1.1. Τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων (“DPO”) μπορούν να βρεθούν στο website www.ipeirotis.gr, εφ’ όσον (ήταν απαραίτητο να) διοριστεί τέτοιος υπεύθυνος προστασίας δεδομένων.
2. Σκοποί (και σχετική νομική βάση) της επεξεργασίας (των επεξεργασιών)
2.1. Ο υπεύθυνος επεξεργασίας επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα που εσείς (που στην παρούσα πολιτική απορρήτου αναφέρονται επίσης ως “εσείς” ή ο “πελάτης” ή το “υποκείμενο των δεδομένων”) παρέχετε από τον πελάτη (π.χ. Όνομα, επώνυμο, (διεύθυνση παράδοσης), αριθμός τηλεφώνου, διεύθυνση ηλεκτρονικού ταχυδρομείου) κατά την παραγγελία προϊόντων ή/και υπηρεσιών μέσω της εφαρμογής του Παρόχου (που στην παρούσα πολιτική απορρήτου αναφέρεται ως “εφαρμογή” ή “λύση”), και τα οποία κοινοποιούνται από τον Πάροχο στον Υπεύθυνο Επεξεργασίας, για οποιονδήποτε σκοπό προκειμένου να προβεί στις ενέργειες για τη σύναψη σύμβασης με τον πελάτη (κατόπιν αιτήματος που εξέφρασε ο πελάτης κατά τη χρήση της εφαρμογής) και για την εκτέλεση της σύμβασης που έχει συναφθεί με τον πελάτη (η “σύμβαση”).
2.2. Τα ηλεκτρονικά στοιχεία επικοινωνίας σας που παρέχονται στο πλαίσιο της πώλησης ενός προϊόντος ή μιας υπηρεσίας μπορούν να χρησιμοποιηθούν για άμεσο μάρκετινγκ (μη ζητηθείσες επικοινωνίες) σχετικά με παρόμοια προϊόντα ή υπηρεσίες. Μπορείτε πάντοτε να ανακαλέσετε τη συγκατάθεσή σας χρησιμοποιώντας τον σύνδεσμο διαγραφής που είναι διαθέσιμος πριν από κάθε συνεδρία παραγγελίας σας ή στο υποσέλιδο κάθε επικοινωνίας ηλεκτρονικού ταχυδρομείου μάρκετινγκ που λαμβάνετε από εμάς.
2.4. Χωρίς να θίγεται η γενικότητα των ανωτέρω και για λόγους σαφήνειας, τα δεδομένα σας (ηλεκτρονικής επικοινωνίας) μπορούν να χρησιμοποιηθούν από τον Υπεύθυνο Επεξεργασίας και/ή τους προμηθευτές προϊόντων και/ή υπηρεσιών προκειμένου να σας αποστείλουν άμεσες επικοινωνίες μάρκετινγκ (μη ζητηθείσες επικοινωνίες, για προϊόντα ή υπηρεσίες που δεν είναι παρόμοιες με εκείνες στο πλαίσιο των οποίων δώσατε τα δεδομένα σας), εφόσον δώσατε τη συγκατάθεσή σας για τον σκοπό αυτό. Μπορείτε πάντοτε να ανακαλέσετε τη συγκατάθεσή σας αποκτώντας πρόσβαση στον παρεχόμενο σύνδεσμο.
2.5. Ο Υπεύθυνος Επεξεργασίας θα αποθηκεύει και θα επεξεργάζεται τυχόν προσωπικά σας δεδομένα στη μέγιστη έκταση και περίοδο που προβλέπεται από τους ισχύοντες υποχρεωτικά εφαρμοστέους νομικούς κανονισμούς.
2.6. Ο Υπεύθυνος Επεξεργασίας θα επεξεργάζεται επίσης τα προσωπικά σας δεδομένα για οποιονδήποτε άλλο σκοπό για τον οποίο εκφράσατε τη σαφή συγκατάθεσή σας.
3. Νομική βάση της επεξεργασίας
Η νομική βάση της επεξεργασίας είναι το άρθρο 6 παράγραφος (1) στοιχεία β) και γ), καθώς και, ιδίως στην περίπτωση της άμεσης εμπορικής προώθησης, το στοιχείο στ), από τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016 (που αναφέρεται στην παρούσα πολιτική απορρήτου ο “κανονισμός” ή (“ΓΚΠΔ”), δηλαδή
(β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για τη λήψη μέτρων κατόπιν αιτήματος του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
(γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,
(στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος…”.
Στο μέγιστο βαθμό που επιτρέπεται από τους ισχύοντες νομικούς κανονισμούς, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης μπορεί να πραγματοποιηθεί για έννομο συμφέρον, λαμβάνοντας υπόψη ότι υπάρχει σχετική και επαρκής σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, το δε υποκείμενο των δεδομένων είναι/γίνεται πελάτης του υπευθύνου επεξεργασίας. Τα έννομα συμφέροντα που επιδιώκει ο Υπεύθυνος Επεξεργασίας μέσω των επικοινωνιών άμεσης εμπορικής προώθησης είναι κυρίως η δυνατότητα ενημέρωσης του πελάτη σχετικά με τη δραστηριότητα του Υπεύθυνου Επεξεργασίας.
4. Αποδέκτες ή κατηγορία αποδεκτών των προσωπικών δεδομένων
4.1. Αποστολή των δεδομένων σας σε διαφορετικούς παραλήπτες και σε διαφορετικές (τρίτες) χώρες, παραλήπτες που επεξεργάζονται τα προσωπικά δεδομένα για (συμβατούς, συναφείς και συσχετιζόμενους σκοπούς με) τον σκοπό της εκτέλεσης της σύμβασης που έχετε με τον υπεύθυνο επεξεργασίας, δηλαδή: πάροχοι παράδοσης, πάροχοι εκτύπωσης, πάροχοι pos billing, πάροχοι πιστότητας κ.λπ.
4.2. Επίσης, χωρίς να θίγεται η γενικότητα των ανωτέρω και για λόγους σαφήνειας, οι ακόλουθες πληροφορίες, θα διαβιβάζονται στις ακόλουθες κατηγορίες αποδεκτών, για τους ακόλουθους σκοπούς:
4.2.1. Τα στοιχεία σας, ήτοι: επώνυμο, όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, αριθμός τηλεφώνου, διεύθυνση παράδοσης (εάν υπάρχει), τα οποία παρέχονται μαζί με τα στοιχεία της παραγγελίας σας, με ηλεκτρονικό τρόπο (εξαιρουμένων των στοιχείων της κάρτας πληρωμής, εάν έχετε επιλέξει τη διαδικασία ηλεκτρονικής πληρωμής) θα (επαν)διαβιβαστούν μέσω φορέων εκμετάλλευσης ηλεκτρονικού ταχυδρομείου στον Υπεύθυνο Επεξεργασίας και πίσω σε εσάς, στη διεύθυνση ηλεκτρονικού ταχυδρομείου σας, προκειμένου να διεκπεραιωθεί η παραγγελία και να σας προσφερθούν οι σχετικές ειδοποιήσεις σχετικά με τις πληροφορίες για την επιβεβαίωση ή την απόρριψη της παραγγελίας ή για τις παραγγελίες που δεν έγιναν δεκτές και για την παράδοση της παραγγελίας σας.
4.2.2. Εάν είναι δυνατόν, τα στοιχεία σας, δηλαδή : επώνυμο, όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, αριθμός τηλεφώνου, διεύθυνση παράδοσης (εάν υπάρχει), που παρέχονται μαζί με τα στοιχεία της παραγγελίας σας, με ηλεκτρονικό τρόπο (εκτός από τα στοιχεία της κάρτας πληρωμής, εάν έχετε επιλέξει τη διαδικασία ηλεκτρονικής πληρωμής) θα (επαν)διαβιβαστούν μέσω των φορέων εκμετάλλευσης SMS messenger στους προμηθευτές των προϊόντων ή/και υπηρεσιών και πίσω σε εσάς, με SMS, προκειμένου να διεκπεραιωθεί η παραγγελία και να σας προσφερθούν οι σχετικές ειδοποιήσεις σχετικά με τις πληροφορίες για την επιβεβαίωση ή την απόρριψη της παραγγελίας ή για τις παραγγελίες που δεν έγιναν δεκτές και για την παράδοση της παραγγελίας σας.
4.2.3. Καθώς επίσης, τα προσωπικά δεδομένα θα αποστέλλονται προκειμένου να αποθηκευτούν από τους παρόχους αποθήκευσης δεδομένων
5. Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή σε διεθνή οργανισμό
5.1. Μια ενδεχόμενη διαβίβαση ή ένα σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο υπό μία από τις ακόλουθες προϋποθέσεις:
(α) το υποκείμενο των δεδομένων έχει συναινέσει ρητά στην προτεινόμενη διαβίβαση, αφού έχει ενημερωθεί για τους πιθανούς κινδύνους των εν λόγω διαβιβάσεων για το υποκείμενο των δεδομένων λόγω της απουσίας απόφασης επάρκειας και κατάλληλων εγγυήσεων,
(β) η διαβίβαση είναι αναγκαία για την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων που λαμβάνονται κατόπιν αιτήματος του υποκειμένου των δεδομένων,
(γ) η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης που έχει συναφθεί προς το συμφέρον του υποκειμένου των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου,
(δ) η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημοσίου συμφέροντος,
(ε) η διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων,
(στ) η διαβίβαση είναι αναγκαία για την προστασία ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλων προσώπων, όταν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του,
ζ) ύπαρξη απόφασης επάρκειας σύμφωνα με τον κανονισμό,
η) ύπαρξη κατάλληλων εγγυήσεων, συμπεριλαμβανομένων δεσμευτικών εταιρικών κανόνων σύμφωνα με τον κανονισμό,
5.2. Τα ακόλουθα δεδομένα θα διαβιβαστούν στις ακόλουθες τρίτες χώρες, ως εξής
5.2.1. Το επώνυμο, το όνομα, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο αριθμός τηλεφώνου, η διεύθυνση παράδοσης (εάν είναι σχετική) θα αποστέλλονται στην Sendgrid Inc, με έδρα το Ντένβερ Κολοράντο – ΗΠΑ, προκειμένου να διεκπεραιωθεί η παραγγελία και να σας προσφερθούν οι σχετικές ειδοποιήσεις σχετικά με τις πληροφορίες για την επιβεβαίωση ή την απόρριψη της παραγγελίας ή για τις παραγγελίες που δεν έγιναν δεκτές και για την παράδοση της παραγγελίας σας.
5.2.2. Το επώνυμο, το όνομα, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο αριθμός τηλεφώνου, η διεύθυνση παράδοσης (εάν είναι σχετική) θα αποσταλούν στην Peaberry Software Inc. d/b/a Customer IO με έδρα τη Νέα Υόρκη – ΗΠΑ, προκειμένου να επεξεργαστεί την παραγγελία και να σας προσφέρει τις σχετικές ειδοποιήσεις σχετικά με τις πληροφορίες για την επιβεβαίωση ή την απόρριψη της παραγγελίας ή για τις παραγγελίες που δεν έγιναν δεκτές και για την παράδοση της παραγγελίας σας.
5.2.3. Το επώνυμο, το όνομα, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο αριθμός τηλεφώνου, η διεύθυνση παράδοσης (εάν υπάρχει) θα αποσταλούν στην Twilio Inc., στο Σαν Φρανσίσκο, Καλιφόρνια – ΗΠΑ, προκειμένου να επεξεργαστεί την παραγγελία και να σας προσφέρει τις σχετικές ειδοποιήσεις σχετικά με τις πληροφορίες για την επιβεβαίωση ή την απόρριψη της παραγγελίας ή για τις παραγγελίες που δεν έγιναν δεκτές και για την παράδοση της παραγγελίας σας.
5.2.4. Το επώνυμο, το όνομα, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο αριθμός τηλεφώνου και η διεύθυνση παράδοσης (εάν είναι σχετικό) Η IP προέλευσης της συνεδρίας παραγγελίας θα σταλεί στις ΗΠΑ, προκειμένου να αποθηκευτεί και/ή να διεκπεραιωθεί η παραγγελία και να σας προσφερθούν οι σχετικές ειδοποιήσεις σχετικά με τις πληροφορίες για την επιβεβαίωση ή την απόρριψη της παραγγελίας ή για τις παραγγελίες που δεν έγιναν δεκτές και για την παράδοση της παραγγελίας σας.
5.2.5. Εάν είναι διαθέσιμη η ηλεκτρονική πληρωμή και επιλέξετε να τη χρησιμοποιήσετε, τότε το επώνυμο, το όνομα, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο αριθμός τηλεφώνου, η διεύθυνση παράδοσης (εάν είναι σχετική), η διεύθυνση IP προέλευσης της συνεδρίας παραγγελίας, το όνομα του κατόχου της κάρτας, η ημερομηνία λήξης της κάρτας, ο αριθμός της κάρτας, το CVV (εάν απαιτείται) θα αποστέλλονται στην Spreedly Inc. με έδρα το Durham της Βόρειας Καρολίνας των ΗΠΑ, προκειμένου να διεκπεραιωθεί η παραγγελία και να σας προσφερθούν οι σχετικές ειδοποιήσεις σχετικά με τις πληροφορίες για την επιβεβαίωση ή την απόρριψη της παραγγελίας ή για τις χαμένες παραγγελίες και για την παράδοση της παραγγελίας σας.
5.2.6. Τρίτες χώρες μπορούν να προστίθενται ή/και να αφαιρούνται από καιρού εις καιρόν από τον Υπεύθυνο Επεξεργασίας, ανάλογα με την περίπτωση.
6. Το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα/ Τα κριτήρια που χρησιμοποιούνται για τον προσδιορισμό του εν λόγω χρονικού διαστήματος.
Τα δεδομένα προσωπικού χαρακτήρα θα αποθηκεύονται για 1 έτος, αλλά όχι λιγότερο από την περίοδο που προβλέπεται από τις ισχύουσες νομικές διατάξεις.
Τα δεδομένα προσωπικού χαρακτήρα θα αποθηκεύονται (κυρίως) για την εκτέλεση της σύμβασης καθώς και για φορολογικούς ή/και νομικούς σκοπούς και επιπλέον, συγκεκριμένα και χωρίς να θίγεται η γενικότητα των ανωτέρω, η διεύθυνση ηλεκτρονικού ταχυδρομείου και ο αριθμός τηλεφώνου (όπως και εάν συντρέχει περίπτωση) θα αποθηκεύονται για σκοπούς άμεσης εμπορικής προώθησης.
7. Υποχρέωση παροχής των προσωπικών δεδομένων και των πιθανών συνεπειών της μη παροχής των δεδομένων αυτών
Η παροχή των προσωπικών δεδομένων αποτελεί συμβατική απαίτηση.
Το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα προσωπικά δεδομένα.
Η άρνηση παροχής (ορισμένων) (προσωπικών) δεδομένων θα οδηγήσει (ως συνέπειες της μη εκπλήρωσης της υποχρέωσης παροχής αντίστοιχων δεδομένων) στην αδυναμία (πλήρους) χρήσης της εφαρμογής ή/και ορισμένων λειτουργιών της εφαρμογής ή/και στην αδυναμία παραγγελίας ή/και αγοράς ή/και παραλαβής ή/και παράδοσης προϊόντων ή/και υπηρεσιών, κατά περίπτωση, με τον υπεύθυνο επεξεργασίας να έχει το δικαίωμα να μην επεξεργαστεί την παραγγελία.
Χωρίς να θίγεται η γενικότητα των ανωτέρω και για λόγους σαφήνειας:
i) Σε περίπτωση που δεν παρέχονται τα δεδομένα σχετικά με την τοποθεσία στην οποία πρέπει να παραδοθούν τα προϊόντα, τα προϊόντα δεν μπορούν να παραδοθούν,
ii) Σε περίπτωση που δεν παρέχεται η διεύθυνση ηλεκτρονικού ταχυδρομείου, δεν μπορούμε να σας αποστείλουμε πληροφορίες σχετικά με την επιβεβαίωση ή την απόρριψη της παραγγελίας ή σχετικά με τις παραγγελίες που δεν έγιναν ή/και άλλες πληροφορίες σχετικά με την παραγγελία σας και η επικοινωνία μαζί σας δεν μπορεί να πραγματοποιηθεί,
v) Σε περίπτωση που δεν παρέχονται το όνομα και το επώνυμο, δεν θα έχουμε τα ελάχιστα στοιχεία ταυτοποίησης για να έχουμε έγκυρη συμφωνία μαζί σας και επίσης η παραγγελία σας δεν θα διεκπεραιωθεί και δεν θα μπορούμε να σας στείλουμε πληροφορίες σχετικά με την επιβεβαίωση ή την απόρριψη της παραγγελίας ή σχετικά με τις παραγγελίες που δεν έχουν πραγματοποιηθεί.
vi) Σε περίπτωση που δεν παρέχονται οι διευθύνσεις IP, δεν είναι δυνατή η διεξαγωγή περαιτέρω ερευνών προκειμένου να διαπιστωθεί τι συνέβη και αν πέσατε ή όχι θύμα δόλιας παραγγελίας (π.χ. ψεύτικες παραγγελίες, φάρσες ή πλαστοπροσωπία αγοράς), επομένως η παραγγελία ενδέχεται να μην γίνει με ασφάλεια αποδεκτή.
vii) Σε περίπτωση που δεν παρέχεται ο αριθμός τηλεφώνου, ο υπεύθυνος επεξεργασίας ενδέχεται να μην επικοινωνήσει μαζί σας εγκαίρως για διευκρινίσεις σχετικά με την παραγγελία ή διευκρινίσεις σχετικά με τη διεύθυνση παράδοσης, ανάλογα με την περίπτωση.
8. Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων
8.1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λάβει από τον υπεύθυνο επεξεργασίας επιβεβαίωση σχετικά με το αν υφίστανται ή όχι επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν και, στην περίπτωση αυτή, πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:
(α) τους σκοπούς της επεξεργασίας,
(β) τις κατηγορίες των δεδομένων προσωπικού χαρακτήρα που αφορούν,
(γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους έχουν γνωστοποιηθεί ή θα γνωστοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,
(δ) εφόσον είναι δυνατόν, την προβλεπόμενη περίοδο για την οποία θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, εάν δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της περιόδου αυτής,
(ε) την ύπαρξη του δικαιώματος να ζητήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων ή να αντιταχθεί στην εν λόγω επεξεργασία,
(στ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,
(ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,
(η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στον κανονισμό και, τουλάχιστον στις περιπτώσεις αυτές, ουσιαστικές πληροφορίες σχετικά με τη σχετική λογική, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.
8.2. Σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις που αφορούν τη διαβίβαση.
8.3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υφίστανται επεξεργασία. Για τυχόν περαιτέρω αντίγραφα που ζητούνται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να χρεώσει εύλογη αμοιβή βάσει του διοικητικού κόστους. Όταν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, και εκτός εάν το υποκείμενο των δεδομένων ζητήσει διαφορετικά, οι πληροφορίες παρέχονται σε ευρέως χρησιμοποιούμενη ηλεκτρονική μορφή.
8.4. Το δικαίωμα λήψης αντιγράφου που αναφέρεται στην παράγραφο 8.3 δεν επηρεάζει αρνητικά τα δικαιώματα και τις ελευθερίες άλλων.
9. Δικαίωμα διόρθωσης
Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Λαμβάνοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα συμπλήρωσης ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων με την παροχή συμπληρωματικής δήλωσης.
10. Δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)
10.1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διαγράψει τα δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, όταν συντρέχει ένας από τους ακόλουθους λόγους:
(α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν σε άλλη επεξεργασία,
(β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση στην οποία βασίζεται η επεξεργασία, όταν η επεξεργασία πραγματοποιείται βάσει της συγκατάθεσης του υποκειμένου των δεδομένων που δόθηκε για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς και όταν δεν υπάρχει άλλος νομικός λόγος για την επεξεργασία,
(γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, σύμφωνα με τον κανονισμό, και δεν υπάρχουν επιτακτικοί νόμιμοι λόγοι για την επεξεργασία, ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία για σκοπούς άμεσης εμπορικής προώθησης και εφόσον δεν υπάρχει άλλος νόμιμος λόγος για την επεξεργασία,
(δ) τα δεδομένα προσωπικού χαρακτήρα έχουν υποστεί παράνομη επεξεργασία,
(ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν για τη συμμόρφωση με νομική υποχρέωση του δικαίου της Ένωσης ή κράτους μέλους στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,
(στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας σε παιδί, σύμφωνα με τον κανονισμό.
10.2. Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 10.1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος υλοποίησης, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα ότι το υποκείμενο των δεδομένων έχει ζητήσει τη διαγραφή από τους εν λόγω υπευθύνους επεξεργασίας οποιουδήποτε συνδέσμου ή αντιγράφου ή αναπαραγωγής των εν λόγω δεδομένων προσωπικού χαρακτήρα.
10.3. Οι παράγραφοι 10.1 και 10.2 δεν εφαρμόζονται στο βαθμό που η επεξεργασία είναι απαραίτητη:
(α) για την άσκηση του δικαιώματος της ελευθερίας της έκφρασης και της πληροφόρησης,
(β) για τη συμμόρφωση με νομική υποχρέωση που επιβάλλει η επεξεργασία από το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
(γ) για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με τον κανονισμό,
(δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με τον κανονισμό, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 10.1 ενδέχεται να καταστήσει αδύνατη ή να βλάψει σοβαρά την επίτευξη των στόχων της εν λόγω επεξεργασίας- ή
(ε) για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων.
11. Δικαίωμα περιορισμού της επεξεργασίας
11.1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας όταν ισχύει ένα από τα ακόλουθα:
(α) το υποκείμενο των δεδομένων αμφισβητεί την ακρίβεια των δεδομένων προσωπικού χαρακτήρα για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,
(β) η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτίθεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί αντ’ αυτού τον περιορισμό της χρήσης τους,
(γ) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων,
(δ) το υποκείμενο των δεδομένων έχει αντιταχθεί στην επεξεργασία για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, σύμφωνα με τον κανονισμό, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπεύθυνου επεξεργασίας υπερισχύουν εκείνων του υποκειμένου των δεδομένων.
11.2. Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 11.1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, με εξαίρεση την αποθήκευση, υποβάλλονται σε επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.
11.3. Το υποκείμενο των δεδομένων που έχει επιτύχει περιορισμό της επεξεργασίας σύμφωνα με την παράγραφο 11.1 ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού της επεξεργασίας.
12. Υποχρέωση κοινοποίησης σχετικά με τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας
Ο υπεύθυνος επεξεργασίας κοινοποιεί κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που πραγματοποιείται σύμφωνα με την παράγραφο 9, την παράγραφο 10.1. και την παράγραφο 11 σε κάθε αποδέκτη στον οποίο έχουν γνωστοποιηθεί τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται αδύνατο ή συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εάν το υποκείμενο των δεδομένων το ζητήσει.
13. Δικαίωμα φορητότητας των δεδομένων
13.1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία έχει παράσχει στον υπεύθυνο επεξεργασίας σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο και έχει το δικαίωμα να διαβιβάζει τα δεδομένα αυτά σε άλλον υπεύθυνο επεξεργασίας χωρίς να παρεμποδίζεται από τον υπεύθυνο επεξεργασίας στον οποίο έχουν παρασχεθεί τα δεδομένα προσωπικού χαρακτήρα, εφόσον:
(α) η επεξεργασία βασίζεται σε συγκατάθεση ή σε σύμβαση- και
(β) η επεξεργασία πραγματοποιείται με αυτοματοποιημένα μέσα.
13.2. Κατά την άσκηση του δικαιώματός του στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 13.1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα απευθείας από έναν υπεύθυνο επεξεργασίας σε άλλον, εφόσον αυτό είναι τεχνικά εφικτό.
13.3. Η άσκηση του δικαιώματος που αναφέρεται στην παράγραφο 13.1 του παρόντος άρθρου δεν θίγει το άρθρο 17. Το εν λόγω δικαίωμα δεν εφαρμόζεται στην επεξεργασία που είναι αναγκαία για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
13.4. Το δικαίωμα που αναφέρεται στην παράγραφο 13.1 δεν θίγει τα δικαιώματα και τις ελευθερίες άλλων.
14. Δικαίωμα εναντίωσης
14.1. Ανά πάσα στιγμή, το υποκείμενο των δεδομένων έχει δικαίωμα να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία, για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, δεδομένων προσωπικού χαρακτήρα που το αφορούν, συμπεριλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν ο υπεύθυνος επεξεργασίας αποδείξει επιτακτικούς νόμιμους λόγους για την επεξεργασία που υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων.
14.2. Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς άμεσης εμπορικής προώθησης, το υποκείμενο των δεδομένων έχει το δικαίωμα να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για τον σκοπό αυτό, η οποία περιλαμβάνει την κατάρτιση προφίλ στο βαθμό που συνδέεται με την εν λόγω άμεση εμπορική προώθηση.
14.3. Όταν το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία για σκοπούς άμεσης εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς. Σε περίπτωση που το υποκείμενο των δεδομένων επιλέξει την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης, χωριστά και χωρίς καμία σύνδεση με άλλη ενέργεια, συμπεριλαμβανομένης της ενεργοποίησης οποιουδήποτε κουμπιού αποδοχής σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης, τα τελευταία δεδομένα προσωπικού χαρακτήρα που παρέχονται με οποιονδήποτε τρόπο θα υποβάλλονται σε επεξεργασία για σκοπούς άμεσης εμπορικής προώθησης.
14.4. Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 14.1. και 14.2. τίθεται ρητά υπόψη του υποκειμένου των δεδομένων και παρουσιάζεται με σαφήνεια και χωριστά από κάθε άλλη πληροφορία.
14.5. Στο πλαίσιο της χρήσης των υπηρεσιών της κοινωνίας της πληροφορίας, και κατά παρέκκλιση της οδηγίας 2002/58/ΕΚ, το υποκείμενο των δεδομένων μπορεί να ασκήσει το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα χρησιμοποιώντας τεχνικές προδιαγραφές.
14.6. Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με τον κανονισμό, το υποκείμενο των δεδομένων, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, έχει δικαίωμα να αντιταχθεί στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος που εκτελείται για λόγους δημοσίου συμφέροντος.
15. Αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ
15.1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει ομοίως σημαντικά.
15.2. Η παράγραφος 15.1. δεν εφαρμόζεται εάν η απόφαση:
(α) είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και ενός υπευθύνου επεξεργασίας,
(β) επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων- ή
(γ) βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.
15.3. Στις περιπτώσεις που αναφέρονται στα στοιχεία α) και γ) της παραγράφου 15.2., ο υπεύθυνος επεξεργασίας δεδομένων εφαρμόζει κατάλληλα μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον το δικαίωμα να λάβει ανθρώπινη παρέμβαση εκ μέρους του υπεύθυνου επεξεργασίας, να εκφράσει την άποψή του και να αμφισβητήσει την απόφαση.
16. Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή
16.1. Με την επιφύλαξη κάθε άλλου διοικητικού ή δικαστικού ένδικου μέσου, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος της συνήθους διαμονής του, του τόπου εργασίας του ή του τόπου της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν παραβιάζει τον κανονισμό.
16.2. Η εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και την έκβαση της καταγγελίας, συμπεριλαμβανομένης της δυνατότητας άσκησης ένδικου μέσου σύμφωνα με το άρθρο 17.
17. Δικαίωμα πραγματικής δικαστικής προσφυγής κατά εποπτικής αρχής
17.1. Με την επιφύλαξη οποιουδήποτε άλλου διοικητικού ή μη δικαστικού ένδικου μέσου, κάθε φυσικό ή νομικό πρόσωπο έχει δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.
17.2. Με την επιφύλαξη οποιουδήποτε άλλου διοικητικού ή μη δικαστικού ένδικου μέσου, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να ασκήσει αποτελεσματικό ένδικο μέσο όταν η εποπτική αρχή που είναι αρμόδια σύμφωνα με τον κανονισμό δεν επιλαμβάνεται μιας καταγγελίας ή δεν ενημερώνει.