Ελληνικά
-
Σύνοψη
Στις 25 Μαΐου 2018 τέθηκε σε ισχύ ο νέος ευρωπαϊκός Κανονισμός για την προστασία των προσωπικών δεδομένων, γνωστός ως Γενικός Κανονισμός Προστασίας Δεδομένων (στο εξής “ο ΓΚΠΔ” ή “ο Κανονισμός”). Ο ΓΚΠΔ ορίζει ένα ειδικό πλαίσιο και σύνολο κανόνων που αφορούν στην προστασία των φυσικών προσώπων μέσα στην Ευρωπαϊκή Ένωση (ΕΕ) σε σχέση με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα (στο εξής τα “ΔΠΧ”).
Οποιοδήποτε Φυσικό ή Νομικό πρόσωπο που συλλέγει, αποθηκεύει, αναλύει, χρησιμοποιεί ή υποβάλλει κατ’ άλλο τρόπο σε επεξεργασία, ΔΠΧ (στο εξής “η επεξεργασία”) επηρεάζεται, και είναι αναγκαίο να εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα όπως απαιτεί ο Κανονισμός. Ο ΓΚΠΔ επομένως επηρεάζει οποιοδήποτε Φυσικό ή Νομικό πρόσωπο που υποβάλλει σε επεξεργασία ΔΠΧ, ανεξαρτήτως εάν ο τόπος εγκατάστασης του είναι εντός ή εκτός της Ευρωπαϊκής Ένωσης, εφόσον τέτοια Φυσικά ή Νομικά Πρόσωπα εκτελούν επεξεργασία ΔΠΧ για άτομα τα οποία βρίσκονται εντός της Ευρωπαϊκής Ένωσης.
Αυτή η Πολιτική Απορρήτου & Ιδιωτικότητας ετοιμάστηκε από το Ραδιοφωνικό Ίδρυμα Κύπρου Αρ. Εγγραφής E2218 (στο εξής το “ΡΙΚ”), με σκοπό την παροχή πληροφόρησης και βοήθειας σε φυσικά πρόσωπα των οποίων τα προσωπικά δεδομένα τυγχάνουν ή μπορεί να τύχουν επεξεργασίας από το ΡΙΚ, υπό την ιδιότητα του ως Υπεύθυνος Επεξεργασίας ή Εκτελών την Επεξεργασία, καθώς και στο να κατανοήσουν τα μέτρα που υιοθετήσαμε και χρησιμοποιούμε, ως μέρος της συμμόρφωσης μας με τον ΓΚΠΔ. Όπου χρησιμοποιούμε τους όρους “ΡΙΚ”, “εμείς”, “εμάς” η “δικά μας” σε αυτή την πολιτική, αναφερόμαστε στο Ραδιοφωνικό Ίδρυμα Κύπρου το οποίο είναι ο οργανισμός που είναι υπεύθυνος για την επεξεργασία και διαχείριση των προσωπικών σας δεδομένων.
-
Το ΡΙΚ ως Υπεύθυνος Επεξεργασίας ή ως Εκτελών την Επεξεργασία
Μέσα στα πλαίσια του ΓΚΠΔ, το ΡΙΚ είναι συνήθως ο Υπεύθυνος Επεξεργασίας, και σε μικρό αριθμό περιπτώσεων, ο Εκτελών την Επεξεργασία, με πιθανή πρόσβαση και επεξεργασία ΔΠΧ των φυσικών προσώπων στις διάφορες θέσεις και καθήκοντα τους (π.χ. καλεσμένοι και άλλοι συμμετέχοντες σε συνεντεύξεις, ηθοποιοί και συνεργάτες). Το ΡΙΚ δεσμεύεται να διεκπεραιώνει όλες τις διαδικασίες επεξεργασίας ΔΠΧ με διαφανείς και δίκαιους τρόπους, βασιζόμενο σε διαδικασίες που εδράζονται στην αρχή της προστασίας της ιδιωτικότητας (Privacy by Design) και χρησιμοποιώντας κατάλληλα τεχνικά και οργανωτικά μέτρα για την υποστήριξη των στόχων ασφάλειας και προστασίας της ιδιωτικότητας. Αυτή η δέσμευση ισχύει σε σχέση με όλη τη διάρκεια του κύκλου ζωής της επεξεργασίας των ΔΠΧ, συμπεριλαμβανομένης της συλλογής, της μετάδοσης, της χρήσης και της αποθήκευσης τους.
Το ΡΙΚ δεσμεύεται επίσης να λαμβάνει όλα τα εύλογα μέτρα για να διασφαλίσει ότι η επεξεργασία των ΔΠΧ βασίζεται σε έγκυρη νόμιμη βάση επεξεργασίας . Όταν το ΡΙΚ είναι ο Εκτελών την Επεξεργασία, αυτή η δέσμευση σημαίνει συνήθως ότι στηριζόμαστε στον Υπεύθυνο Επεξεργασίας για να καθορίσει έγκυρη νόμιμη βάση για την επεξεργασία που εκτελούμε με αυτή την ιδιότητα. Βασιζόμαστε επίσης στους Υπευθύνους Επεξεργασίας να μας ειδοποιούν εγκαίρως όταν αποφασίζουν αλλαγές στις νόμιμες βάσεις επεξεργασίας που ακολουθούν.
Σε ορισμένες άλλες περιπτώσεις, η επεξεργασία που εκτελούμε, ιδίως όταν είμαστε ο Υπεύθυνος Επεξεργασίας Δεδομένων, υπαγορεύεται από τη νομοθεσία. Εναλλακτικά, η επεξεργασία των ΔΠΧ μπορεί να γίνει για να εκπληρώσει μια σύμβαση μεταξύ του ΡΙΚ και των εμπλεκομένων ατόμων ή μπορεί να βασίζεται στη συναίνεση των συγκεκριμένων ατόμων. Σε συγκεκριμένες περιπτώσεις, η επεξεργασία ΔΠΧ μπορεί να βασίζεται στα έννομα συμφέροντά μας, ειδικά εκείνα που απορρέουν από τις επαγγελματικές υποχρεώσεις και ευθύνες μας ή / και από άλλα κανονιστικά πλαίσια στη βάση των οποίων εκτελούμε τις εργασίες μας.
-
Βάση Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα
Σύμφωνα με το Άρθρο 6 του ΓΚΠΔ, η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
- η ύπαρξη συναίνεσης, η λήψη της οποίας πρέπει να τεκμηριώνεται, του υποκειμένου της επεξεργασίας (δηλαδή του φυσικού προσώπου), του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία
- η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο της επεξεργασίας είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου της επεξεργασίας πριν από τη σύναψη σύμβασης
- η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία
- η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία, εκτός εάν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου της επεξεργασίας που επιβάλλουν την προστασία των ΔΠΧ, ιδίως εάν το υποκείμενο της επεξεργασίας είναι παιδί
- η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου της επεξεργασίας ή άλλου φυσικού προσώπου
- η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται σε σχέση με την προώθηση ή την διαφύλαξη του δημοσίου συμφέροντος ή κατά την ενάσκηση δημόσιας εξουσίας που έχει ανατεθεί στον οργανισμό.
Με βάση τα πιο πάνω, το ΡΙΚ επιδιώκει να διασφαλίσει ότι κάθε είδος επεξεργασίας ΔΠΧ που εκτελούμε υποστηρίζεται από μία ή περισσότερες από τις παραπάνω νόμιμες βάσεις. Με ελάχιστες εξαιρέσεις, οι νόμιμες βάσεις που ισχύουν για τις λειτουργικές μας διαδικασίες και η επακόλουθη επεξεργασία ΔΠΧ που ακολουθούμε είναι οι τέσσερις πρώτες που αναφέρονται πιο πάνω. Επιπλέον, επεξεργαζόμαστε ΔΠΧ για δημοσιογραφικούς σκοπούς οπότε βασιζόμαστε στις διατάξεις του Άρθρου 85 του ΓΚΠΔ, που ορίζει ότι η σχετική επεξεργασία που επιτελούμε πρέπει να είναι συμβατή και να μην αντιβαίνει στην προστασία της ιδιωτικότητας των ατόμων που επηρεάζονται.
-
Πώς Συλλέγουμε τα Δεδομένα Προσωπικού Χαρακτήρα
Ως μέρος των βασικών διαδικασιών του ΡΙΚ (που περιλαμβάνουν την παραγωγή, αρχειοθέτηση, μετάδοση και διάθεση οπτικοακουστικού υλικού, καθώς και τη δημοσιογραφία σε σχέση με την αναγνώριση, ανάλυση, αποκάλυψη και διάδοση ειδήσεων) είναι δυνατόν να συλλέγουμε ΔΠΧ από πολλαπλές πηγές και όχι απαραίτητα απευθείας από τα άτομα που επηρεάζονται. Σε αυτές τις περιπτώσεις, το προσωπικό μας έχει εντολή να αξιολογεί και να προσμετρά τις ανάγκες και τα δικαιώματα της ελευθερίας της έκφρασης και της πρόσβασης σε πληροφόρηση, έναντι της ανάγκης προστασίας της ιδιωτικότητας των επηρεαζόμενων ατόμων.
Σε άλλες περιπτώσεις, λαμβάνουμε τα ΔΠΧ απευθείας από τα επηρεαζόμενα άτομα. Συνήθως, αυτά τα ΔΠΧ λαμβάνονται κατά την έναρξη της σχέσης μας με το υποκείμενο της επεξεργασίας ή σε ορισμένες περιπτώσεις σε μεταγενέστερο στάδιο, αφού αρχίσουμε να αλληλοεπιδρούμε με τα υποκείμενα της επεξεργασίας. Χρησιμοποιούμε διάφορα μέσα για τη λήψη ΔΠΧ όπως ηλεκτρονικά αρχεία (π.χ. σε διαδικτυακό τόπο), δεδομένα σε έντυπη μορφή ή που έχουν ληφθεί μέσω ηλεκτρονικού ταχυδρομείου ή μηνυμάτων ή φυσικής ανταλλαγής πληροφοριών επικοινωνίας (όπως μια επαγγελματική κάρτα).
Συλλέγουμε επίσης προσωπικά δεδομένα με αυτοματοποιημένα μέσα, όταν τα υποκείμενα της επεξεργασίας αλληλοεπιδρούν με πόρους που παρέχουμε (ιστοσελίδα, εργαλεία υποβολής δεδομένων μέσω ηλεκτρονικού ταχυδρομείου, εφαρμογές κινητής τηλεφωνίας περιλαμβανομένων εκείνων για ανταλλαγή μηνυμάτων, συστήματα ελέγχου πρόσβασης, εφαρμογές καταγραφής χρόνου και παρουσίας υπαλλήλων, κλειστά κυκλώματα παρακολούθησης, κλπ.). Μέσα από δομημένες διαδικασίες επιτυγχάνουμε επίσης βελτιώσεις στα ΔΠΧ που επεξεργαζόμαστε, ως αποτέλεσμα των αλληλεπιδράσεων ή / και των συναλλαγών μεταξύ των ατόμων και του ΡΙΚ.
Τέλος, λαμβάνουμε προσωπικές πληροφορίες για τα υποκείμενα της επεξεργασίας από πηγές άλλες, εκτός των φυσικών προσώπων αυτών, για παράδειγμα συστάσεις από προηγούμενους εργοδότες κατά τη διαδικασία υποβολής αιτήσεων εργοδότησης ή συνεργασίας. Εάν το υποκείμενο των δεδομένων εργοδοτείται ή είναι συνεργάτης ή εκπρόσωπος συνεργάτη ή προμηθευτή μας, ενδέχεται να λάβουμε τα ΔΠΧ του απευθείας από τον συγκεκριμένο οργανισμό ή από άλλους συναδέλφους ή συνεργάτες του εν λόγω φυσικού προσώπου.
-
Γιατί Επεξεργαζόμαστε τα Δεδομένα Προσωπικού Χαρακτήρα
Περιγράφουμε πιο κάτω τους κύριους τρόπους επεξεργασίας των ΔΠΧ καθώς και στην ενότητα Η τις νόμιμες βάσεις επεξεργασίας τις οποίες έχουμε ορίσει. Προσδιορίζουμε επίσης τα έννομα συμφέροντά μας, όπου αυτό ισχύει. Σε γενικές γραμμές χρησιμοποιούμε ΔΠΧ που συλλέγουμε για τον εντοπισμό, την ανάλυση, τη μετάδοση, κοινολόγηση και διάδοση ειδήσεων και νέων πληροφοριών στο ευρύ κοινό. Επεξεργαζόμαστε επίσης ΔΠΧ για να βοηθήσουμε το ΡΙΚ να κατανοήσει καλύτερα τις ανάγκες των φυσικών προσώπων με τα οποία συνεργάζεται ή / και συναλλάσσεται καθώς και για να εξατομικεύσουμε την εμπειρία σας και να ικανοποιήσουμε όσο πιο αποτελεσματικά μπορούμε τις ανάγκες σας κατά την αλληλεπίδρασή σας με το ΡΙΚ. Με βάση αυτό το πλαίσιο, είναι δυνατόν να χρησιμοποιούμε τις πληροφορίες σας για:
- δημιουργία, διανομή και διάθεση οπτικοακουστικού υλικού, όπως ειδήσεις, ταινίες, ντοκιμαντέρ και άλλο υλικό μέσω διαφόρων καναλιών διάθεσης (τηλεόραση, ραδιόφωνο, διαδίκτυο)
- την παροχή υπηρεσιών, όπως διαφημίσεις, χορηγίες και τοποθετήσεις προϊόντων
- να εκτελούμε τις απαραίτητες υπηρεσίες υπολογισμού και πληρωμής συντάξεων προς τους πρώην εργαζόμενους του ΡΙΚ
- να παρέχουμε υπηρεσίες εξυπηρέτησης του κοινού, των δημοσιογράφων και των πελατών, όπως για παράδειγμα η ανταπόκριση σε ερωτήματα και η εκτέλεση ενεργειών ή αιτημάτων
- την παροχή, ανάπτυξη και βελτίωση των προγραμμάτων, προϊόντων και υπηρεσιών μας
- να σας προσκαλούμε σε προωθητικές, ενημερωτικές και άλλες εκδηλώσεις
- τη διοργάνωση και εκτέλεση διαγωνισμών, ερευνών και ερωτηματολογίων
- τον έλεγχο και επαλήθευση της ταυτότητας των ατόμων που συναλλάσσονται μαζί μας και την πρόληψη, μετριασμό ή / και ανίχνευση εγκληματικών, δόλιων ή παράνομων δραστηριοτήτων (στις περιπτώσεις που ισχύει).
Σημειώνουμε ότι τα προσωπικά σας δεδομένα μπορούν να υποβληθούν σε επεξεργασία με βάση περισσότερους από έναν νόμιμους σκοπούς. Εάν χρειάζεστε περισσότερες πληροφορίες σχετικά με τη συγκεκριμένη νόμιμη βάση στην οποία βασίζουμε την επεξεργασία των προσωπικών σας δεδομένων, παρακαλούμε να μας στείλετε το συγκεκριμένο αίτημά σας στο dataprotection@cybc.com.cy.
-
Περίοδος Αποθήκευσης Δεδομένων Προσωπικού Χαρακτήρα
Τα ΔΠΧ δύνανται να διατηρούνται από εμάς σε φυσική ή / και ηλεκτρονική μορφή και να τυγχάνουν επεξεργασίας μέσα από μηχανισμούς σχεδιασμένους να υποστηρίζουν και να σέβονται τις αρχές του περιορισμού του σκοπού της επεξεργασίας, της ελαχιστοποίησης στα απαραίτητα για την επίτευξη των στόχων της επεξεργασίας, και της διασφάλισης της ακεραιότητας, εμπιστευτικότητας και διαθεσιμότητας τους καθώς και τον περιορισμό της περιόδου διατήρησης τους.
Συγκεκριμένα όσον αφορά την περίοδο διατήρησης των ΔΠΧ, τα τεχνικά και οργανωτικά μέτρα που εφαρμόζει το ΡΙΚ αποσκοπούν στην διατήρηση των ΔΠΧ για το ελάχιστο χρονικό διάστημα που απαιτείται για την εκπλήρωση των υποχρεωτικών, συμβατικών, επαγγελματικών ή / και κανονιστικών υποχρεώσεων μας.
Στο τέλος των εγκεκριμένων περιόδων τήρησης που ισχύουν σε κάθε περίπτωση, καθορισμένες λειτουργικές διαδικασίες διασφαλίζουν τη διαγραφή ή καταστροφή των ΔΠΧ με ελεγχόμενους τρόπους, τόσο στην ηλεκτρονική όσο και στην έντυπη τους μορφή. Σε ορισμένες περιπτώσεις, είναι πιθανόν να ψευδωνυμοποιήσουμε τα προσωπικά σας στοιχεία (ώστε να μην μπορούν πλέον να συσχετιστούν με εσάς) για ερευνητικούς ή στατιστικούς σκοπούς. Σε τέτοια περίπτωση είναι δυνατόν να χρησιμοποιήσουμε αυτές τις πληροφορίες επ' αόριστο, χωρίς περαιτέρω ενημέρωση ή ειδοποίηση προς εσάς.
Το ΡΙΚ διατηρεί επίσης κεντρικό αρχείο (το «Αρχείο»), το οποίο δημιουργήθηκε και λειτουργεί με τρόπο που συλλέγει, κατηγοριοποιεί και αποθηκεύει όλο το πρωτότυπο περιεχόμενο που παράγεται από το ΡΙΚ (συμπεριλαμβανομένων των εξωτερικών παραγωγών που δημιουργήθηκαν για το ΡΙΚ βάσει συμβατικών συμφωνιών με άλλα τρίτα μέρη). Το Αρχείο επεξεργάζεται και αποθηκεύει μεγάλους όγκους δεδομένων (ραδιοφωνικό και τηλεοπτικό περιεχόμενο, φωτογραφίες, μουσικά αρχεία, τεχνουργήματα και άλλα αντικείμενα που θεωρούνται ιστορικής αξίας), το μεγαλύτερο μέρος των οποίων περιλαμβάνει ή αντικατοπτρίζει ΔΠΧ. Η συγκεκριμένη επεξεργασία, βασίζεται σε σχετική νομοθεσία που ισχύει στην Κυπριακή Δημοκρατία (Ο περί Δημοσίου Αρχείου Νόμος 208/91) γεγονός που πρακτικά σημαίνει ότι τα εν λόγω ΔΠΧ διατηρούνται επ' αόριστο ή μέχρι την στιγμή που η Έφορος του Κεντρικού Αρχείου της Δημοκρατίας στο οποίο υπάγεται το Αρχείο του ΡΙΚ, εκδώσει οδηγία για διαγραφή τους.
-
Χρήση Δεδομένων Προσωπικού Χαρακτήρα
Εντός του ΡΙΚ, ΔΠΧ είναι προσβάσιμα στη βάση εγκρίσεων και διαδικασιών διαχείρισης δικαιωμάτων πρόσβασης των χρηστών, με στόχο την ελαχιστοποίηση τέτοιων προσβάσεων στη βάση πραγματικών επιχειρησιακών και λειτουργικών αναγκών.
Τα ΔΠΧ σας μπορεί επίσης να είναι προσβάσιμα σε εξουσιοδοτημένους συνεργάτες, συμπεριλαμβανομένων προμηθευτών και συμβούλων του ΡΙΚ. Σε αυτές τις περιπτώσεις, λαμβάνουμε συγκεκριμένα επιπλέον μέτρα για την προστασία των σχετικών δεδομένων, όπως περιγράφονται λεπτομερέστερα στην ενότητα “Υπεργολάβοι Τελούντες την Επεξεργασία της παρούσας Πολιτικής Απορρήτου & Ιδιωτικότητας.
Τέτοια μέτρα περιλαμβάνουν την απαίτηση από όλους τους εξουσιοδοτημένους συνεργάτες να σέβονται την ασφάλεια των ΔΠΧ και να τα χειρίζονται σύμφωνα με τους ισχύοντες νόμους και τον ΓΚΠΔ. Δεν επιτρέπουμε στους παροχείς υπηρεσιών να χρησιμοποιούν τα ΔΠΧ για δικούς τους σκοπούς παρά μόνο να τα επεξεργάζονται για καθορισμένους από εμάς σκοπούς και σύμφωνα με τις οδηγίες μας. Οι κατηγορίες συνεργατών που ενδέχεται να συμμετέχουν στην επεξεργασία των προσωπικών σας δεδομένων περιλαμβάνουν:
- Παρόχους υπηρεσιών προς το ΡΙΚ, οι οποίοι λειτουργούν ως Υπεργολάβοι Τελούντες την Επεξεργασία, εδρεύουν στην Ευρωπαϊκή Ένωση («ΕΕ») και παρέχουν υπηρεσίες πληροφορικής, διαχείρισης συστημάτων, παρόχους υπηρεσιών πληρωμών για τη διευκόλυνση αγορών υπηρεσιών και προγραμμάτων ή προϊόντων του ΡΙΚ, εταιρείες παραγωγής που δεσμεύονται να ετοιμάζουν προγράμματα ή / και άλλο σχετικό περιεχόμενο για το ΡΙΚ κλπ.
- Επαγγελματικούς Συμβούλους, συμπεριλαμβανομένων νομικών συμβούλων, τραπεζιτών, ελεγκτών και ασφαλιστικών εταιρειών που εδρεύουν στην ΕΕ και παρέχουν συμβουλευτικές, τραπεζικές, νομικές, ασφαλιστικές ή λογιστικές υπηρεσίες.
- Φορολογικές και τελωνειακές αρχές, ρυθμιστικές και εποπτικές αρχές, φορείς επιβολής του νόμου και άλλες αρχές που ενεργούν ως Εκτελούντες την Επεξεργασία, ή ανεξάρτητους Υπευθύνους Επεξεργασίας εγκατεστημένους στην Ευρωπαϊκή Ένωση οι οποίοι έχουν το δικαίωμα να λαμβάνουν πληροφόρηση σχετικά με τις δραστηριότητες επεξεργασίας που εκτελούμε, καθώς και σε νομικούς συμβούλους για την υπεράσπιση μας κατά νομικών αξιώσεων εναντίον μας.
- Ερευνητές αγοράς, φορείς πρόληψης απάτης και καταδολίευσης και παρόχους υπηρεσιών ανάλυσης δεδομένων.
- Συγκεκριμένα σε σχέση με δεδομένα που αφορούν στο Ανθρώπινο Δυναμικό του ΡΙΚ αυτά μπορούν να δοθούν σε προμηθευτές παροχής υπηρεσιών διαχείρισης μισθοδοσίας, σε διαχειριστές ταμείων συντάξεων ή προνοίας, λογιστές και ελεγκτές; γραφεία εξευρέσεως εργασίας, παρόχους τηλεφωνικών κέντρων και άλλους σύμβουλους διαχείρισης θεμάτων ανθρωπίνου δυναμικού.
Επιπλέον, υπάρχουν περιπτώσεις στις οποίες μπορεί να χρειαστεί να αποκαλύψουμε τα προσωπικά σας στοιχεία σε τρίτους για να βοηθήσουμε στη διοίκηση της επιχείρησής μας και τη βέλτιστη ποιότητα στην παροχή των υπηρεσιών μας. Σε αυτό το πλαίσιο, ενδέχεται να αποκαλύψουμε τα προσωπικά σας στοιχεία:
- σε τρίτους, στους οποίους είναι δυνατόν να πωλήσουμε, μεταβιβάσουμε ή συγχωνεύσουμε μέρη του οργανισμού μας ή των περιουσιακών μας στοιχείων. Εναλλακτικά, ενδέχεται να επιδιώξουμε την εξαγορά ή απόκτηση άλλων οργανισμών ή τη συγχώνευσή μαζί τους. Εάν μια τέτοια αλλαγή συμβεί στην επιχείρησή μας, τότε οι νέοι ιδιοκτήτες μπορούν να χρησιμοποιήσουν τα προσωπικά σας στοιχεία με τον ίδιο τρόπο που ορίζεται στην παρούσα Πολιτική Απορρήτου & Ιδιωτικότητας
- όταν έχουμε υποχρέωση να αποκαλύψουμε ή να μοιραστούμε τα προσωπικά σας στοιχεία προκειμένου να συμμορφωθούμε με οποιαδήποτε νομική ή κανονιστική υποχρέωση ή για να επιβάλουμε ή να εφαρμόσουμε τα νόμιμα δικαιώματά μας, οπότε ενδέχεται να μοιραστούμε τα προσωπικά σας στοιχεία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και με τις αρχές επιβολής του νόμου στην Ευρωπαϊκή Ένωση, ή τους νομικούς μας συμβούλους και
- όταν είναι απαραίτητο για την προστασία των δικαιωμάτων, της ιδιοκτησίας ή της ασφάλειας του ΡΙΚ, οπότε μπορούμε να αποκαλύψουμε τα προσωπικά σας στοιχεία στους νομικούς μας συμβούλους όπως επίσης και σε παρόχους άλλων επαγγελματικών υπηρεσιών. Μπορούμε επίσης να αποκαλύψουμε τα προσωπικά σας δεδομένα σε εθνικές αρχές και κυβερνητικούς φορείς, αν η νομοθεσία μας το επιτρέπει ή μας υποχρεώνει να το πράξουμε.
-
Κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα
Ως μέρος των λειτουργικών και επιχειρησιακών μας διαδικασιών και ανάλογα με τη συγκεκριμένη σχέση και την εμπορική ή άλλη συνεργασία, επεξεργαζόμαστε ΔΠΧ για μία ή περισσότερες κατηγορίες υποκειμένων της επεξεργασίας, όπως αυτές καταγράφονται ενδεικτικά πιο κάτω.
#
Επαγγελματική Σχέση
Είδος ΔΠΧ που επεξεργάζονται
Νομική Βάση
α.
Αιτούντες για εργοδότηση ή συνεργασία με το ΡΙΚ
- Πληροφορίες Βιογραφικού (CV)
- Στοιχεία επικοινωνίας
- Στοιχεία προηγούμενης απασχόλησης
- Συστατικές Επιστολές
- Λευκό Ποινικό Μητρώο
- Πληροφορίες σχετικά με άδεια παραμονής και εργασίας
- Δεξιότητες και επαγγελματικά και ακαδημαϊκά επιτεύγματα (π.χ. γλώσσες, ακαδημαϊκά διπλώματα)
- Ιατρικές πληροφορίες (μόνο για συγκεκριμένες θέσεις εργασίας)
Συγκατάθεση
Έννομο συμφέρον (για πληροφορίες σχετικά με τις αιτήσεις που υποβλήθηκαν αυτόβουλα και εθελοντικά από τον αιτούντα σε εμάς, χωρίς να ζητηθούν από το ΡΙΚ)
β.
Εργαζόμενοι, εργολάβοι και εργάτες / υπαλληλικό προσωπικό
- "Βασικά δεδομένα" [Ονοματεπώνυμο, ταυτότητα, αριθμός κοινωνικών ασφαλίσεων, διεύθυνση, οικογενειακή κατάσταση, παιδιά, ηλικία, φύλο, προσωπικές διευθύνσεις ηλεκτρονικού ταχυδρομείου]
- "Δεδομένα πρόσληψης" [ακαδημαϊκά στοιχεία, εμπειρία, προηγούμενοι εργοδότες, συστάσεις]
- Πληροφορίες αξιολόγησης και απόδοσης [μισθός, αξιολογήσεις, προαγωγές, πειθαρχικά παραπτώματα, καταγγελίες και επακόλουθες έρευνες, προσφυγές κατά αποφάσεων ανθρώπινου δυναμικού]
- Επαγγελματικά δεδομένα [γλώσσες, ειδικές δεξιότητες, άδεια οδήγησης]
- Επιχειρησιακά δεδομένα [πωλήσεις, τόποι μετακίνησης, αρχεία εκπαίδευσης, άδειες απουσίας, ωράρια αναμονής / άφιξης και αναχώρησης, διαβατήρια και δελτία ταυτότητας για τη στήριξη των επιχειρηματικών ταξιδιών]
- Οικονομικά στοιχεία [μισθοδοσία, στοιχεία μισθοδοσίας, λεπτομέρειες ασφάλισης ζωής, οικογενειακή κατάσταση, στοιχεία τραπεζικών λογαριασμών]
- Είδος απασχόλησης [πλήρους απασχόλησης, μερικής απασχόλησης, ωριαίων εργαζομένων, υπαλλήλων του δημόσιου τομέα, εργαζομένων περιορισμένου χρόνου, αυτοεργοδοτουμένων]
Συμβάσεις απασχόλησης / εργασίας
γ.
Πρώην Εργαζόμενοι, εργολάβοι και εργάτες / υπαλληλικό προσωπικό
Για τους πρώην υπαλλήλους, εργολάβους ή εργάτες, οι κατηγορίες ΔΠΧ που αναφέρονται στο στοιχείο β) ανωτέρω υποβάλλονται σε επεξεργασία, με τις ακόλουθες διαφορές:
- Τα οικονομικά στοιχεία διατηρούνται για μια περίοδο 12 ετών μετά τον τερματισμό ή την παραίτησή τους, για φορολογικούς σκοπούς
- Όλα τα υπόλοιπα δεδομένα διατηρούνται για περίοδο 3 ετών μετά την παραίτηση ή τον τερματισμό για σκοπούς αρχειοθέτησης ή / και παροχής αναφορών
Εργατική Νομοθεσία
Νόμος περί Κοινωνικής Ασφάλισης
Συμβάσεις απασχόλησης / εργασίας
δ.
Συγγενείς και Εξαρτώμενοι
- Ονοματεπώνυμο, αριθμός κινητού τηλεφώνου, σχέση με υπάλληλο, εργολάβο ή εργαζόμενο (συγγενής)
- Ονοματεπώνυμο, φύλο, ηλικία και ημερομηνία γέννησης
Συγκατάθεση
ε.
Μέλη του Διοικητικού Συμβουλίου και Διευθυντές
Εκτελεστικοί - όπως για το (β) πιο πάνω, καθώς και στοιχεία όπως η εγγραφή σε οποιαδήποτε εποπτική αρχή, προσόντα εποπτικής ή κανονιστικής φύσεως κλπ.
Μη εκτελεστικοί - πλήρες όνομα, αριθμός κινητών τηλεφώνων, προσωπικές διευθύνσεις ηλεκτρονικού ταχυδρομείου, πληροφορίες βιογραφικού σημειώματος, άλλες θέσεις πλήρους ή μερικής απασχόλησης, χρηματοοικονομικές πληροφορίες όπως λεπτομέρειες τραπεζικών λογαριασμών, και κανονιστικά στοιχεία όπως η εγγραφή ή πιστοποιητικά σε οποιαδήποτε εποπτική αρχή, προσόντα εποπτικής ή κανονιστικής φύσεως κλπ.
Νομοθεσία
Έννομο συμφέρον
στ.
Συνταξιούχοι
Δες «Πρώην Εργαζόμενοι, εργολάβοι και εργάτες / υπάλληλοι». Τα ακόλουθα είναι πρόσθετα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία:
- Ιατρικά δεδομένα που επηρεάζουν την συνταξιοδότηση, καθώς και ιατρικά αρχεία και πληροφορίες σχετικά με την υγεία των συνταξιούχων.
- Δεδομένα σε σχέση με οικογενειακή κατάσταση (π.χ. διαζύγια και δικαστικές αποφάσεις (ειδικές κατηγορίες)).
Τα χρηματοοικονομικά δεδομένα διατηρούνται για να βοηθήσουν στην εκτέλεση των διαδικασιών διαχείρισης και πληρωμής συνταξιοδοτικών ταμείων, όπως και για φορολογικούς και ρυθμιστικούς σκοπούς.
Σύμβαση
Έννομο συμφέρον
Νομοθεσία
η.
Επισκέπτες και καλεσμένοι στο χώρο
- Ονοματεπώνυμο
- Εργοδότης
- Επισκέπτης /ες
- Ώρα εισόδου και εξόδου
- Υπογραφή
- Αριθμοί ελέγχου πρόσβασης και αρχεία καταγραφές πρόσβασης
- Εγγραφές κάμερας / CCTV
Έννομο συμφέρον
θ.
Συμμετέχοντες σε εκδηλώσεις
- Ονοματεπώνυμο
- Εργοδότης
- Θέση και τίτλος εργασίας
- Αριθμοί τηλεφώνου εργασίας και κινητού τηλεφώνου
- Διεύθυνση ηλεκτρονικού ταχυδρομείου (εργασία ή / και προσωπικό)
- Φωτογραφίες και εικόνες
Έννομο συμφέρον
ι.
Ευρύ κοινό
- Πλήρες όνομα
- Διεύθυνση ηλεκτρονικού ταχυδρομείου
- Αριθμοί τηλεφώνου
- Όνομα εργοδότη
- Θέση και τίτλος εργασίας (σε σχέση με ηλεκτρονική επικοινωνία ή / και αλληλογραφία μεταξύ μας)
- Φωτογραφίες και εικόνες από εσάς από κάμερες CCTV που λειτουργούμε
Έννομο συμφέρον
μ.
Χρήστες βιβλιοθήκης
- Πλήρες όνομα
- Διεύθυνση ηλεκτρονικού ταχυδρομείου
- Διεύθυνση διαμονής
- Αριθμός κινητού τηλεφώνου
- Ημερομηνία γέννησης
Συγκατάθεση
ν.
Χρήστες ιστότοπου
- Ονοματεπώνυμο
- Φύλο
- Διεύθυνση ηλεκτρονικού ταχυδρομείου (εργασίας ή / και προσωπικό)
- Αριθμοί τηλεφώνου εργασίας και κινητού τηλεφώνου
- Πληροφορίες χωροταξίας (διεύθυνση, ηλεκτρονικά δεδομένα τοποθεσίας, κλπ.)
- Ηλεκτρονικά αναγνωριστικά όπως διευθύνσεις IP, ονόματα χρηστών, εικόνες και οπτικά αναγνωριστικά («emojis»).
Συγκατάθεση
Συμβόλαιο (όπου οι πληροφορίες αυτές συλλέγονται για τη σύναψη σύμβασης μαζί σας)
ξ.
Αιτούντες Υποτροφιών
- Πλήρες όνομα
- Διεύθυνση ηλεκτρονικού ταχυδρομείου
- Αριθμός κινητού τηλεφώνου
- Ημερομηνία γέννησης
- Ακαδημαϊκά και άλλα επιτεύγματα, προσόντα και πληροφορίες
- Οικογενειακές πληροφορίες και επαγγελματικές και ακαδημαϊκές συστάσεις
Συγκατάθεση|
ο.
Επισκέπτες / χρήστες Αρχείου ΡΙΚ (μέσω ηλεκτρονικών καναλιών ή με φυσική επίσκεψη στο Αρχείο)
- Πλήρες όνομα
- Διεύθυνση ηλεκτρονικού ταχυδρομείου
- Διεύθυνση διαμονής
- Αριθμός κινητού τηλεφώνου
- Ημερομηνία γέννησης
Συγκατάθεση
-
Τεχνικά και Οργανωτικά Μέτρα Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Ο ΓΚΔΠ επιβάλλει υποχρεώσεις στους Υπεύθυνους Επεξεργασίας και στους Εκτελούντες την Επεξεργασία, οι οποίες σε πολλές περιπτώσεις εξαρτώνται από τη με συνέπεια εφαρμογή των σχετικών μέτρων και ελέγχων σε όλες τις λειτουργίες των επιχειρήσεων τους. Η πολιτική μας είναι να επεξεργαζόμαστε τα ΔΠΧ λαμβάνοντας δεόντως υπόψη την ασφάλεια, την ιδιωτικότητα και την προστασία των δεδομένων που λαμβάνουμε, αποθηκεύουμε και επεξεργαζόμαστε. Αυτή η Πολιτική Απορρήτου & Ιδιωτικότητας επεξηγεί τους τύπους των τεχνικών και οργανωτικών μέτρων που χρησιμοποιούμε για να βελτιώνουμε το επίπεδο προστασίας των ΔΠΧ που επεξεργαζόμαστε. Τα μέτρα αυτά έχουν επίσης σχεδιαστεί για να μεγιστοποιήσουν την προστασία της ιδιωτικότητας σύμφωνα με τον ΓΚΠΔ και έχουν ως στόχο να παρέχουν επίπεδο ασφάλειας που να είναι αντίστοιχο προς τους σχετικούς κινδύνους.
- Στο πλαίσιο του συνολικού πλαισίου προστασίας ΔΠΧ, το ΡΙΚ έχει ορίσει υπεύθυνο προστασίας δεδομένων (DPO), σύμφωνα με τις απαιτήσεις του ΓΚΔΠ. Μπορείτε να επικοινωνήσετε με τον Υπεύθυνο Προστασίας Δεδομένων του ΡΙΚ στη διεύθυνση dataprotection@cybc.com.cy.
- Το προσωπικό μας παρακολουθεί περιοδικά πληροφοριακά σεμινάρια για τον ΓΚΠΔ, έτσι ώστε να επικαιροποιείται η κατανόηση του ΓΚΠΔ και του τρόπου με τον οποίο ο Κανονισμός μπορεί να επηρεάσει τις λειτουργίες του ΡΙΚ που αφορούν στα ΔΠΧ που επεξεργαζόμαστε.
- Υποστηρίζουμε την εκτέλεση νομίμως εκδοθέντων οδηγιών προς εμάς από τρίτους φορείς (όπως οι πελάτες και προμηθευτές μας), σε σχέση με τα υποκείμενα της επεξεργασίας για τα οποία οι εν λόγω τρίτοι φορείς είναι Υπεύθυνοι Επεξεργασίας, ασκώντας τα δικαιώματά τους βάσει του ΓΚΠΔ. Αυτό ισχύει εφόσον οι οδηγίες αυτές δεν έρχονται σε σύγκρουση με τις δικές μας νομικές, επαγγελματικές ή κανονιστικές υποχρεώσεις. Σε τέτοιες περιπτώσεις, επιδιώκουμε να ειδοποιήσουμε τα τρίτα μέρη για τις διαθέσιμες επιλογές.
- Επιδιώκουμε να διασφαλίσουμε ότι τρίτα μέρη που υποστηρίζουν λειτουργίες ή συστήματα του ΡΙΚ ή που εμπλέκονται με άλλο τρόπο στις διαδικασίες επεξεργασίας ΔΠΧ, διαθέτουν και λειτουργούν τα απαραίτητα τεχνικά και οργανωτικά μέτρα για την προστασία της ασφάλειας και της ιδιωτικότητας των προσωπικών δεδομένων.
- Οι Διαδικασίες Αντιμετώπισης Περιστατικών και Διαδικασίες Γνωστοποίησης Παραβίασης είναι σχεδιασμένες κατά τρόπο που συμπεριλαμβάνει την απαίτηση κοινοποίησης περιστατικών ασφάλειας στον Υπεύθυνο Προστασίας Δεδομένων ο οποίος είναι κατάλληλα εξουσιοδοτημένος για να αποφασίζει σε σχέση με την ανάγκη εμπλοκής άλλων στελεχών του ΡΙΚ όταν τέτοια περιστατικά αφορούν ΔΠΧ ενός ή περισσοτέρων ατόμων του ΡΙΚ.
- Οι διαδικασίες μας είναι σχεδιασμένες ώστε να μην επιτρέπουν διασυνοριακές μεταφορές ΔΠΧ στις οποίες έχουμε πρόσβαση ή/ και τα οποία επεξεργαζόμαστε, κατά τη διάρκεια οποιασδήποτε από τις λειτουργικές διαδικασίες μας. Εάν τέτοιες διασυνοριακές διαβιβάσεις δεδομένων καταστούν αναγκαίες, θα επιδιώξουμε να διασφαλίσουμε ότι υπάρχει έγκυρη νόμιμη βάση επεξεργασίας, καθώς και οι κατάλληλες εγγυήσεις προστασίας, σύμφωνα με τον ΓΚΠΔ.
- Οι διαδικασίες πρόσληψης και η συνεχής κατάρτιση και εξέλιξη του προσωπικού μας καθώς και η αξιολόγηση και οι πειθαρχικές διαδικασίες που εφαρμόζουμε, αποσκοπούν στην προώθηση και διατήρηση υψηλού επιπέδου επαγγελματικής δεοντολογίας και ικανότητας σε όλα τα επίπεδα του ΡΙΚ, η οποία είναι σύμφωνη με τα διεθνή πρότυπα και την επαγγελματική μας κατάρτιση και νομικές ευθύνες.
- Επιπλέον, το ΡΙΚ εφαρμόζει διάφορα συμπληρωματικά τεχνικά και οργανωτικά μέτρα, σχεδιασμένα να προστατεύουν την ιδιωτικότητα των προσωπικών πληροφοριών που συλλέγουμε, αποθηκεύουμε και επεξεργαζόμαστε. Αυτά τα μέτρα περιλαμβάνουν ελέγχους πρόσβασης και διαχείριση δικαιωμάτων των χρηστών με στόχο την ελαχιστοποίηση της πρόσβασης σε ΔΠΧ μόνο σε κατάλληλα εξουσιοδοτημένα πρόσωπα. Χρησιμοποιούμε επίσης διαδικασίες αυθεντικοποίησης με περισσότερους από έναν κωδικούς πρόσβασης, επιβαλλόμενες περιοδικές αλλαγές κωδικών, ανάγκη πολυπλοκότητας κωδικού πρόσβασης και καθορισμένου μέγιστου και ελάχιστου μήκους τέτοιων κωδικών, περιορισμούς στην επαναχρησιμοποίηση των ίδιων κωδικών πρόσβασης κ.λπ. Επιπλέον ακολουθούμε δομημένη διαδικασία περιοδικής επαναβεβαίωσης σε σχέση με την τεκμηριωμένη ανάγκη πρόσβασης σε τέτοια ΔΠΧ.
- Επιπλέον, το ΡΙΚ χρησιμοποιεί τεχνολογίες και ειδικά εργαλεία προστασίας ηλεκτρονικής ασφάλειας (όπως τείχη προστασίας (Firewalls), συστήματα ανίχνευσης εισβολών (intrusion prevention systems), πύλες ασφάλειας ηλεκτρονικού ταχυδρομείου (Mail Security Gateways) κλπ., τα οποία είναι σχεδιασμένα για να υποστηρίζουν την αποτελεσματική και με ασφάλεια διαχείριση της ηλεκτρονικής μας περιμέτρου. Το ΡΙΚ διαθέτει επίσης ένα ενεργό και συνεχές πρόγραμμα διαχείρισης ενημερώσεων ασφαλείας (patch management) για τις συσκευές ασφάλειας, τους διακομιστές, δρομολογητές και εξυπηρετητές που χρησιμοποιεί με στόχο την αντιμετώπιση νέων απειλών και ευπαθειών.
- Σημαντικό μέρος των εργασιών μας περιλαμβάνει την αρωγή από τρίτα μέρη (νομικά ή φυσικά πρόσωπα) που εμπλέκονται και / ή παρέχουν υποστήριξη σε διάφορα επίπεδα, μεταξύ των οποίων και η επεξεργασία ΔΠΧ. Τα σχετικά τεχνικά και οργανωτικά μέτρα που εφαρμόζουμε και λειτουργούμε με στόχο την ενίσχυση και διατήρηση της ιδιωτικότητας περιγράφονται στην επόμενη ενότητα.
-
Τελούντες την Επεξεργασία
Δεδομένων Προσωπικού Χαρακτήρα για το ΡΙΚ Όπως σχεδόν όλοι οι οργανισμοί, το ΡΙΚ χρησιμοποιεί τρίτους ως μέρος των επιχειρησιακών λειτουργιών και διαδικασιών του, οι οποίοι μπορεί να είναι νομικά ή / και φυσικά πρόσωπα που παρέχουν υπηρεσίες ή / και προϊόντα σχετικά με την παραγωγή ταινιών και περιεχομένου, τεχνολογίας, μάρκετινγκ, διαχείρισης φυσικών εγκαταστάσεων, λογιστικά, νομικά και άλλα θέματα που ενδέχεται να έχουν αντίκτυπο στην επεξεργασία των ΔΠΧ (συμπεριλαμβανομένης της επεξεργασίας όπως ορίζεται στην παρούσα Πολιτική Απορρήτου & Ιδιωτικότητας).
Όπου είναι απαραίτητο στο πλαίσιο της επεξεργασίας των ΔΠΧ, η διαδικασία επιλογής και τα κριτήρια συνεργασίας με προμηθευτές ή άλλους συμβούλους, περιλαμβάνει την εξέταση και αξιολόγηση του επιπέδου ετοιμότητας και συμμόρφωσης των αξιολογούμενων τρίτων μερών ως προς τις απαιτήσεις του ΓΚΠΔ. Ως εκ τούτου, επιδιώκουμε να διασφαλίσουμε ότι τα τρίτα μέρη που υποστηρίζουν τις λειτουργίες ή συστήματα του ΡΙΚ ή που εμπλέκονται με άλλον τρόπο στις διαδικασίες επεξεργασίας ΔΠΧ, διαθέτουν και εφαρμόζουν τα απαραίτητα τεχνικά και οργανωτικά μέτρα για την προστασία της ασφάλειας και της ιδιωτικότητας των ΔΠΧ. Συνεπώς, όποτε κρίνεται σκόπιμο, οι συμβάσεις μας με τρίτους περιλαμβάνουν ειδικές διατάξεις που έχουν ως στόχο:
- να προσδιορίσουν το ρόλο του τρίτου μέρους ως Εκτελούντα την Επεξεργασία ή υπεργολάβου Εκτελούντος την Επεξεργασία, σε σχέση με το ΡΙΚ
-
τον καθορισμό των υποχρεώσεων του τρίτου μέρους που σχετίζονται με τον ΓΚΠΔ έναντι του ΡΙΚ, συμπεριλαμβανομένων:
- εφαρμογής των εγκεκριμένων περιόδων αποθήκευσης και διατήρησης δεδομένων του ΡΙΚ
- ενσωμάτωσης της διαδικασίας Αξιολόγησης Αντικτύπου στην Ιδιωτικότητα του τρίτου μέρους σε αυτές του ΡΙΚ, και παροχής υποστήριξης προς το ΡΙΚ σε σχέση με διαδικασίες Αξιολόγησης Αντικτύπου στην Ιδιωτικότητα που θα διενεργήσει το ίδιο το ΡΙΚ
- καθορισμός επιτρεπόμενων μεθόδων πρόσβασης και σύνδεσης για υποστήριξη μέσω απομακρυσμένης πρόσβασης (όπου είναι απαραίτητο)
- καθορισμός των διαδικασιών μέσω των οποίων το ΡΙΚ θα εκδίδει σχετικές οδηγίες στο τρίτο μέρος σε σχέση με την αναμενόμενη και απαιτούμενη επεξεργασία των ΔΠΧ (όπου ισχύει), στο πλαίσιο κάθε αντίστοιχης συμφωνίας
- απαγόρευση εκτέλεσης διασυνοριακών μεταφορών δεδομένων από το τρίτο μέρος, εκτός μετά από τη ρητή, προηγούμενη γραπτή άδεια του ΡΙΚ (η οποία υπόκειται, και πρέπει να ευθυγραμμίζεται και να συμμορφώνεται με τις συμβατικές και άλλες υποχρεώσεις του ΡΙΚ προς τα επηρεαζόμενα πρόσωπα των δεδομένων).
- την παροχή του δικαιώματος στο ΡΙΚ να διεξάγει περιοδικούς ελέγχους (συμπεριλαμβανομένων ελέγχων χωρίς προειδοποίηση) σε σχέση με την εκτέλεση διαδικασιών που σχετίζονται με ΓΚΠΔ τις οποίες το τρίτο μέρος υποστηρίζει και / ή λειτουργεί για λογαριασμό του ΡΙΚ. Στο πλαίσιο αυτό, το ΡΙΚ επιδιώκει επίσης να εφαρμόσει διαδικασίες περιοδικής αξιολόγησης σε σχέση με τους υπεργολάβους Εκτελούντες την Επεξεργασία, έτσι ώστε να είναι σε θέση παρακολουθεί από κοινού με το τρίτο μέρος την αποτελεσματικότητα της εκτέλεσης των διαδικασιών προστασίας της ιδιωτικότητας και των σχετικών διαδικασιών, ώστε αυτές οι διαδικασίες να είναι ασφαλείς και σύννομες.
-
Τα Δικαιώματα σου
Τα υποκείμενα επεξεργασίας έχουν καθορισμένα δικαιώματα βάσει του ΓΚΠΔ. Συγκεκριμένα, ο ΓΚΠΔ απαιτεί από τους Υπεύθυνους Επεξεργασίας και τους Εκτελούντες την Επεξεργασία να εφαρμόζουν τις απαραίτητες διαδικασίες και μηχανισμούς για να υποστηρίζουν τα υποκείμενα της επεξεργασίας έτσι ώστε να είναι σε θέση να ασκούν τα ακόλουθα δικαιώματα, οι ακριβείς ορισμοί των οποίων έχουν τις έννοιες που τους αποδίδονται από τον ΓΚΠΔ:
- Δικαίωμα ενημέρωσης σχετικά με την επεξεργασία ΔΠΧ που πραγματοποιείται και το σκεπτικό αυτής της επεξεργασίας
- Δικαίωμα πρόσβασης στα δεδομένα που υποβάλλονται σε επεξεργασία για το άτομό του / της
- Δικαίωμα διόρθωσης που επιτρέπει σε άτομα να ζητήσουν τη διόρθωση ή την τροποποίηση των δεδομένων τους
- Δικαίωμα εναντίωσης σε συγκεκριμένο τύπο επεξεργασίας, υπό συγκεκριμένες συνθήκες
- Δικαίωμα κατά της αυτοματοποιημένης επεξεργασίας ή της δημιουργίας προφίλ σε περιπτώσεις όπου η αυτοματοποιημένη επεξεργασία οδηγεί σε αποφάσεις οι οποίες, κατά τη γνώμη του επηρεαζόμενου προσώπου στο οποίο αναφέρονται τα δεδομένα, δεν αντικατοπτρίζουν επαρκώς τα συγκεκριμένα χαρακτηριστικά της υπόθεσης
- Δικαίωμα απόσυρσης της συναίνεσης που επιτρέπει στο υποκείμενο της επεξεργασίας υπό συγκεκριμένες περιστάσεις να ειδοποιήσει και να αποσύρει μια προηγουμένως δοθείσα συγκατάθεση για συγκεκριμένο τύπο επεξεργασίας
- Δικαίωμα στη φορητότητα δεδομένων που επιτρέπει τη μεταφορά ΔΠΧ που υποβάλλονται σε επεξεργασία από υπεύθυνο επεξεργασίας δεδομένων στο υποκείμενο της επεξεργασίας ή απευθείας σε άλλο Εκτελούντα την Επεξεργασία σε ηλεκτρονική, αναγνώσιμη μορφή
- Δικαίωμα στη λήθη το οποίο παρέχει δικαίωμα σε ένα υποκείμενο της επεξεργασίας - υπό ορισμένες περιστάσεις - να ζητήσει τη ολοκληρωτική διαγραφή των προσωπικών του δεδομένων. Σημειώνουμε πως το δικαίωμα αυτό δεν είναι απόλυτο καθώς επηρεάζεται από τις συγκεκριμένες περιστάσεις και δεδομένα της κάθε περίπτωσης. Για παράδειγμα, αιτήσεις για διαγραφή προσωπικών δεδομένων που αποτελούν μέρος του Αρχείου ΡΙΚ, κατά κανόνα δεν είναι δυνατόν να εκτελεστούν.
Δεν χρειάζεται να πληρώσετε τέλη για να ασκήσετε οποιοδήποτε από τα δικαιώματα που αναφέρονται παραπάνω). Ωστόσο, ενδέχεται να εφαρμόσουμε λογικές χρεώσεις αν το αίτημά σας είναι σαφώς αβάσιμο, επαναλαμβανόμενο ή υπερβολικό. Σε ακραίες περιπτώσεις, ενδέχεται να αρνηθούμε να συμμορφωθούμε με το αίτημά σας.
Αν επιθυμείτε να εξασκήσετε οποιοδήποτε από τα πιο πάνω δικαιώματα, παρακαλώ να υποβάλετε γραπτώς το αίτημα σας στο dataprotection@cybc.com.cy, ή μέσω της σχετική ηλεκτρονικής φόρμας που βρίσκεται στους ιστότοπους του ΡΙΚ.
-
Παράπονα και Ερωτήματα
Το ΡΙΚ δεσμεύεται να επιβεβαιώνει τη λήψη καθώς και να εξετάσει και να απαντήσει σε όλα τα ερωτήματα και τις καταγγελίες που λαμβάνει από οποιοδήποτε φυσικό πρόσωπο που πιστεύει ότι επηρεάζεται από την επεξεργασία των δεδομένων του από το ΡΙΚ. Για να διαβιβάσετε τέτοια ερωτήματα ή καταγγελίες σας, παρακαλώ επικοινωνήστε μαζί μας στο dataprotection@cybc.com.cy και θα προσπαθήσουμε να απαντήσουμε το συντομότερο δυνατό, εντός 30 ημερών όπως ορίζεται από τον ΓΚΠΔ.
Εάν, παρά τις απαντήσεις και τις ενέργειές μας για την αντιμετώπιση των ανησυχιών σας, δεν είστε ικανοποιημένοι, έχετε το δικαίωμα να απευθυνθείτε στην Επίτροπο Προστασίας Προσωπικών Δεδομένων Κύπρου, το γραφείου της οποίας βρίσκεται στην οδό Ιάσωνος 1, 2ος Όροφος, Λευκωσία 1082. Μπορείτε επίσης να επικοινωνήσετε με το γραφείο της Επιτρόπου στο +357 22818456 η στη διεύθυνση ηλεκτρονικού ταχυδρομείου τους που είναι commissioner@dataprotection.gov.cy.
-
Άλλες Σημαντικές Πληροφορίες
Η παρούσα Πολιτική Απορρήτου & Ιδιωτικότητας δεν μεταβάλλει με κανέναν τρόπο πέραν των ρητά καθορισμένων εννοιών της, τις υποχρεώσεις και ευθύνες του ΡΙΚ ή των πελατών του, των συνεργατών, παρόχων ή των υπαλλήλων του, οι οποίες διέπονται από τις αντίστοιχες συμβάσεις (όπου ισχύει) με κάθε μία από αυτές τις φυσικές ή νομικές οντότητες.
-
Χρήση των “Cookies” στους ιστότοπους μας
Στο ΡΙΚ χρησιμοποιούμε cookies στις ιστοσελίδες μας. Αυτό γίνεται για να διευκολυνθεί η πλοήγηση σε όλο το δικτυακό τόπο και να αυξηθεί η ευκολία και ευχρηστία για τους επισκέπτες / χρήστες. Το πρόγραμμα περιήγησης στο διαδίκτυο ενδέχεται να δεχτεί αυτά τα cookies αυτόματα, ωστόσο μπορείτε να ανατρέξετε στον οδηγό βοήθειας του προγράμματος περιήγησης, εάν θέλετε να απορρίψετε ή ακόμη και να τα διαγράψετε από το σύστημά σας.
Σύμφωνα με τοwww.allaboutcookies.org, τα Cookies είναι μικρά, σε πολλές περιπτώσεις κρυπτογραφημένα αρχεία που βρίσκονται σε καταλόγους προγραμμάτων περιήγησης. Χρησιμοποιούνται από προγραμματιστές ιστοσελίδων για να βοηθήσουν τους χρήστες να χρησιμοποιούν πιο αποτελεσματικά ιστοσελίδες και να εκτελέσουν ορισμένες λειτουργίες. Λόγω του βασικού τους ρόλου για βελτιστοποίηση της εμπειρίας των χρηστών του ιστότοπου, η απενεργοποίηση των cookies ενδέχεται να εμποδίζει τους χρήστες να χρησιμοποιούν συγκεκριμένους ιστότοπους ή συγκεκριμένες περιοχές ή λειτουργίες αυτών των ιστότοπων.
Τα cookies δημιουργούνται όταν το πρόγραμμα περιήγησης ενός χρήστη αποκτά πρόσβαση σε έναν συγκεκριμένο ιστότοπο. Ο ιστότοπος στέλνει πληροφορίες στο πρόγραμμα περιήγησης, το οποίο στη συνέχεια δημιουργεί ένα αρχείο. Κάθε φορά που ο χρήστης επιστρέφει στον ίδιο ιστότοπο, το πρόγραμμα περιήγησης ανακτά και στέλνει αυτό το αρχείο στον εξυπηρετητή του ιστότοπου. Τα cookies δημιουργούνται όχι μόνο από τον ιστότοπο που επισκέπτεται ο χρήστης αλλά ενδεχομένως και από άλλους ιστότοπους που παρουσιάζουν διαφημίσεις, widgets ή άλλα στοιχεία από τη σελίδα που φορτώνεται. Αυτά τα cookies ρυθμίζουν τον τρόπο με τον οποίο εμφανίζονται οι διαφημίσεις ή πώς λειτουργούν τα widget και άλλα στοιχεία στη σελίδα. Χρησιμοποιούμε "session" και “persistent" cookies στον ιστότοπο. Θα χρησιμοποιήσουμε τα "session" cookies για να παρακολουθούμε την πλοήγησή σας στον ιστότοπο. Θα χρησιμοποιήσουμε τα “persistent" cookies για να: επιτρέψουμε στον ιστότοπό μας να σας αναγνωρίσει καθώς και για άλλες σχετικές χρήσεις.
Για να μάθετε περισσότερα σχετικά με τη χρήση των cookies, χρησιμοποιήστε τους παρακάτω συνδέσμους:
- European Interactive Digital Advertising Alliance (EU)
- Internet Advertising Bureau (EU)
Πληροφορίες αρχείου καταγραφής
Όπως συμβαίνει στους περισσότερους ιστότοπους, συλλέγουμε αυτόματα ορισμένες πληροφορίες που σχετίζονται με την πρόσβαση των χρηστών και τα αποθηκεύουμε σε αρχεία καταγραφής. Αυτές οι πληροφορίες περιλαμβάνουν τις διευθύνσεις πρωτοκόλλου διαδικτύου (IP), τον τύπο προγράμματος περιήγησης, τον πάροχο υπηρεσιών διαδικτύου (ISP), τις σελίδες περιήγησης και εξόδου, το λειτουργικό σύστημα της χρησιμοποιούμενης συσκευής, την ημερομηνία και ώρα και άλλα δεδομένα της περιήγησης. Χρησιμοποιούμε αυτές τις πληροφορίες, οι οποίες δεν ταυτοποιούν τους χρήστες, για να αναλύσουμε τις χρήσης χρήσεις, να διαχειριστούμε τον ιστότοπο, να παρακολουθήσουμε τις κινήσεις των χρηστών στον ιστότοπο και να συγκεντρώσουμε δημογραφικές πληροφορίες σχετικά με τη βάση χρηστών ως σύνολο.
Cookies τρίτων
Ενδέχεται να επιτρέψουμε σε τρίτους οργανισμούς να χρησιμοποιήσουν cookies για την παροχή υπηρεσιών.
-
Λεξιλόγιο και Χρήσιμοι Ορισμοί
#
Όρος
Ορισμός
Δεδομένα Προσωπικού Χαρακτήρα
Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο εν ζωή («υποκείμενο της επεξεργασίας των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
Διασυνοριακή Μεταβίβαση προσωπικών Δεδομένων
Μεταβίβαση Προσωπικών Δεδομένων ΔΠΧ εκτός Ευρωπαϊκής Ένωσης σε φυσική και / ή ηλεκτρονική μορφή.
Εκτελών την Επεξεργασία
Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ΔΠΧ για λογαριασμό του Υπευθύνου Επεξεργασίας.
Έννομο Συμφέρον
Τα έννομα συμφέροντα μας που διευκολύνουν και μας επιτρέπουν τη διεξαγωγή και λειτουργία της επιχείρησής μας με στόχο τη βελτιστοποίηση των υπηρεσιών και / ή προϊόντων μας και την με ασφάλεια και ιδιωτικότητα εμπειρία των συνεργαζομένων και συναλλασσομένων προσώπων με εμάς.
Επιλέγοντας την επεξεργασία δεδομένων προσωπικού χαρακτήρα ΔΠΧ υπό τη νόμιμη βάση του έννομου συμφέροντος, επιδιώκουμε να διασφαλίσουμε ότι εξετάζουμε και, αξιολογούμε και εξισορροπούμε κάθε δυνητικό αντίκτυπο σε σας (τόσο θετικά όσο και αρνητικά) και τα δικαιώματά σας προτού προχωρήσουμε στην εν λόγω επεξεργασία.
Σαν γενική αρχή, δεν χρησιμοποιούμε προσωπικά δεδομένα για δραστηριότητες όπου τα συμφέροντα μας αντίκεινται στα δικά σας (εκτός εάν λάβουμε τη συγκατάθεση σας ή εφόσον η συγκεκριμένη επεξεργασία επιβάλλεται ή επιτρέπεται από την νομοθεσία).
Υπεύθυνος Επεξεργασίας
Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα αφ’ εαυτού ή από κοινού με άλλα φυσικά ή νομικά πρόσωπα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας ΔΠΧ·
Υπεύθυνος Προστασίας Δεδομένων
Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ) είναι υπεύθυνος για την παρακολούθηση της συμμόρφωσης με τον Κανονισμό εντός του Οργανισμού. Ο ρόλος του είναι συμβουλευτικός. Τα κύρια καθήκοντα του είναι να ενημερώνει τον Υπεύθυνο Επεξεργασίας για τις υποχρεώσεις του, να παρέχει συμβουλές, εφόσον του ζητηθεί, σχετικά με το πότε και πώς θα πρέπει να διενεργηθεί εκτίμηση των επιπτώσεων της σχεδιαζόμενης πράξης ενέργειας και αποτελεί το σημείο επαφής μεταξύ του Οργανισμού και του Γραφείου της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
© Πνευματικά δικαιώματα (Copyright) Ραδιοφωνικό Ίδρυμα Κύπρου
Το πιο πάνω κείμενο προστατεύεται από δικαιώματα πνευματικής ιδιοκτησίας. Απαγορεύεται η μη εξουσιοδοτημένη χρήση όπως μερική ή συνολική αντιγραφή, διανομή ή παραποίηση του με οποιοδήποτε τρόπο.
English
-
Overview
On the 25th of May 2018, the new European data privacy law, known as the General Data Protection Regulation (“GDPR”), has come into force. GDPR defines a specific framework and set of rules for the protection of individuals within the European Economic Area (EEA) with regard to the processing of their personal data.
Any physical or legal person, be it an individual, a company or an organization that collects, stores, manipulates or otherwise processes personal data (hereafter collectively referred to as “processing”) is affected, and is required to adopt appropriate technical and organizational measures that make such processing compliant to the provisions of the GDPR. GDPR affects therefore any physical or legal person or body who performs processing irrespective if they are established within or outside the European Union, so long as such physical or legal persons perform processing of personal data for individuals who are in the European Union.
This Privacy Policy has been prepared by the Cyprus Broadcasting Corporation wirg Registration number E2218 (hereafter referred to as [(“CyBC”)], with the objective of assisting natural persons whose personal data is or may be processed by CyBC in its capacity as Data Controller or Data Processor all other interested parties, gain an understanding of the measures we have adopted and operate, as part of our open GDPR compliance program and practices. When we mention CyBC “we”, “us” or “our” in this Privacy Policy, we are referring to the Cyprus Broadcasting Corporation which is the organization responsible for processing your data.
-
CyBC as a Data Controller or Data Processor
In running our business, CyBC is typically a Data Controller and in a small number of cases a Data Processor under the GDPR, with possible access to, and processing of personal data of, physical persons in their various capacities (e.g. interviewee, performer, actor, collaborator). CyBC is committed to performing such processing in transparent and fair ways, based on processes which are private by design and using appropriate technical and organizational measures in support of security and privacy objectives. This commitment is applicable throughout the lifecycle of personal data processing, including during collection, transmission, use and storage.
CyBC also commits to taking all reasonable steps to ensure that personal data processing is based on a valid legal basis. When CyBC is the Data Processor, this commitment typically means that we rely on the Data Controller in each case, to establish a valid legal basis 1 for the processing we perform in that capacity. We also depend on the Data Controllers to notify us in a timely manner when any changes to the status of such bases occur. In certain other cases, the processing we perform is dictated by legislation or may be based on our legitimate interests, especially those which emanate from our professional obligations and responsibilities and / or other regulatory frameworks subject to which we perform our work.
-
What is the Basis on Which we Justify Processing of Your Personal Data
In accordance with Article 6 of the GDPR, personal data processing is lawful if at least one of the processing bases described below applies:
- the existence of evidenced consent of the data subject (i.e. the physical living person), whose personal data is processed
- processing is necessary in order to enter into a contract to which the data subject is a contractual party or to take action at the request of the data subject before or after a contract is entered into force
- processing is necessary to comply with a statutory obligation of the Data Controller or the Data Processor
- processing is necessary for the purposes of the legitimate interests pursued by the Data Controller or Data Processor as relevant, unless such interest overrides the interest or fundamental rights and freedoms of the data subject who require the protection of personal data, in particular if the subject of the data is a child
- processing is necessary to safeguard the vital interest of the data subject or other natural person
- processing is necessary for the performance of an obligation performed in the public interest or in the exercise of public authority assigned to the organization.
Based on the above, CyBC seeks to ensure that each type of personal data processing we perform is supported by one or more of the above legal bases. With very few exceptions, the legal bases applicable to our operational routines and the resulting personal data processing we conduct are those described in the first four bullets.
In addition, we may process personal data for journalistic purpose in which case we rely on and follow the provisions of GDPR Article 85, which stipulates that the related processing needs to be reconciled to and balanced against the individuals’ privacy protection required under the GDPR.
-
How Do we Collect Personal Data
As part of CyBC’s core processes (which include production, archiving transmission and distribution of audio-visual content; journalism and news discovery, dissemination and analysis) we may collect personal data from multiple sources, not necessarily directly from the individuals affected. In those cases, our staff is instructed to carefully balance the needs and rights for freedom of expression and access to information, against the need to protect the privacy of the persons affected.
In other cases, we receive the personal data directly from the affected individual (i.e. the “data subject”). Typically, such personal data is requested when we initiate our relationship, or in some cases at a later stage, after we commence interacting with each other. There are various means we may accept for receiving personal data including paper-based forms, electronic self-service functions (e.g. in a website), or through email or messaging communications or physical exchange of contact information (such as a business card). We may also collect personal data via automated means when data subjects interact with resources we provide (websites, email submission tools, mobile applications, access control systems, time and attendance applications, CCTV systems, etc.). We may also enhance the personal information we process about data subjects, as a result of the interactions and / or transactions between the individuals and CyBC.
Finally, we receive personal information for the data subjects from 3rd party sources. Key examples include references from previous employers during an employment application process and other lawful services of similar nature. If the data subject is a representative of one of our customers or suppliers, we may receive their personal information directly from their employer / principal, or from other colleagues of the data subjects.
-
Why we Process your Personal Data
We describe below the key ways we use personal information, and in Section H of this Privacy Policy, the legal bases on which we rely for such processing. We have also identified what our legitimate interests are where appropriate.
In general terms, we use the personal information we collect to identify, analyse, report and disseminate news and news worthy information to the general public. We also process personal data to help CyBC better understand you and to enable us to personalise your experience with CyBC and meet your needs in your interaction with CyBC. In this context, we may use your information to:
- create, distribute and make available content such as news, films, documentary reports and other material via various channels (TV, Radio, Web)
- deliver services, such as advertisements, sponsorships and placements of products in the most appropriate way possible
- execute necessary services to pensioners (ex-CyBC employees)
- provide customer services such as responding to queries and executing requests
- provide, develop and improve our services
- invite you to marketing, promotional and other events
- manage competitions, customer surveys and questionnaires
- check and verify your identity, and prevent, mitigate or detect fraudulent or illegal activities (where applicable)
Kindly be aware that your personal data may be processed based on more than one lawful purpose. If you need more information as to the specific legal basis on which we are relying to process your personal data, please send us your specific request to dataprotection@cybc.com.cy.
-
How Long we Keep your Personal Data
Personal data may be maintained by us in physical and / or electronic form and be processed in ways designed to respect the principles of purpose limitation; data minimization; data accuracy; integrity and confidentiality; and retention limitation.
Specifically, with regards to retention, the technical and organizational measures operated by CyBC are designed to result in personal data being kept only for as long as required to fulfil our statutory, professional and / or regulatory obligations.
At the end of the retention periods applicable in each case, defined operational processes or routines shall result in personal data being deleted or destroyed in controlled ways, in electronic and physical form, as appropriate. In some circumstances we may anonymise your personal information (so that it can no longer be associated with you) for research or statistical purposes in which case we may use this information indefinitely without further notice to you. CyBC also operates a Central Archive, that was created and operates in a way that collects, categorizes and stores all original content produced by CyBC (including external productions created for CyBC under contractual agreements with 3rd parties). The Central Archive processes and stores significant volumes of data (radio and TV content, photos, music records and even artefacts and other objects considered of historical value), which for the most part includes or reflects personally identifiable information.
The ensuing processing is based on the relevant legislation in force (The State Archives Law 208 / 91), and in practice means that such personal information is maintained indefinitely or until the Central Archive issues an instruction for deletion.
-
Sharing of Personal Data
Within CyBC, your personal information can be accessed by or may be disclosed internally on a need-to-know basis, based on user access rights management processes.
Your personal information may also be accessible and / or accessed by third parties, including suppliers and advisers, as those are outlined below. When this happens, we take specific measures and steps to protect such shared information, as described in more detail in section “SUB-DATA PROCESSORS” of this Privacy Policy. In summary, such measures and steps include requiring all such 3rd parties to respect the security of your personal information and to treat it in accordance with the law. We do not allow our 3rd party service providers to use your personal information for their own purposes and only permit them to process your personal information for specified purposes and in accordance with our instructions. The types of 3rd parties that may typically be involved in processing of your personal data include:
- Service providers acting as Data Processors based in the EEA who provide IT, system administration services, payment providers to facilitate purchases, production companies who undertake to deliver content for CyBC, etc.
- Professional advisers including lawyers, bankers, auditors and insurers based in the EEA who provide consultancy, banking, legal, insurance and accounting services.
- Tax and Customs authorities, regulators, law enforcement bodies and other authorities acting as processors, or joint or independent controllers based in the EEA who have the right to require reporting of processing activities in certain circumstances and otherwise in defence of legal claims.
- Market researchers, fraud prevention agencies and analytics providers.
- Specifically, with regards to HR data, these may be shared with Payroll, Pension or Provident Fund Providers; Accountants & Auditors; Recruitment Agencies; Call Centre Providers; and HCM Consultants.
In addition, there are circumstances where we may need to disclose your personal information to 3rd parties, to help manage our business and deliver our services. In this context, we may disclose your personal information:
- to 3rd parties to whom we may choose to sell, transfer, or merge parts of our organization or our assets. Alternatively, we may seek to acquire other businesses or merge with them. If such a change happens to our organization, then the new owners may use your personal information in the same way as set out in this Privacy Policy
- to 3rd parties when we are under a duty to disclose or share your personal information in order to comply with any legal or regulatory obligation, or in order to enforce or apply our legal rights, in which case we may share your personal information with our regulators and law enforcement agencies in the EEA, or to our legal advisers and
- when it is necessary in order to protect the rights, property, or safety of CyBC, in which case we may disclose your personal information to our legal advisers and other professional services firms.
We may also disclose your personal data to national authorities and government bodies if legislation allows or compels us to do so.
-
Categories of Personal Data Processed
As part of our operational business processes and routines and depending on the specific relationship and or commercial or other engagement in place, we may process personal data for one or more data subject categories, as those are tabulated below (not a definitive or exhaustive list).
#
Business Relationship
Type of Processed Personal Data
Legal Basis
Applicants
- CV information
- Contact details
- Previous employment records
- Referee
- Clear Police / Criminal Record
- Work permit information
- Skills & Professional and Academic Achievements (e.g. languages, academic degrees
- Medical information (for specific vacancies / jobs only)
Consent
Legitimate Interest (for application information voluntarily submitted by the applicant to us, unsolicited by CyBC)
Employees, Contractors & Workers
- “Master Data” [full name, ID, Social Security number, address, marital status, children, age, gender, personal emails]
- “Recruitment Data” [academic records, experience, previous employers, references]
- Evaluation & Performance Information [salary, appraisals, promotions, disciplinary data, complaints and resulting investigations, appeals against HR decisions]
- Occupational data [languages, special skills, driver license]
- Operational data [, locations of travel, training records, leave of absence, timesheets / arrival and departure times, passports and IDs in support of business travel arrangements]
- Financial data [payroll, payroll-related, life insurance details, family status, bank account details]
- Type of employment [full-time, part-time, hourly employees, public sector employees, limited-time employees, self-employed]
Contract
Former Employees, Contractors and Workers
For former employees, contractors or workers, the personal data types listed in (b) above are processed with the following differences:
- Financial data are kept for a period of 12 years after termination or resignation, for tax and regulatory purposes
- All other data are kept for a period of 3 years after resignation or termination for the purposes of archiving and / or providing references
Employment and Social Insurance Legislation
Employment / Work Contracts
Next of Kin and Dependents
- Full name, mobile phone details, relationship with employee, contractor or worker (next of kin)
- Full name, gender, age and birth date
Consent
Board members and Directors
Executive - as per employees; and regulatory data such as registration with any applicable regulatory authority, your regulated status and any regulatory references
Non-Executive – full name, mobile phone details, personal email, CV information, other full or part time employment / service positions, financial information such as bank accounts details, regulatory data such as registration with any applicable regulatory authority, your regulated status and any regulatory references
Legislation
Legitimate interest
Pensioners
As per “Former Employees, Contractors & Workers”. The following are additional personal data processed:
- For ill-health retirement, also health and medical records and information
- For divorcees, court order information (special categories).
Financial data are kept indefinitely to help execute Pension Fund Administration and pension payment processes, as well as for tax and regulatory purposes
Legislation
Contract
Legitimate Interest
Onsite Visitors & Guests
- Full name
- Employer
- Person(s) to visit
- Entry and exit time
- Signature
- Pass number used
- Camera / CCTV recordings
Legitimate Interest
Event Attendees
- Full name
- Employer
- Work position and title
- Work and Mobile Phone numbers
- email address (work and / or personal)
- Photos and images
Legitimate Interest
General Public
- Full name, email, phone numbers, employer, title (for cases where you initiate an electronic communication and / or correspondence with us)
- Photos and images of you from CCTV cameras we operate
Legitimate Interest
Library Users
- Full name
- Address
- Mobile phone number and
- Date of birth
Consent
Website Users
- Full name
- Gender
- email address (business or personal)
Consent
Contract (where this information is collected for the purpose of entering into a contract with the affected individual)
Scholarship Applicants
- Full name
- email address
- Mobile phone number
- Date of birth
- Academic and other achievements and information
- Family information and professional and academic references.
Consent
CyBC Archive Users (via online channels or physical presence)
- Full name
- Address
- Mobile phone number and
- Date of birth
Consent
-
Technical & Organisational Measures Protecting Personal Data
GDPR imposes obligations to Data Controllers and Data Processors which are in several cases dependent upon consistent implementation of relevant measures and controls across their own operations as well as those of their Data Processors. Our policy is to process personal data with due regard to the security, privacy and protection of the data we receive, store and process. This privacy policy explains the types of such technical and organizational measures that we employ so as to enhance the level of protection of personal data that we process. These measures are also designed to maximize the control over privacy in accordance to GDPR and have the objective of providing a level of security that is appropriate to the related risks.
- As part of our overall data protection framework, CyBC has appointed a Data Protection Officer (DPO), in accordance with the requirements of GDPR. Our DPO can be contacted at dataprotection@cybc.com.cy.
- All our personnel periodically observe GDPR-specific awareness sessions so as to maintain the currency of their understanding of GDPR and how it may impact our various operations that affect personal data we process.
- We support the implementation of 3rd party entities’ (such as our customers, suppliers) lawfully issued instructions to us, in relation to data subjects for whom such 3rd party entities are Data Controllers, exercising their rights under GDPR, so long as such instructions do not come in conflict with our own legal, professional or regulatory obligations. In such cases, we shall seek to notify the 3rd party entity of the options available to them.
- We seek to ensure that 3rd parties who support CyBC operations or systems or who are otherwise involved in our personal data processing operations (including other affected persons), have and operate necessary technical and organizational measures for protecting the security and privacy of personal data.
- Our Incident Response Management and Breach Notification procedures are designed to include escalation of identified incidents to our Data Protection Officer, who is authorized and trained to involve other CyBC executives when such incidents involve personal data of CyBC-affected persons.
- Where data transfers to 3rd countries are necessary, we shall seek to ensure that a valid lawful basis for such transfers evidently exists, as well as the necessary safeguards for such 3rd country data transfers in accordance with GDPR.
- Our recruitment and ongoing personnel training and development, as well as the evaluation and disciplinary processes we operate, are designed to promote and maintain a high standard of professional ethics and competency at all levels of CyBC, which is in line with industry standards and our professional and legal responsibilities.
- In addition, CyBC operates several complementary technical and organizational measures, designed to protect the privacy of personal information that we collect, store and process. Such measures include logical access controls and user rights management with the objective of minimizing access to personal (and other CyBC) information and data, only to authorized CyBC personnel. We also utilize user access credentials management with enforced frequent changes, password complexity and maximum / minimum lengths, restrictions on reuse of same passwords, etc., complemented by a structured process for periodic review and confirmation of continued business need to such personal data.
- Furthermore, CyBC uses purpose-specific technologies and tools (such as firewalls, intrusion prevention, mail security gateways, etc.), all designed to monitor and manage the security of its electronic perimeter. CyBC also has in place an active and ongoing patch management program across security, server and endpoint devices for addressing newly released threats, and benefits from the use of endpoint malware protection at laptop, servers and desktop level.
- A significant part of our operations involves 3rd parties (legal or physical persons) who are involved and / or provide support in many aspects including invariably in personal data processing. The related technical and organizational measures which we apply and operate with the objective of enhancing and maintaining privacy are described in the next section.
-
Data Processors to CyBC
Like almost all organizations, CyBC utilizes 3rd parties as part of its operations and routines. Such 3rd parties include legal and / or physical persons who provide services and / or products relating to film and content production, technology, marketing, facilities management, legal and other areas which may have an impact on personal data processing (including processing as specified in this Privacy Policy).
When necessary in the context of such personal data processing, our selection process and criteria for cooperation with 3rd parties (suppliers, vendors or other advisors), incorporates consideration and evaluation of those 3rd parties’ level of GDPR readiness and compliance. In this respect, we seek to ensure that 3rd parties who support CyBC operations or systems or who are otherwise involved in our personal data processing operations, have and operate necessary technical and organizational measures for protecting the security and privacy of personal data. Whenever relevant therefore, our contracts with 3rd parties include specific provisions designed to
- identify the respective role of the 3rd party as a Data Processor or Sub-processor to CyBC
-
define the 3rd party’s GDPR-related obligations towards CyBC, including:
- enforcement of CyBC’s Data Retention Periods
- integration of the 3rd party’s Incident Response Management Process into that of CyBC stipulating allowable access and connectivity methods for remote support (where relevant and necessary)
- definition of the processes via which CyBC shall issue relevant instructions to the 3rd party in relation to the expected and required processing of personal information (where applicable), under each respective agreement
- prohibition for conducting cross border data transfers by the 3rd party, except with the express, prior written permission of CyBC (which itself is subject to, must be in line with and in compliance to, CyBC’s contractual and other obligations to affected data subjects).
- conferring to CyBC the right to conduct periodic audits (including surprise audits) against the execution of GDPR related processes which the 3rd party supports and / or operates on CyBC’s behalf. In this context, CyBC also seeks to implement review processes with the 3rd party sub-processor so as to jointly monitor on a periodic basis the effectiveness of execution of privacy processes and routines, in order for such processes to become and continue to be “Private by Design”, as relevant.
-
Your Rights
Individuals whose data are processed, have defined rights under the GDPR. Specifically, GDPR requires Data Controllers and Data Processors to implement the necessary processes and mechanisms in support of data subjects’ exercising the following rights, the exact definitions of which have the meanings assigned to them by the GDPR:
- Right to information as to the personal data processing being performed and the rationale of such processing
- Right to access to the personal data being processed for his / her person
- Right to rectification allowing individuals to request the correction or amendment of their data
- Right to object to a specific type of processing, under specific circumstances
- Right to object to automated processing or profiling in cases where automated processing results in decisions that in the opinion of the affected data subject, do not adequately reflect the unique characteristics of the case involved
- Right to withdraw consent allowing a data subject to give notice and withdraw a previously given consent for a specific type of processing
- Right to data portability allowing the transfer of personal data processed by a Data Controller to the data subject or directly to another Data Controller in electronic, machine readable format
- Right of Erasure (“right to be forgotten”) entitling a data subject – under certain circumstances - to request the deletion of their personal data. It is important to note that this is not an absolute right, which may be affected by the specific circumstances of each case. For example, requests for deletion of personal data in CyBC’s Archive cannot as a general rule be deleted.
You will not have to pay a fee to exercise any of the rights as listed above. However, we may charge a reasonable fee if your request is clearly unfounded, repetitive or excessive. In extreme cases, we may even refuse to comply with your request in such circumstances.
If you would like to exercise any of the above rights, please send your request at dataprotection@cybc.com.cy, or by using the form provided at the respective websites operated by CyBC.
-
Queries & Complaints
CyBC is committed to acknowledge, consider and respond to all queries and complaints that it receives from any natural person who believes is affected by CyBC’s processing of his / her data. To communicate such queries or complaints please contact us on dataprotection@cybc.com.cy, and we shall seek to respond to the substance of your query as soon as practical, within a 30-day window as stipulated by GDPR.
If despite our responses and actions to address your concerns, you are not satisfied, you have the right to address the matter to the Cyprus Data Protection Commissioner whose offices are at Iasonos street 1, 2nd Floor, Nicosia 1082. The Commissioner’s office can be reached on +357 22818456 and their email address is commissioner@dataprotection.gov.cy.
-
Other Important Information
This Privacy Policy does not alter in any way other than explicitly defined herein, the obligations and responsibilities of CyBC or its customers, employees, vendors or partners, all of which are governed by the respective contracts (where applicable) and related arrangements between CyBC and each of those customers, employees, vendors or partners.
-
Use of Cookies on Our Websites
CyBC uses cookies on our websites. This is done to facilitate easier navigation throughout the website and increase visitor convenience. Your internet browser is likely to accept these cookies by default; however, you can refer to your browser’s help guide if you would like to reject or even delete them from your system.
According to www.allaboutcookies.org, Cookies are small, often encrypted text files, located in browser directories. They are used by web developers to help users navigate websites efficiently and perform certain functions. Due to their core role of enhancing / enabling usability or site processes, disabling cookies may prevent users from using certain websites or specific areas or functionality of such websites.
Cookies are created when a user's browser loads a particular website. The website sends information to the browser which then creates a text file. Every time the user goes back to the same website, the browser retrieves and sends this file to the website's server. Cookies are created not just by the website the user is browsing but potentially also by other websites that run ads, widgets, or other elements on the page being loaded. These cookies regulate how the ads appear or how the widgets and other elements function on the page.
We may use both “session” cookies and “persistent” cookies on the website. We will use the session cookies to: keep track of you whilst you navigate the website. We will use the persistent cookies to: enable our website to recognise you when you visit. To learn more about advertisers’ use of cookies the following links may be helpful:
- European Interactive Digital Advertising Alliance (EU)
- Internet Advertising Bureau (EU)
Log File Information
As is true of most web sites, we and / or our 3rd party tracking-utility partners gather certain information automatically and store it in log files. This information includes internet protocol (IP) addresses, browser type, internet service provider (ISP), referring / exit pages, operating system of the device used, date / time stamp, and clickstream data.
We use this information, which does not identify individual users, to analyse trends, to administer the Website, to track users’ movements around the Website and to gather demographic information about our user base as a whole
Cookies τρίτων
We may allow third party organizations to set cookies using this website in order to deliver services.
-
Glossary & Useful Definitions
#
Term
Definition
Transfers to 3rd Countries
Transfers of personal data outside the European Economic Area in physical and / or electronic form
Data Controller
The natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data.
Data Processor
A natural or legal person, public authority, agency or any other body which processes personal data on behalf of a Data Controller.
Data Protection Officer
A Data Protection Officer (or “DPO”) is a security leadership role required by the GDPR. The DPO is responsible for (a) overseeing data protection strategy and implementation within an organization; (b) ensuring compliance with GDPR requirements; (c) the provision of advice to the Data Controller or the Data Processor and their staff in relation to personal data processing; and (d) to cooperate with Data Protection Authorities and supervisory bodies in all privacy and data protection matters.
Legitimate Interest
Our lawful interests in conducting and managing our business to enable us to give you the best services and / or products and secure and private by design experience. In choosing to perform personal data processing under the legal basis of legitimate interest, we seek to ensure that we consider and balance any potential impact on you (both positive and negative) and your rights before doing so.
As a general principle, we do not use your personal information for activities where our interests are overridden by the impact on you (unless we have your consent or are otherwise required or permitted to by law).
Personal Data
Also referred to as “personally identifiable information (or “PII”), personal data is any information relating to an identified or identifiable living natural person (the “data subject”)
© Copyright 2020 Cyprus Broadcasting Corporation
This document is protected by copyright laws. Use of this document in any way is strictly prohibited.