απώλεια συσκευών οι οποίες έχουν αποθηκευμένα δεδομένα, μη εξουσιοδοτημένη/παράνομη πρόσβαση και επιθέσεις με διάφορα τεχνολογικά μέσα.
5. Σε περίπτωση κατά την οποία έχει υπάρξει παραβίαση δεδομένων προσωπικού χαρακτήρα, που ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων, το ΤΕΚΕ ανακοινώνει αμελλητί, εγγράφως, με αποστολή επιστολής, την παραβίαση των δεδομένων προσωπικού χαρακτήρα, στο υποκείμενο των δεδομένων.
6. Το ΤΕΚΕ προβαίνει σε συνεχή ενημέρωση και εκπαίδευση του προσωπικού για εξασφάλιση της απαιτούμενης προσοχής, εγρήγορσης και αντιμετώπισης περιστατικών παραβίασης δεδομένων.
7. Σε περίπτωση περιστατικού παραβίασης το ΤΕΚΕ, ως υπεύθυνος επεξεργασίας, ενημερώνει δια του Διευθυντή του ΤΕΚΕ εντός εβδομήντα δύο (72) ωρών, από τον εντοπισμό του συμβάντος της παραβίασης τις αρμόδιες αρχές.
8. Στο πλαίσιο συμμόρφωσης με τον Κανονισμό το ΤΕΚΕ αναρτά Δηλώσεις Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στον διαδικτυακό του ιστότοπο (www.teke.gr) για την ενημέρωση των Καταθετών/Επενδυτών – Πελατών Πιστωτικών Ιδρυμάτων.
9. Το ΤΕΚΕ αξιολογεί εκτενώς τα υπάρχοντα μέτρα ασφαλείας και ορίζει οργανωτικά και τεχνικά μέτρα, ώστε να προστατεύεται η εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα και η σύννομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Ειδικότερα έχει διαμορφώσει την Πολιτική Ασφαλείας Πληροφοριών & Πληροφοριακών Συστημάτων ΤΕΚΕ, καθώς και ένα σύνολο επιμέρους πολιτικών και διαδικασιών για τη διασφάλιση των βέλτιστων πρακτικών σε θέματα ασφαλείας των δεδομένων προσωπικού χαρακτήρα. Επιπλέον το ΤΕΚΕ έχει αναπτύξει ένα πρόγραμμα εκπαίδευσης και ευαισθητοποίησης του προσωπικού του με σκοπό την εξασφάλιση της συνεχούς ενημέρωσης, όχι μόνο για θέματα ασφαλείας, αλλά γενικότερα για θέματα προστασίας των δεδομένων προσωπικού χαρακτήρα.
10. Το ΤΕΚΕ δύναται να επικαιροποιήσει, συμπληρώσει ή/και τροποποιήσει την παρούσα Πολιτική Διαχείρισης Προσωπικών Δεδομένων, σύμφωνα με το εκάστοτε ισχύον κανονιστικό και νομοθετικό πλαίσιο.

Within the framework of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, which entered into force on 25 May 2018 (hereinafter the “General Data Protection Regulation” or the “Regulation” or “GDPR”), and Law No. 4624/2019 “Hellenic Data Protection Authority; measures for the implementation of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and for the transposition into national law of Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016, and other provisions”, a description follows of the mechanisms for the proper implementation of the provisions of the Regulation and Law No. 4624/2019 with regard to the processing of personal data.

The Regulation replaced the pre-existing legal framework for the protection of individuals with regard to the processing of personal data. Any reference in provisions of the applicable legislation to the provisions of Law No. 2472/1997 shall be deemed to refer to the corresponding provisions of the Regulation and Law No. 4624/2019.

For the determination of the definitions used in this Personal Data Management Policy, reference is made to the text of the Regulation as published in the Official Journal of the European Union.

Information regarding the details of the Data Controller, the data subjects, the categories of data processed by TEKE, the sources from which such data are collected, the legal bases for the processing, the purposes of processing, the recipients of the data, the retention period, the rights of the data subjects, and the details of the Data Protection Officer is derived from the Personal Data Protection Statements of Depositors/Investors – Clients of Credit Institutions. A template of the consent statement for the processing of personal data by TEKE can be found here.

Additionally, the following are noted:

1. Where the data subject requests information regarding the personal data held and processed concerning him or her, TEKE, acting as Data Controller, shall provide the data subject, in writing or by other means, including electronic means, with any information requested, using a concise, transparent, intelligible and easily accessible form, and clear and plain language. Such information, which is provided free of charge, shall be supplied without undue delay and in any event within one (1) month of receipt of the request; that period may be extended by a further two (2) months, with written notification to the data subject, taking into account the complexity of the request and the number of requests. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the Data Controller may refuse, with justification, to act on the request.
2. TEKE shall inform the data subject, by notification, of the following: the identity and contact details of the Data Controller or of the person authorised by the Data Controller; the legitimate interests pursued by the Data Controller as the legal basis for the processing; the categories of personal data processed; the recipients or categories of recipients of the data; the disclosure of any transfer of data to third countries; the data retention period; the rights of the data subjects to access, rectification, erasure, restriction of processing and objection to processing; the right to data portability; the right not to be subject to automated individual decision-making, including profiling; the right of the data subject who has provided consent to processing to withdraw such consent at any time; and the right to lodge a complaint with a supervisory authority.
3. In the event that a data subject submits a request for cessation of collection and/or permanent erasure of data, or a request to exercise the right to be forgotten, TEKE shall proceed immediately with the cessation of collection of such data and the permanent erasure of data already collected, either by delivering such data to the data subject against receipt, by physical destruction of the data, or by complete deletion from computer systems.
4. In the event of a security breach resulting in accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data, or in the event of suspicions of a security breach, TEKE shall immediately contact the person responsible for the inspection and protection of computer systems, as well as specialised consultants, in order to identify the manner of the breach and remedy the existing vulnerability. Indicative examples of accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to data include the loss of devices containing stored data, unauthorised or unlawful access, and attacks carried out using various technological means.
5. Where a personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, TEKE shall communicate the personal data breach to the data subject without undue delay, in writing, by sending a letter.
6. TEKE shall ensure continuous information and training of its personnel in order to secure the required level of diligence, vigilance and effective response to personal data breach incidents.
7. In the event of a personal data breach incident, TEKE, acting as Data Controller, shall notify 7. the competent authorities, through the Director of TEKE, within seventy-two (72) hours from the moment the breach is identified.
8. In the context of compliance with the Regulation, TEKE publishes Personal Data Protection Statements on its website (www.teke.gr) for the purpose of informing Depositors/Investors – Clients of Credit Institutions.
9. TEKE thoroughly evaluates the existing security measures and defines organisational and technical measures in order to safeguard the confidentiality, integrity, availability and lawful processing of personal data. In particular, TEKE has established an Information and Information Systems Security Policy, as well as a set of specific policies and procedures to ensure best practices in matters of personal data security. Furthermore, TEKE has developed a staff training and awareness programme aimed at ensuring continuous information, not only on security matters but also more generally on the protection of personal data.
10. 10. TEKE may update, supplement and/or amend this Personal Data Management Policy in accordance with the applicable regulatory and legislative framework in force at any given time.