Πολιτικη προστασιας των προσωπικων δεδομενων

ΠΕΡΙΕΧΟΜΕΝΟ:
XVIII. Αντικείμενο
XIX. Ορισμοί.
XX. Υποκείμενο των δεδομένων και αρχεία των δραστηριοτήτων
XXI. Σκοπός και αρχές επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
XXII. Συγκατάθεση
XXIII. Διαδικασίες επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
XXIV. Τεκμηρίωση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
XXV. Μέτρα προστασίας των δεδομένων προσωπικού χαρακτήρα
XXVI. Παραβίαση της ασφάλειας
XXVII. Διαβιβάσεις των εν λόγω δεδομένων σε τρίτο μέρος
XXVIII. Εκτίμηση των επιπτώσεων σχετικά με την προστασία των δεδομένων
XXIX. Διαγραφή των δεδομένων.
XXX. Διαβιβάση των δεδομένων προσωπικού χαρακτήρα σε άλλον υπεύθυνο επεξεργασίας.
XXXI. Ενέργειες περί προστασίας από ατυχήματα και καταστροφές.
XXXII. Πρόσωπα, υπεύθυνα για την συλλογή, την επεξεργασία και την αποθήκευση και την πρόσβαση στα δεδομένα απορρήτου
XXXIII. Δικαιώματα των υποκείμενων απορρήτου.
XXXIV. Αλλαγές των εσωτερικών κανόνων

ΕΝΘΕΤΑ:
• Διαδικασία ενημέρωσης της Αρχής προστασίας δεδομένων προσωπικού χαρακτήρα για  παραβίαση της ασφάλειας των δεδομένων απορρήτου
• Διαδικασία περιοδικού ελέγχου σχετικά με την ανάγκη για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την καταστροφή τους.
• Διαδικασία άσκησης δικαιωμάτων βάσει του άρθρου 16-22 του Κανονισμού 2016/679.
• Εξωτερικός κανονισμός για εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας
• Μητρώα – 7 μητρώα.
• Κανόνες βιντεοσκόπησης και το Ένθετο 1 σε αυτούς.
• Ενημέρωση της Αρχής προστασίας δεδομένων προσωπικού χαρακτήρα για παραβίαση της ασφάλειας των δεδομένων απορρήτου
• Ενημέρωση του υποκείμενου για την παραβίαση της ασφάλειας των δεδομένων απορρήτου του
• Καταγγελία αντίρρησης σύμφωνα με το άρθρο 21 του Κανονισμού (ΕΕ) 2016/679
• Δήλωση Ενημέρωσης και Ευαισθητοποίησης
• Δήλωση βάσει του Κανονισμού (ΕΕ). άρθρο 6, παρ. 1, 2016/679.
• Δήλωση – αιτούντες εργασίας
• Αίτημα βάσει του Κανονισμού (ΕΕ) άρθρο 15  2016/679.
• Αίτημα βάσει του Κανονισμού (ΕΕ) άρθρο 16  2016/679.
• Αίτημα βάσει του Κανονισμού (ΕΕ) άρθρο 17 2016/679.
• Αίτημα βάσει του Κανονισμού (ΕΕ) άρθρο 18  2016/679.
• Εντολή για τον ορισμού επεξεργαστή δεδομένων προσωπικού χαρακτήρα
• Εντολή για τον ορισμό υπεύθυνου προστασίας δεδομένων σε περίπτωση συμμόρφωσης

I.ΑΝΤΙΚΕΙΜΕΝΟ
Άρθρο. 1. (1) Οι κανόνες αυτοί («οι Κανόνες») ορίζουν τον τρόπο με τον οποίο η BIONAT LTD με Α.Φ. Μ. 115815816, κάνει τη συλλογή, την καταγραφή,την οργάνωση, την αποθήκευση, τη προσαρμογή ή τη τροποποίηση, την ανάκτηση, τη διαβούλευση, την αποκάλυψη με μετάδοση, τη διάδοση ή άλλο τρόπο με το οποίο θέτει σε διαθεσιμότητα, ευθυγράμμιση ή συνδυασμό, παρεμπόδιση, διαγραφή ή καταστροφή τα δεδομένα προσωπικού χαρακτήρα ή επεξεργάζει με άλλο τρόπο τα δεδομένα απορρήτου για τους σκοπούς της δραστηριότητά της.
(2) Αναλόγως με τη συγκυρία, η BIONAT LTD. ως υπεύθυνος επεξεργασίας δεδομένων ή ως επεξεργαστής μπορεί να επεξεργάζει δεδομένα προσωπικού χαρακτήρα.
(3) Οι Κανόνες βασίζονται στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία των Δεδομένων).
(4) Οι Κανόνες επικαιροποιούν τις διαδικασίες που εφαρμόζονται επί του παρόντος για τη συλλογή, την οργάνωση, την αποθήκευση, την επεξεργασία και τη διανομή των προσωπικών δεδομένων που έχουν δηλωθεί ως διαχειριστής στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υπό τον αριθμό № 197567

Άρθρο 2. Οι Κανόνες αποσκοπούν να ρυθμίσουν:
(1) Τις αρχές, τις διαδικασίες και τους μηχανισμούς επεξεργασίας των δεδομένων προσωπικού χαρακτήρα·
(2) Τις διαδικασίες ενημέρωσης της εποπτικής αρχής σε περίπτωση παραβίασης της ασφάλειας·
(3) Τις διαδικασίες για τη διαχείριση των αιτήσεων πρόσβασης σε δεδομένα, τη διόρθωση των επεξεργασμένων δεδομένων, την αντιρρήση και την ανάκληση της συγκατάθεσης, καθώς και τη διαχείριση αιτημάτων για την άσκηση άλλων δικαιωμάτων που τα πρόσωπα τα οποία αφορούν έχουν βάσει τον νόμο·
(4) Τα πρόσωπα, που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα και τις υποχρεώσεις τους ·
(5) Τους κανόνες παροχής των δεδομένων προσωπικού χαρακτήρα σε τρίτα πρόσωπα στην Βουλγαρία ή στο εξωτερικό·
(6) Τα απαραίτητα τεχνικά ή οργανωτικά μέτρα προστασίας του προσωπικού απορρήτου από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και σε περίπτωση τυχαίας ή παράνομης καταστροφής, τυχαίας απώλειας, παράνομης πρόσβασης, μεταλλαγής και διανομής·
(7) Τα τεχνηκά μέτρα που έχουν εφαρμοστεί κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

II. ΟΡΙΣΜΟΙ
Άρθρο. 3. Για τους σκοπούς των Κανόνων αυτών, οι όροι – κλειδοί που έχουν χρησιμοποιηθεί νοούνται ως:
• ΝΠΔΠΧ –O Νόμος για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα.
• ΑΠΔΠΧ – H Αρχή προστασίας δεδομένων προσωπικού χαρακτήρα.
• ΓΚΠΔ –Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία των Δεδομένων).
•  ΥΠΠΔΠΧ - Υπηρεσιακό πρόσωπο για την προστασία δεδομένων προσωπικού χαρακτήρα στο οποίο έχουν αναθέτει τα καθήκοντα σύμφωνα με το άρθρο 39 του ΓΚΠΔ.
• Υπεύθυνος επεξεργασίας- το πρόσωπο, το οποίο μόνο του ή από κοινού με άλλους καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Ο Υπεύθυνος επεξεργασίας στην περίπτωση είναι η Εταιρεία.
• Εκτελών την επεξεργασία - φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ύστερα από ανάθεση της Εταιρείας.
•Ειδοποιήσεις περί προστασίας προσωπικών δεδομένων – ξεχωριστά μηνύματα με πληροφορίες που παρέχονται στα υποκείμενα των δεδομένων για όσο χρονικό διάστημα η BIONAT LTD. μαζεύει πληροφορίες για αυτά. Οι ειδοποιήσεις αυτές μπορεί να είναι γενικές (να απευθύνονται σε εργαζόμενους και υπάλληλους ή ειδοποιήσεις στην ιστοσελίδα του οργανισμού) ή σχετικές με την επεξεργασία συγκεκριμένου σκοπού.
•Επεξεργασία - η κάθε εργασία ή σειρά εργασιών που εκτελούνται επί Προσωπικών Δεδομένων με αυτοματοποιημένα μέσα ή άλλως. Περιλαμβάνονται η συλλογή, καταγραφή, οργάνωση, αποθήκευση, ενημέρωση ή τροποποίηση, ανάκτηση, Διαβούλευση, χρήση, γνωστοποίηση μέσω Διαβίβασης, διάδοση, οπτική πρόσβαση ή διάθεση σε οποιαδήποτε άλλη μορφή, σύνδεση, ευθυγράμμιση ή συνδυασμός, κλείδωμα, διαγραφή ή καταστροφή των Προσωπικών Δεδομένων
• Ψευδωνυμοποίηση –Η επεξεργασία προσωπικών δεδομένων με τέτοιο τρόπο που τα προσωπικά στοιχεία δεν μπορούν πλέον να αποδοθούν σε κάποιο συγκεκριμένο υποκείμενο δεδομένων χωρίς τη χρήση πρόσθετων πληροφοριών, με την προϋπόθεση ότι αυτές οι πρόσθετες πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα για να διασφαλίζεται ότι τα προσωπικά δεδομένα δεν μπορούν να αποδοθούν σε ένα ταυτοποιημένο ή αναγνωρίσιμο φυσικό πρόσωπο.
• Συγκατάθεση–κάθε ελεύθερη, ρητή, ενημέρωση και σαφή ένδειξη των επιθυμιών του υποκειμένου των δεδομένων, με την οποία αυτός ή αυτή, με δήλωση ή με σαφή θετική δράση, σημαίνει μια συμφωνία για την επεξεργασία των προσωπικών δεδομένων που σχετίζονται με όλα βουητό.

III. ΥΠΟΚΕΙΜΕΝΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΜΗΤΡΩΑ
Άρθρο. 4. (1) Η “BIONAT” Ltd. συλλέγει και επεγεργάζεται προσωπικά δεδομένα, για την εκπλήρωση των δικαιωμάτων και των υποχρεώσεών της ως εγροδότης, πάροχος υπηρεσιών και παραλήπτης, διατηρώντας τις απαιτήσεις της ισχύουσας νομοθεσίας. Τα  δεδομένα της “BIONAT” Ltd. τηρούνται σε αρχεία των δραστηριοτήτων επεξεργασίας που περιέχουν τους κανόνες επεξεργασίας των δεδομένων που αφορούν:
• ΜΗΤΡΩΟ ΑΝΘΡΩΠΙΝΟΥ ΔΥΝΑΜΙΚΟΥ – εργαζόμενοι, υπάλληλοι και εργαζόμενοι που έχουν συνάψει σύμβαση ορισμένου χρόνου με την εταιρεία·
• ΜΗΤΡΩΟ ΥΠΟΨΗΦΙΩΝ ΥΠΑΛΛΗΛΩΝ
• ΜΗΤΡΩΟ ΠΕΛΑΤΩΝ/ΠΑΡΑΛΗΠΤΩΝ  - πελάτες, προμηθευτές·
• ΜΗΤΡΩΟ ΕΠΙΣΚΕΠΤΩΝ
• ΜΗΤΡΩΟ ΑΙΤΗΜΑΤΩΝ ΓΙΑ ΑΣΚΗΣΗ ΔΙΚΑΙΩΜΑΤΩΝ
• ΜΗΤΡΩΟ ΔΙΑΠΙΣΤΩΣΗΣ ΠΑΡΑΒΑΣΕΩΝ
• ΜΗΤΡΩΟ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ ΤΗΛΕΠΙΒΛΕΨΗΣ
α) Ο χρόνος τήρησης των δεδομένων για κάθε μητρώο καθορίζεται όπως ακολουθεί:
№ Μητρώο Προθεσμία Προσδιορισμένη από
1 Ανθρώπινου δυναμικού 50 χρόνια Λογιστική Νομοθεσία
2 Υποψήφιοι υπάλληλοι 45 μέρες Κρίση του ΔΠΔ
3 Πελάτες/Παραλήπτες 10 χρόνια Λογιστική Νομοθεσία
4 Επισκέπτες 1 χρόνο Κρίση του ΔΠΔ
5 Αιτήσεις ασκήσης δικαιωμάτων 1 χρόνο Κρίση του ΔΠΔ
6 Διαπίστωσης παραβάσεων 1 χρόνο Κρίση του ΔΠΔ
7 Σύστημα τηλεπίβλεψης 14 μέρες Κρίση του ΔΠΔ
(2) Η “BIONAT” Ltd. καθορίζει για κάθε αρχείο καταγραφής ξεχωριστά και με λεπτομέρεια τα αναγκαία δεδομένα, τους αναγκαίους στόχους, τρόπους και αιτιολογίες επεξεργασίας και τήρησης των δεδομένων.
(3)  Η “BIONAT” Ltd. θέτει σε επεξεργασία τα ευαίσθητα δεδομένα στον βαθμό που τούτο είναι απαραίτητο για την εκπλήρωση των δικαιωμάτων και των υποχρεώσεων της στον τομέα του εργασιακού νόμου και της υγειονομικής περίθαλψης.
(4) Πρόσβαση στα δεδομένα προσωπικού χαρακτήρα των Μητρώων έχουν αποκλειστικά και μόνο οι υπάλληλοι της ΒΙΟΝΑΤ ΕΠΕ οι οποίοι χρειάζονται την πρόσβαση προκειμένου να εκπληρώσουν τα καθηκοντά τους, τηρώντας αυστηρά τον καθορισμό «ανάγκη γνώσης»

IV. ΣΚΟΠΟΣ ΚΑΙ ΑΡΧΕΣ ΠΟΥ ΔΙΕΠΟΥΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Άρθρο. 5. Τα δεδομένα προσωπικού χαρακτήρα επεξεργάζονται για τους παρακάτω σκοπούς:
(1) τη διαχείριση του ανθρώπινου δυναμικού, την κατάθεση και την παρακράτηση από τις καταβαλλόμενες τακτικές αποδοχές και τις ασφαλιστικές εισφορές των εργαζομένων, την πληρωμή των αμοιβών και την εκπλήρωση των σχετικών υποχρεώσεων του εργοδότη
(2) τη διαχείριση σχέσεων πελατών/παραλήπτων και BIONAT LTD. και την παροχή υπηρεσιών
(3) τη σύναψη και την εκτέλεση συμβάσεων με προμηθευτές για την παροχή υπηρεσιών της BIONAT LTD.

Άρθρο. 6. Τα δεδομένα προσωπικού χαρακτήρα επεξεργάζονται με νομιμότητα, ευσυνειδησία και διαφάνεια. Κατά την επεξεργασία τηρούνται οι ακόλουθες αρχές:
(1) Η εταιρεία ενημερώνει εκ των προτέρων το υποκείμενο των προσωπικών δεδομένων για την επεξεργασία του απορρήτου του·
(2) Τα προσωπικά δεδομένα συλλέγονται για σκοπούς που είναι συγκεκριμένοι, ξεκάθαροι και νόμιμοι και δεν υφίστανται περαιτέρω επεξεργασία κατά τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς·
(3) Τα προσωπικά δεδομένα θα πρέπει να γίνονται αντικείμενο επεξεργασίας κατά τρόπο συμβατό με τον σκοπό για τον οποίο έχουν συλλεχθεί.
(4) Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και, όπου χρειάζεται, να ενημερώνονται.
(5) Τα προσωπικά δεδομένα που χρησιμοποιούνται και τα οποία δεν είναι πλέον ακριβή και πλήρη, θα πρέπει να διορθώνονται ή να διαγράφονται.
(6) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα·

Άρθρο 7. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
(1) To υποκείμενο των δεδομένων έχει παράσχει τη ρητή συγκατάθεσή του συμπεριλαμβανομένου και με την σύναψη μιας σύμβασης με την ΒΙΟΝΑΤ ΕΠΕ·
(2) Η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης·
(3) Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας·
(4) Η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
(5) Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον
(6) Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων. Ο σκοπός για το οποίο επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα αυτής της βάσης πρέπει να περιγράφονται στις σχετικές ειδοποιήσεις προστασίας δεδομένων.

V. ΣΥΓΚΑΤΑΘΕΣΗ
Άρθρο 8. (1) Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι αυστηρά αναγκαία και ανάλογη για τις έννομες υποχρεώσεις του υπεύθυνου επεξεργασίας, δεν απαιτείται η συγκατάθεση του υποκειμένου. Το υποκείμενο συμφωνεί με την επεξεργασία εάν το δηλώσει ξεκάθαρα – με ανακοίνωση ή άλλη επιβεβαιωτική πράξη. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα.
(2).Το υποκείμενο των δεδομένων πρέπει να είναι σε θέση να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή και η απόσυρση πρέπει να ληφθεί υπόψη από την εταιρεία άμεσα. Εάν δεν υπάρχει άλλη νομική βάση για την επεξεργασία, η ίδια πρέπει να τερματισθεί με την ανάκληση της συγκατάθεσης.

(3) Τα αίτηματα συγκατάθεσης τηρούνται από τη ΒΙΟΝΑΤ ΕΠΕ για όσο χρονικό διάστημα συνεχίσει η επεξεργασία των δεδομένων σε αυτή τη βάση, συμμορφώμενη σε κάθε περίπτωση με την αρχή της λογοδοσίας.

VI. ΔΙΑΔΙΚΑΣΙΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Διαδικασία επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά τα πρόσωπα σε εργασιακές/αστικές έννομες σχέσεις με την ΒΙΟΝΑΤ ΕΠΕ καθώς και τους υποψήφιους εγρασίας.
Άρθρο 9. (1) Τα δεδομένα που αφορούν τα πρόσωπα σε εργασιακές/αστικές έννομες σχέσεις με την ΒΙΟΝΑΤ ΕΠΕ καθώς και τους υποψήφιους εργασίας συλλέγονται κατά την διαδικασία εντοπισµού και επιλογής προσωπικού.Τα δεδομένα του κάθε εργαζομένου και υπάλληλου της ΒΙΟΝΑΤ ΕΠΕ αποθηκεύονται σε προσωπικούς φακέλους καθώς ορισμένα δεδομένα μπορούν να αποθηκευτούν ή να επεξεργαστούν και σε ψηφιακή μορφή. Τα δεδομένα από διαγωνισμούς και συνεντεύξεις αποθηκεύονται σε ψηφιακή ή /και  έντυπη μορφή, όπως απαιτείται.
(2) Τα αρχεία με τα προσωπικά δεδομένα τοποθετούνται σε ερμάρια με κλειδαριά στο γραφείο του Υπεύθυνου επεξεργασίας των δεδομένων. Τα δεδομένα των υποψήφιων εργασίας που πρέπει να τηρούνται σε έντυπη μορφή, τηρούνται σε σχετικά ερμάρια που βρίσκονται στο γραφείο του Υπεύθυνου επεξεργασίας των δεδομένων. Δικαίωμα πρόσβασης στα δεδομένα απορρήτου έχουν μόνο τα πρόσωπα που δικαιούνται να επεξεργάζονται τα δεδομένα αυτά και για τον σκοπό αυτό δημιουργείται μια ειδική διαδικασία εισόδου μέσω κλειδιού ή ειδικής μαγνιτικής κάρτας με τσιπ. 
(3) Οι εκτελούντες την επεξεργασία των δεδομένων προσωπικού χαρακτήρα λαμβάνουν όλα τα οργανωτικά και τεχνικά μέτρα προστασίας των προσωπικών αρχείων και των φακέλων με πληροφορία συμπεριλαμβανομένου και τον περιορισμό της πρόσβασης των μη εξουσιοδοτημένων άτομων και υπαλλήλων.
(4) Τα αρχεία με τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα πρόσωπα σε εργασιακές/αστικές έννομες σχέσεις με την ΒΙΟΝΑΤ ΕΠΕ καθώς και τους υποψήφιους εγρασίας δεν επιτρέπεται να εξάγονται έξω από το κτίριο της εταιρείας.
Διαδικασία επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά τους πελάτες/παραλήπτες και τους προμηθευτές

Άρθρο. 10. (1) Τα δεδομένα που αφορούν τους πελάτες, συλλέγονται κατά την υποβολή του αιτήματος εξυπηρέτησης ή της σύναψης σύμβασης με κάποιο πελάτη της ΒΙΟΝΑΤ ΕΠΕ
(2) Τα δεδομένα που αφορούν τους προμηθευτές συλλέγονται κατά την σύναψη της συμφωνίας με τον πάροχο υπηρεσίων καθώς συνήθως τα δεδομένα περιέχονται στο ίδιο το κείμενο των συμφωνίων.
(3) Τα δεδομένα αποθηκεύονται ηλεκτρονικά και σε έντυπη μορφή, και ταξινομούνται σε χωριστά αρχεία. Τα αρχεία αποθηκεύονται σε κλειδωμένα ερμάρια στο γραφείο του Υπεύθυνου για τα προσωπικά δεδομένα. Τα ηλεκτρονικά δεδομένα αποθηκεύονται σε βάσεις δεδομένων.

VII. ΤΕΚΜΗΡΙΩΣΗ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Άρθρο 11. (1). Η ΒΙΟΝΑΤ ΕΠΕ τεκμηριώνει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με την αρχή της λογοδοσίας
(2) Η τεκμηρίωση πρέπει να είναι επαρκής για να αποδειχθεί η τήρηση των αρχών της νόμιμης επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
(3) Η επεξεργασία των δεδομένων σχετική με την τήρηση των δεδομένων σε διακομιστές τρίτων· η αρχειοθέτηση ή η διαγραφή των δεδομένων · η εισαγωγή ψευδωνυμοποίηση καθώς και η κάθε άλλη επεξεργασία με διαφορετικές παράμετρους από αυτούς που περιγράφονται σε αυτούς τους Κανόνες τεκμηριώνεται με τη δημιουργία αρχείων των δραστηριοτήτων επεξεργασίας  που περιέχουν τις ακόλουθες πληροφορίες:
(α) τους σκοπούς της επεξεργασίας·
(β) τις κατηγορίες των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων απορρήτου·
(γ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες·
(δ) τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα
(ε) όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων·
(ι) γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας.
(4) τα πρωτόκολλα ετοιμάζονται από τα πρόσωπα που εκτελούν τη σχετική επεξεργασία δεδομένων σύμφωνα με τις οδηγίες του Υπευθύνου των δεδομένων προσωπικού χαρακτήρα.
(5) Το σύνολο όλων των πρωτοκόλλων που περιέχουν τις παραπάνω πληροφορίες αποτελεί το εσωτερικό αρχείο δραστηριοτήτων επεξεργασίας σύμφωνα με το άρθρο 30 του ΓΚΠΔ.

VIII. ΜΕΤΡΑ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Τεχνικά μέτρα
Άρθρο 12. (1): Όλοι οι χώροι στους οποίους τηρούνται δεδομένα είναι με ελεγχόμενη πρόσβαση. Τα επιτρεπόμενα τεχνικά μέτρα ελέγχου της πρόσβασης είναι:
- επαγγελματικό σύστημα ασφαλείας ΣΟΤ·
- έλεγχος πρόσβασης μέσω κλειδιών·
- η είσοδος τρίτων μερών στον χώρο της ΒΙΟΝΑΤ ΕΠΕ επιτρέπεται μόνο με έναν συνοδό από το προσωπικό της ΒΙΟΝΑΤ ΕΠΕ.
(2) Ο χώρος της ΒΙΟΝΑΤ ΕΠΕ εξασφαλίζεται από το απαραίτητο πυροσβεστικό εξοπλισμό που απαιτείται από τη σχετική βουλγαρική νομοθεσία.
Οργανωτικά μέτρα

Άρθρο 13. (1) Στους κανόνες αυτές η ΒΙΟΝΑΤ ΕΠΕ διατυπώνει τις διαδικασίες επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, την πρόσβαση στα δεδομένα, τις διαδικασίες διαγραφής και τήρησης. Για ξεχωριστές κατηγορίες των δεδομένων προβλέπεται ψευδωνυμοποίηση του Υπεύθυνου  για την επεξεργασία.
(2) Η αναπαραγωγή και η διανομή εγγράφων ή αρχείων που περιέχουν δεδομένα προσωπικού χαρακτήρα πρέπει να εκτελούνται μόνο από εξουσιοδοτημένους υπάλληλους σε περίπτωση ανάγκης.
Προσωπικά μέτρα ασφάλειας:

Άρθρο. 14. (1) Πριν από το διορισμό τους στη σχετική θέση εργασίας, οι υπάλληλοι που θα τηρούν και επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα:
- δεσμεύονται να μην διαδίδουν τα δεδομένα προσωπικού χαρακτήρα στα οποία έχουν πρόσβαση
- γνωρίζουν το νομικό πλαίσιο, τους εσωτερικούς κανόνες και την πολιτική της ΒΙΟΝΑΤ ΕΠΕ σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα·
- εκπαιδεύονται τον τρόπο με τον οποίο να αντιδράσουν σε γεγονότα που απειλούν την ασφάλεια των δεδομένων·
- ενημερώνονται για τους κινδύνους που υπάρχουν για τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται από την ΒΙΟΝΑΤ ΕΠΕ
- η ανταλλαγή κρίσιμων πληροφοριών μεταξύ των υπαλλήλων καθώς και με τρίτους απαγορεύεται, με εξαίρεση τυχόν περιπτώσεις που συμμορφώνονται με τους παρόντες Κανόνες
(2) Οι σχετικές γνώσεις του κανονιστικού πλαίσιου της προστασίας των δεδομένων απορρήτου: υπάρχουν στο καταρτικό πρόγραμμα που οργανώνει η ΒΙΟΝΑΤ ΕΠΕ και που υποχρεούνται να περάσουν οι υπάλληλοι της εταιρείας. Οι εν λόγω υπάλληλοι υποχρεούνται επίσης να γνωρίζουν αυτούς τους εσωτερικούς κανόνες αμέσως μετά την πρόσληψή τους καθώς και να ενημερώνουν τις γνώσεις τους για την προστασία των δεδομένων απορρήτου τουλάχιστον μια φορά το χρόνο. 
Μέτρα προστασίας των αυτοποιημένων εργαλείων συλλογής πληροφορίων και των κρυπτογραφικών πληροφορίων

Άρθρο 15. (1) Δικαίωμα πρόσβασης στο λογισμικό με τα αρχεία δεδομένων απορρήτου έχουν μόνο τα πρόσωπα τα υπηρεσιακά καθήκοντα των οποίων το επιβάλλουν. Η πρόσβαση πραγματοποιείται με κωδικό πρόσβασης.
(2) Οι ηλεκτρονικές βάσεις δεδομένων προστατεύονται από λογισμικά προστασίας όπως είναι το λογισμικό προστασίας από ιούς που ενημερώνεται αυτόματα, οι τοίχοι προστασίας (fIrewalls) κτλ.
(3) Τα δεδομένα αρχειοθετούνται περιοδικά σε ψηφιακή μορφή με σκοπό να αποθηκευθούν οι αναγκαίες πληροφορίες.

Άρθρο. 16. (1) Η προστασία των ηλεκτρονικών αρχείων προσωπικού απορρήτου από παράνομη πρόσβαση, τυχαία ή παράνομη καταστροφή, τυχαία απώλεια που  διαπράττονται εκ προθέσεως από ένα άτομο ή σε περίπτωση τεχνικής βλάβης, ατυχήματων και καταστροφών κτλ. παρέχεται με:
- κωδικό πρόσβασης σε κάθε υπολογιστή μέσω του οποίου παρέχεται η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και στα αρχεία που περιέχουν τα δεδομένα προσωπικού χαρακτήρα·
- πρόγραμμα εναντίον των ιών, έλεγχος για παράνομα εγκατεστημένου λογισμικού·
-περιοδικός ελεγχος στην ακεραιότητα της βάσης δεδομένων, ενημέρωση του πληροφοριακού συστήματος, συντήρηση του συστήματος πρόσβασης στα δεδομένα·
- τα δεδομένα αρχειοθετούνται περιοδικά σε ψηφιακή καθώς και σε έντυπη μορφή (αντίγραφα του αρχειακού υλικού)
(2) Ο υπέυθυνος για τα δεδομένα προσωπικού χαρακτήρα δίνει συχνή αναφορά στην διοίκηση της ΒΙΟΝΑΤ ΕΠΕ για τα μέτρα διασφάλισης του επίπεδου ασφάλειας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

IX. ΠΑΡΑΒΙΑΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ
Άρθρο. 17. (1) Οι εκτελούντες την επεξεργασία ενημερώνουν τον Υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα παρέχοντας του όλες τις σχετικές πληροφορίες.
(2) Ο υπέθυνος των δεδομένων προσωπικού χαρακτήρα πραγματοποιεί άμεσο έλεγχο με σκοπό τον εντοπισμό της παραβίασης της ασφάλειας των δεδομένων προσωπικού χαρακτήρα και ποια δεδομένα έχουν επηρεαστεί.
(3) Ο υπεύθυνος των δεδομένων ενημερώνει άμεσα τους συνεργάτες της ΒΙΟΝΑΤ ΕΠΕ για τις διαθέσιμες πληροφορίες σχετικά με την παραβίαση της ασφάλειας, συμπεριλαμβανομένων πληροφοριών σχετικά με τη φύση του συμβάντος, τον χρόνο εντοπισμού του, το μέθεθος της ζημίας, τα μέτρα που ελήφθησαν και τα μέτρα που πρέπει να ληφθούν.
(4) Μετά από διαβούλευση με την διοίκηση της ΒΙΟΝΑΤ ΕΠΕ, ο Υπεύθυνος για τα δεδομένα λαμβάνει μέτρα για την πρόληψη και τον μετριασμό των επιπτώσεων της παραβίασης και τις δυνατότητες για ανάκτηση των δεδομένων.
(5) Σε επείγουσες περιπτώσεις, όταν ο συντονισμός με τη διοίκηση θα καθυστερήσει την αναταπόκριση και θα επιφέρει μεγάλες ζημίες, ο Υπέυθυνος των δεδομένων μπορεί, κατά την κρίση του, να λάβει μέτρα για την πρόληψη ή τον μετριασμό των επιπτώσεων της παραβίασης της ασφάλειας. Ο Υπεύθυνος ενημερώνει αμέσως τη διοίκηση για τα ληφθέντα μέτρα και συμμορφώνεται προς τις οδηγίες που του δοθούν.

Άρθρο. 18. (1) Σε περίπτωση που η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων των δεδομένων που παραβιάστηκαν και έπειτα από την έγκριση της διοίκησης της ΒΙΟΝΑΤ ΕΠΕ, ο Υπεύθυνος επεξεργασίας πραγματοποιεί την γνωστοποιήση της ΑΠΔΠΧ.
(2). Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο Υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην ΑΠΔΠΧ
(3) Η γνωστοποίηση προς την ΑΠΔΠΧ περιέχει τις ακόλουθες πληροφορίες:
(α) περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα·των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα
(β) ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του Υπευθύνου προστασίας δεδομένων·
(γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·
(δ) περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
(4) 1) Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο Υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

Άρθρο. 19. (1) Η ΒΙΟΝΑΤ ΕΠΕ διατηρεί ένα αρχείο καταγραφής των παραβίασεων ασφαλείας που περιέχει τις εξής πληροφορίες:
(α) ημερομηνία εντοπισμού της παραβίασης·
(β) περιγραφή της παράβασης - πηγή, είδος και μέγεθος των δεδομένων που έχουν επηρεαστεί, αιτία της παραβίασης (εάν έχει εντοπιστεί) ·
(γ) περιγραφή των ενημερώσεων που έχουν γίνει: ενημέρωση της Αρχής προστασίας δεδομένων προσωπικού χαρακτήρα και των θιγμένων προσώπων· 
(δ) τα μέτρα που ελήφθησαν για να περιοριστούν οι αρνητικές επιπτώσεις για τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα και για την ΒΙΟΝΑΤ ΕΠΕ
(ε) τα μέτρα που ελήφθησαν για να περιοριστεί η δυνατότητα επακόλουθων παραβιάσεων της ασφάλειας.

(2) Το αρχείο τηρείται σε ηλεκτρονική μορφή από τον Υπεύθυνο για τα δεδομένα προσωπικού χαρακτήρα.

X. ΔΙΑΒΙΒΑΣΕΙΣ ΤΩΝ ΕΝ ΛΟΓΩ ΔΕΔΟΜΕΝΩΝ ΣΕ ΤΡΙΤΟ ΜΕΡΟΣ
Άρθρο 20. (1) Η ΒΙΟΝΑΤ ΕΠΕ μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό που λειτουργούν ως εκτελούντες την επεξεργασία, βάσει μιας υπάρχουσας σύμβασης.
(2) Σε κάθε περίπτωση διαβίβασης των δεδομένων προσωπικού χαρακτήρα των υπαλλήλων, των πελατών/παραληπτών και των προμηθευτών σε άλλους εκτελούντες την επεξεργασία η ΒΙΟΝΑΤ ΕΠΕ:
(а) να απαιτεί επαρκείς εγγυήσεις για την τήρηση των νόμιμων διαδικασίων επεξεργασίας και προστασίας των δεδομένων προσωπικού χαρακτήρα·
(β) συνάπτει σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που καθορίζει τις υποχρεώσεις του και πληροί τις δεσμεύσεις βάσει του άρθρου 28 του ΓΚΠΔ (ΕΕ) 2016/679.
(γ) ενημερώνει τα υποκείμενα ότι τα δεδομένα τους θα διαβιβαστούν σε άλλον εκτελούντα επεξεργασάις.
(3) Η επεξεργασία των δεδομένων από εκτελούντες την επεξεργασία εκτός ΕΕ/ΕΟΧ επιτρέπεται όταν:
(α) Η Επιτροπή έχει λάβει κατάλληλα μέτρα για δραστηριότηττην ανάπτυξη μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της αποτελεσματικής επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα
(β) Υπάρχουν κατάλληλα μέτρα για την προστασία- π.χ. Δεσμευτικοί εταιρικοί κανόνες (ΔΕΚ), τυποποιημένες ρήτρες προστασίας δεδομένων εγκεκριμένες από την Επιτροπή, εγκεκριμένος κώδικας δεοντολογίας ή εγκεκριμένος μηχανισμός πιστοποίησης·
(γ) το υποκείμενο των δεδομένων συγκατατέθηκε ρητώς στην προτεινόμενη διαβίβαση, αφού ενημερώθηκε για τους πιθανούς κινδύνους ή
(δ) Η διαβίβαση είναι απαραίτητη για τους σκοπούς της ΓΚΠΔ συμπεριλαμβανομένου για την εκτέλεση σύμβασης με το υποκείμενο των δεδομένων, για σημαντικούς λόγους δημόσιου συμφέροντος, για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων, εφόσον το υποκείμενο των δεδομένων δεν έχει τη φυσική ή νομική ικανότητα να παράσχει τη συγκατάθεσή του.

XI. ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ
Άρθρο 21. (1) Εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας διενεργείται σύμφωνα με την ισχύουσα νομοθεσία και όταν η επεξεργασία από την πλευρά της ΒΙΟΝΑΤ ΕΠΕ ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.
(2) Η εκτίμηση των επιπτώσεων απαιτείται κάθε φορά που εισάγεται ένα βασικό σύστημα ή αλλάζει το επιχειρηματικό πρόγραμμα που συνδεδεμένο με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, μεταξύ των οποίων:
- χρήση νέων τεχνολογίων ή η μετάβαση στην χρήση νέων τεχνολογίων
- αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο·
- μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων·
- συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.
(3) Για την εκτίμηση των επιπτώσεων συντάσσεται πρωτόκολλο που παρέχεται κατόπιν αιτήματος της ΑΠΔΠΧ

XII. ΔΙΑΓΡΑΦΗ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Άρθρο 22. (1) Η διαγραφή των δεδομένων εκτελείται από την ΒΙΟΝΑΤ ΕΠΕ ή εξουσιοδοτημένο πρόσωπο χωρίς να θίγονται σοβαρά τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που διαγράφονται και οπως προβλέπεται στον παρόντα κανονισμό.
(2) Η πληροφορία που περιέχουν τα αρχεία καταστρέφεται όταν τα δεδομένα δεν καθίστανται πλέον αναγκαία.
(3) Προσωπικά δεδομένα σε έντυπη μορφή (έγγραφα) πρέπει να καταστρέφονται με ασφαλή τρόπο- τεμαχισμό. Τα δεδομένα σε ηλεκτρονική διαγράφονται κατά τρόπο ώστε η μελλοντική πρόσβαση σε αυτά να καθίσταται αδύνατη.

XIII. ΔΙΑΒΙΒΑΣΗ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΕ ΑΛΛΟΝ ΥΠΕΥΘΥΝΟ ΕΠΕΞΕΡΓΑΣΙΑΣ
3. Όλες οι διαβιβάσεις των δεδομένων προσωπικού χαρακτήρα  αποστέλλονται κρυπτογραφημένες και δια εικονικού ιδιωτικού δικτύου.

4. Η αποθήκευση των δεδομένων προσωπικού χαρακτήρα μετά την επίτευξη του σκοπού επεξεργασίας τους επιτρέπεται μόνο στις περιπτώσεις που προβλέπονται από τον νόμο. 

XIV. ΕΝΕΡΓΙΕΣ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟ ΑΤΥΧΗΜΑΤΑ, ΑΠΡΟΟΠΤΑ ΠΕΡΙΣΤΑΤΙΚΑ ΚΑΙ ΚΑΤΑΣΤΡΟΦΕΣ
4. Στις οδηγίες ασφάλειας περί τους χώρους της ΒΙΟΝΑΤ ΕΠΕ και τις αντίστοιχες αντιδράσεις των υπαλλήλων σε περιπτώσεις ατυχήματων, απρόοπτων περιστατικών, καταστροφών συμπεριλαμβάνονται και οι οδηγίες πως τα εξουσιοδοτημένα πρόσωπα να  σώσουν  τα αρχεία των δραστηριοτήτων της επεξεργασίας χωρίς να εκθέσουν τις ζωές τους σε κίνδυνο.
5. Σε περίπτωση προειδοποιήσεων για καταστροφές και εκκένωση κατοίκων και εργαζομένων από τις περιοχές υψηλού κινδύνου, τα πρόσωπα που έχουν πρόσβαση/ οι εκτελούντες την επεξεργασία των δεδομένων καταβάλλουν κάθε δυνατή προσπάθεια χωρίς να θέτουν σε κίνδυνο τη ζωή τους για να μεταφέρουν μαζί τους τους φορείς στους οποίους τηρούνται τα αρχεία των δραστηριοτήτων της επεξεργασίας.
6. Μετά το ατύχημα, το απρόοπτο περιστατικό ή την καταστροφή, οι εκτελούντες την επεξεργασία, το συντομότερο δυνατό, εντοπίζουν την κατάσταση των μητρώων και των αρχείων αντίγραφων, και όπου είναι αναγκαίο και δυνατό, αναλαμβάνουν δράσεις για την ανάκτησή τους.

XV. ΕΚΤΕΛΟΥΝΤΕΣ ΤΗΣ ΣΥΛΛΟΓΗΣ, ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΤΗΣ ΤΗΡΗΣΗΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΤΗΣ ΠΡΟΣΒΑΣΗΣ ΣΤΑ ΔΕΔΟΜΕΝΑ
Άρθρο 23. Ο Υπεύθυνος και οι εκτελούντες την επεξεργασία που επεξεργάζονται τα δεδομένα εκ μέρους της ΒΙΟΝΑΤ ΕΠΕ είναι φυσικά ή νομικά πρόσωπα που κατέχουν τις απαραίτητες γνώσεις ή/και εξουσιοδοτημένα με σχετική γραπτή εντολή, συμπεριλαμβανόμενου και από τους παρόντες Κανόνες.

Άρθρο. 24. Το πρόσωπο υπεύθυνο για τα δεδομένα προσωπικού χαρακτήρα:
- βοηθάει την ΒΙΟΝΑΤ ΕΠΕ και τους εκτελούντες την επεξεργασία και τους παρέχει επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
- εξασφαλίζει την ομαλή λειτουργία των παραπάνω αναφερόμενων συστημάτων ασφάλειας·
- ασκεί έλεγχο σε όλη την διαδικασία συλλογής και επεξεργασίας των δεδομένων·
- εκτελεί το καθήκον αναφοράς και διαχείρισης των παραβάσεων της ασφάλειας των δεδομένων·
- ανά τακτά χρονικά διαστήματα απαιτεί πληροφορίες από τους εκτελούντες σχετικά με την συλλογή, την πρόσβαση και την επεξεργασία των δεδομένων·
- ειδοποιεί εγκαίρως την ΒΙΟΝΑΤ ΕΠΕ στην περίπτωση που διαπιστώνονται παρατυπίες κατά την εκτέλεση των υποχρεώσεών του  
- καταστρέφει τα δεδομένα σε έντυπη και σε ηλεκτρονική μορφή σύμφωνα με την ισχύουσα νομοθεσία και με τις προθεσμίες καθορισμένες στους Κανόνες.
- εξουσιοδοτεί τα φυσικά και νομικά πρόσωπα να ασκούν κατ’εξουσιοδότηση πράξεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.

Άρθρο 25. (1) Δικαίωμα συλλογής, επεξεργασιάς, τήρησης και προστασίας των δεδομένων απορρήτου έχουν πρόσωπα τα υπηρεσιακά καθήκοντα των οποίων το επιβάλλουν
(2) Όταν αναθέτονται δραστηριότητες που απαιτούν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τα αρχεία που τηρεί η ΒΙΟΝΑΤ, ο πάροχος υπηρεσίων  θα πρέπει να συμμορφώνεται πλήρως προς τις νομικές απαιτήσεις, όπως αυτές ορίζονται στο άρθρο 19 των Κανόνων.
(3) Την πρόσβαση στα δεδομένα έχουν οι σχετικές εποπτικές αρχές- το δικαστήριο, το ανακριτικό τμήμα, η εισαγγελία, άλλα αρμόδια διοικητικά όργανα αναθεώρησης κτλ. Για την εκτέλεση των αρμοδιοτήτων τους και ακολουθώντας την σχετική νομική διαδικασία, οι Αρχές αυτές μπορούν να απαιτήσουν τα σχετικά δεδομένα.

XVI. ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Άρθρο 26. (1) Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, να ενημερώνεται για τους σκοπούς της επεξεργασίας, για τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, για τους αποδέκτες στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα καθώς και για τους σκοπούς της κάθε επεξεργαίας των δεδομένων του που τον αφορά.
(2) Το υποκείμενο των δεδομένων υποβάλλει σχετικό αίτημα για παροχή πρόσβασης στα δεδομένα του στην έδρα της «ΒΙΟΝΑΤ» ΕΠΕ ή στην επίσημη ηλεκτρονική διεύθυνση της εταιρείας.
(3) Κάθε υποκείμενο έχει το δικαίωμα να ζητήσει τη διαγραφή, τη διόρθωση ή τον αποκλεισμό των προσωπικών του δεδομένων, η επεξεργασία των οποίων δεν πληροί τις απαιτήσεις της ισχύουσας νοµοθεσίας.
(4) Ο καθένας έχει το δικαίωμα να διατυπώσει γραπτώς τις αντιρρήσεις του κατά της επεξεργασίας και / ή γνωστοποίησης σε τρίτους των προσωπικών του δεδομένων χωρίς την απαραίτητη νομική βάση.
(5) Η «ΒΙΟΝΑΤ» ΕΠΕ υποχρεούται εντός δύο εβδομάδων από την παραλαβή του αιτήματος σχετικά με τις προηγούμενες παραγράφους, να ειδοποιήσει τον αιτούντα εάν το αίτημά του πληρεί τις προϋποθέσης του νόμου για να ανταποκριθεί στο αίτημά του από την πλευρά της Επιχείρησης. Σε περίπτωση που το αίτημα του αιτούντος πληρεί τις νομικές προϋποθέσης η ΒΙΟΝΑΤ ΕΠΕ τον ενημερώνει για τον τρόπο με τον οποίο μπορεί να ασκήσει τα δικαιώματά του.
(6) Τα υποκείμενα δεδομένων έχουν δικαίωμα:
-  να ανακαλούν την συγκατάθεσή τους ανά πάσα στιγμή
- να αντιτάσσονται εάν τα δεδομένα προσωπικού χαρακτήρα τους υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης·
- να απαιτήσουν πληροφορία για τους λόγους· για τους οποίους έχουν διαβιβαστεί τα δεδομένα τους σε άλλον επεξεργαστή εκτός ΕΕ/ ΕΟΧ
- να αντιτάσσονται σε αποφάσεις που λήφθηκαν βάσει των αυτοποιημένων μεσών·
-να ενημερώνονται για τυχόν παραβιάσεις της προστασίας των δεδομένων τους που φέρει μεγάλη απειλή για τα δικαιώματα και της ελευθερίες τους·
- να υποβάλλουν καταγγελία ενώπιον της εποπτικής αρχής·
- να ζητήσουν σε ορισμένες περιπτώσεις τα δεδομένα τους να διαβιβαστούν σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο απευθείας σε τρίτο μέρος (δικαίωμα φορητότητας)

XVII. ΑΛΛΑΓΕΣ ΤΩΝ ΕΣΩΤΕΡΙΚΩΝ ΚΑΝΟΝΩΝ
Άρθρο 27. Η ΒΙΟΝΑΤ ΕΠΕ διατηρεί το δικαίωμα να τροποποιεί και να αναπροσαρμόζει αυτούς τους Κανόνες, όποτε κρίνει αυτό αναγκαίο και να γνωστοποιεί αμέσως κάθε μεταγενέστερη τροποποίησή τους στους ενδιαφερόμενους.

Οι εκάστοτε αλλαγές τίθενται σε ισχύ από την δημόσια εμφάνιση αυτών στον Ιστότοπο.

Εκ μέρους της ΒΙΟΝΑΤ ΕΠΕ:
Εγκρίθηκε από τον: Dobromir Dobcev – Διευθυντής της ΒΙΟΝΑΤ ΕΠΕ, Πλόβντιβ

Ημερομηνία: 11.04. 2019