Η ΔΕΗ, υπό την ιδιότητα του Υπευθύνου επεξεργασίας, σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») και τις σχετικές διατάξεις της ελληνικής νομοθεσίας περί προστασίας δεδομένων προσωπικού χαρακτήρα, όπως ισχύουν, με την παρούσα, ενημερώνει για τις κατηγορίες προσωπικών δεδομένων που συλλέγει, τα υποκείμενα των προσωπικών δεδομένων, τον σκοπό της συλλογής τους και της επεξεργασίας τους, τους τυχόν αποδέκτες αυτών, τον χρόνο τήρησής τους, την τυχόν διαβίβασή τους εκτός Ε.Ε. καθώς και για τα δικαιώματά τους, σε σχέση με τα δεδομένα τους και πώς μπορούν να τα ασκήσουν, με την επιφύλαξη των ειδικότερων προβλέψεων του N. 4990/2022 περί προστασίας προσώπων που αναφέρουν παραβιάσεις ενωσιακού δικαίου και ειδικότερων ρυθμίσεων που αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές.
Στο πλαίσιο της υποβολής και διερεύνησης αναφορών μέσω των εσωτερικών διαύλων, η ΔΕΗ ενεργεί ως Υπεύθυνος Επεξεργασίας για τα προσωπικά δεδομένα που συλλέγονται σχετικά με τις αναφορές που αφορούν την ίδια.
Ποιες είναι οι κατηγορίες Προσωπικών Δεδομένων που συλλέγονται
Τα δεδομένα, τα οποία τίθενται υπό επεξεργασία, είναι τα δεδομένα που περιλαμβάνονται σε αναφορές καθώς και δεδομένα που τυγχάνουν επεξεργασίας κατά την υποβολή, παρακολούθηση, διαχείριση και αρχειοθέτηση αναφορών. Ενδεικτικά, επεξεργαζόμαστε δεδομένα, όπως το επώνυμο και το όνομα, στοιχεία επικοινωνίας (π.χ. διεύθυνση email, αριθμός τηλεφώνου), θέση εργασίας, πληροφορίες σχετικά με τυχόν παράπονα που έχετε υποβάλει ή αφορούν εσάς, καθώς και πληροφορίες για τρέχουσες ή προηγούμενες έρευνες στις οποίες ενδέχεται να έχετε εμπλακεί.
Τα δεδομένα θα πρέπει να είναι τα απολύτως αναγκαία και πρόσφορα για την επίτευξη των σκοπών του Ν. 4990/2022. Δεδομένα προσωπικού χαρακτήρα που προφανώς δεν σχετίζονται με την αναφορά δεν θα πρέπει να υποβάλλονται, καθώς σε διαφορετική περίπτωση δεν θα τυγχάνουν περαιτέρω επεξεργασίας και θα διαγράφονται αμελλητί.
Ποιες είναι οι κατηγορίες Υποκειμένων των Δεδομένων
Κατά τη λειτουργία των διαύλων υποβολής αναφορών, η ΔΕΗ ενδέχεται να επεξεργάζεται τα δεδομένα των εξής κατηγοριών υποκειμένων των δεδομένων, όπως ορίζονται στον Ν. 4990/2022: (α) αναφέροντα πρόσωπα, (β) αναφερόμενα πρόσωπα, (γ) διαμεσολαβητές, και (δ) τρίτα πρόσωπα που τυχόν κατονομάζονται σε αναφορές ή τα δεδομένα των οποίων τυχόν περιλαμβάνονται σε καταγεγραμμένες ενέργειες παρακολούθησης.
Ποιοι είναι οι σκοποί της επεξεργασίας των προσωπικών δεδομένων
Σκοποί της επεξεργασίας είναι:
(α) η εκπλήρωση της υποχρέωσης καθιέρωσης και λειτουργίας των διαύλων υποβολής αναφορών,
(β) η υποβολή, παρακολούθηση, διαχείριση και αρχειοθέτηση των αναφορών,
(γ) η προστασία των αναφερόντων προσώπων, ιδίως έναντι αντιποίνων,
(δ) η λήψη πειθαρχικών μέτρων ή και δικαστικών ενεργειών σε βάρος αναφερόμενων προσώπων που προβαίνουν σε παραβάσεις,
(ε) η παροχή στοιχείων για τυχόν τελούμενα ποινικά αδικήματα στις αρμόδιες διωκτικές και δικαστικές αρχές,
(στ) η ασφάλεια και εμπιστευτικότητα της διαδικασίας παρακολούθησης αναφορών και των υπό επεξεργασία δεδομένων που σχετίζονται με αυτή,
(ζ) η θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων της Εταιρείας ή τρίτων μερών, και
(η) η βελτίωση της οργάνωσης και διοίκησης της Εταιρείας.
Νομική Βάση της επεξεργασίας των προσωπικών δεδομένων
Η νομική βάση της επεξεργασίας είναι η συμμόρφωση του εκάστοτε υπόχρεου προσώπου της ΔΕΗ προς τις έννομες υποχρεώσεις που απορρέουν από τον Ν. 4990/2022 [άρθρο 6 §1(γ) ΓΚΠΔ], ο οποίος επιβάλλει τη θέσπιση και λειτουργία εσωτερικού καναλιού αναφορών, καθώς και τη λήψη μέτρων για την εξέταση και διερεύνηση των αναφορών.
Η επεξεργασία δεδομένων ειδικών κατηγοριών που ενδέχεται να υποβληθούν με την αναφορά ή να προκύψουν κατά τη διερεύνηση ή/και παρακολούθησή της θεμελιώνεται στις εξαιρέσεις του άρθρου 9 §2(ζ) ΓΚΠΔ (ουσιώδες δημόσιο συμφέρον) και του άρθρου 9 §2(στ) ΓΚΠΔ (θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων), σε συνδυασμό με τα άρθρα 11 και 12 του Ν. 4990/2022. Η επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα διενεργείται σύμφωνα με το άρθρο 10 ΓΚΠΔ και τα άρθρα 11 και 12 του Ν. 4990/2022.
Αποδέκτες των Προσωπικών Δεδομένων
Πρόσβαση στα προσωπικά δεδομένα που περιέχονται στις Αναφορές έχει ο οριζόμενος για κάθε εταιρεία του Ομίλου Υπεύθυνος Παραλαβής και Παρακολούθησης των Αναφορών (Υ.Π.Π.Α.), ο οποίος είναι αρμόδιος να λαμβάνει, να παρακολουθεί και να διαχειρίζεται τις Αναφορές, καθώς και άλλα αρμόδια στελέχη του Ομίλου ή ειδικά εξουσιοδοτημένα πρόσωπα από τις θυγατρικές εταιρείες, στον βαθμό που αυτό είναι απαραίτητο για την εκπλήρωση των προαναφερθέντων σκοπών. Ειδικότερα, ο Υ.Π.Π.Α. διασφαλίζει την εμπιστευτικότητα και την προστασία δεδομένων προσωπικού χαρακτήρα του αναφέροντος, εκτός αν ο αναφέρων έχει δώσει τη ρητή συγκατάθεσή του για αποκάλυψη της ταυτότητάς του.
Στα προσωπικά δεδομένα έχουν επίσης πρόσβαση οι εξής κατηγορίες εκτελούντων επεξεργασία για λογαριασμό του Υπεύθυνου επεξεργασίας: (α) πάροχοι επαγγελματικών συμβουλών στο πλαίσιο υποστήριξης των ενεργειών παρακολούθησης των αναφορών και (β) ελεγκτές στο πλαίσιο διεξαγωγής ελέγχων για την εκπλήρωση των έννομων υποχρεώσεων της Εταιρείας. Η Εταιρεία δύναται να διαβιβάζει προσωπικά δεδομένα σε δικηγόρους και δικηγορικές εταιρείες για την παροχή νομικών υπηρεσιών με σκοπό την θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων της Εταιρείας.
Τέλος, ενδέχεται να λάβουν χώρα διαβιβάσεις σχετικών πληροφοριών στις αρμόδιες εποπτικές, διωκτικές και δικαστικές αρχές στο πλαίσιο της εκτέλεσης έννομων υποχρεώσεων της Εταιρείας ή της άσκησης ή υποστήριξης έννομων αξιώσεών της.
Όλα τα άτομα που είναι εξουσιοδοτημένοι αποδέκτες των δεδομένων υποχρεούνται ρητά να διατηρούν την εμπιστευτικότητα αυτών.
Χρόνος τήρησης των προσωπικών δεδομένων
Η Εταιρεία αποθηκεύει και διατηρεί τα αρχεία των αναφορών για περίοδο πέντε (5) ετών από την ολοκλήρωση της παρακολούθησης της αντίστοιχης αναφοράς ή τη λήψη μέτρων προστασίας των αναφερόντων προσώπων ή τη λήψη πειθαρχικών μέτρων ή και δικαστικών ενεργειών σε βάρος αναφερόμενων προσώπων ή τρίτων.
Η Εταιρεία ενδέχεται να διατηρεί τα προσωπικά δεδομένα και μετά από την προαναφερόμενη περίοδο στις ακόλουθες περιοριστικά αναφερόμενες περιπτώσεις: (α) εφόσον αυτό είναι αναγκαίο και για όσο χρονικό διάστημα απαιτείται για την εκπλήρωση των σκοπών της επεξεργασίας, ή (β) εφόσον υφίσταται έννομη υποχρέωσή μας από σχετική διάταξη νόμου, ή (γ) για την προάσπιση των δικαιωμάτων και των έννομων συμφερόντων μας ενώπιον παντός αρμόδιου Δικαστηρίου και κάθε άλλης δημόσιας αρχής στο πλαίσιο του προβλεπόμενου χρόνου παραγραφής.
Ποια είναι τα δικαιώματα των υποκειμένων σε σχέση με τα δεδομένα τους
|
Δικαίωμα Πρόσβασης |
Έχουν το δικαίωμα να λάβουν ενημέρωση σχετικά με την επεξεργασία των δεδομένων τους και αντίγραφα αυτών. |
|
Δικαίωμα Διόρθωσης |
Έχουν το δικαίωμα να ζητήσουν τη διόρθωση των ανακριβών δεδομένων τους, καθώς και τη συμπλήρωση ελλιπών δεδομένων τους. |
|
Δικαίωμα Διαγραφής |
Έχουν το δικαίωμα να ζητήσουν τη διαγραφή των προσωπικών τους δεδομένων σε περίπτωση που αυτά δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους υποβλήθηκαν σε επεξεργασία ή σε περίπτωση που ανακαλέσουν τη συγκατάθεση με βάση την οποία τα συλλέξαμε και επεξεργαστήκαμε. |
|
Δικαίωμα Περιορισμού της επεξεργασίας |
Έχουν το δικαίωμα να ζητήσουν τον περιορισμό της επεξεργασίας για συγκεκριμένο σκοπό. |
|
Δικαίωμα Φορητότητας |
Έχουν το δικαίωμα να λάβουν τα προσωπικά τους δεδομένα που έχουν παράσχει στην εταιρεία, σε δομημένο, κοινώς χρησιμοποιούμενο μορφότυπο που να έχει και αναγνώσιμη μορφή |
|
Δικαίωμα Εναντίωσης |
Έχουν το δικαίωμα να εναντιωθούν στην επεξεργασία των προσωπικών τους δεδομένων στις περιπτώσεις που δεν επιθυμούν την επεξεργασία των προσωπικών τους δεδομένων υπό την προϋπόθεση ότι η επεξεργασία βασίζεται στο έννομο συμφέρον ή/και όταν λαμβάνει χώρα κατάρτιση προφίλ. |
Επισημαίνεται ότι στο πλαίσιο του Ν. 4990/2022, ορισμένα δικαιώματα που παρέχονται από τον ΓΚΠΔ (όπως το δικαίωμα ενημέρωσης, πρόσβασης, αντίρρησης ή διαγραφής) ενδέχεται να περιοριστούν προσωρινά για τα πρόσωπα που κατονομάζονται σε αναφορά ή των οποίων τα δεδομένα προκύπτουν κατά τη διερεύνηση. Ο περιορισμός αυτός προβλέπεται από το άρθρο 15 του Ν. 4990/2022, σε συνδυασμό με το άρθρο 23 ΓΚΠΔ, και εφαρμόζεται μόνο στον βαθμό που είναι αναγκαίος για την προστασία της αναφοράς, την ορθή διεξαγωγή της έρευνας και την αποτροπή αντιποίνων.
Ειδικότερα η ΔΕΗ, ως Υπεύθυνος Επεξεργασίας Δεδομένων, κατά παρέκκλιση των σχετικών διατάξεων του ΓΚΠΔ:
Στις ως άνω περιπτώσεις περιορισμού των δικαιωμάτων των υποκειμένων των δεδομένων, η ΔΕΗ, ως υπεύθυνος επεξεργασίας, λαμβάνει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα για την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων.
Στοιχεία επικοινωνίας για την άσκηση των δικαιωμάτων και Υπευθύνου Προστασίας Δεδομένων
Άσκηση Δικαιωμάτων: whistleandspeakup@dei.gr ή μέσω της φόρμας επικοινωνίας
Επικοινωνία με Υπεύθυνο Προστασίας Δεδομένων: dpo.office@dei.gr
Εναλλακτικά, σε περίπτωση που οι αναφέροντες θεωρούν ότι δεν ικανοποιήθηκαν επαρκώς τα αιτήματα τους και θίγεται κατά οποιονδήποτε τρόπο η προστασία των προσωπικών του δεδομένων, μπορούν να υποβάλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Λ. Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα, τηλέφωνο: 2106475600, www.dpa.gr/el/syndesi/prosvasi). Αναλυτικές οδηγίες υποβολής καταγγελίας παρέχονται στην ιστοσελίδα της Αρχής.