hotel operation -hotel managment
hotel operation -hotel managment
Γίνετε συνεργάτης μας
hotel operation -hotel managment
Γίνετε συνεργάτης μας
 
Πεδίο Εφαρμογής
Η Hotel Operation (η «Εταιρεία») αποδίδει ιδιαίτερη σημασία στην προστασία των προσωπικών δεδομένων και δεσμεύεται για την νόμιμη, ασφαλή και διαφανή συλλογή, επεξεργασία και αποθήκευσή τους . Η παρούσα πολιτική καθορίζει τις αρχές, τους κανόνες και τις διαδικασίες που εφαρμόζει η Εταιρεία για την προστασία των δεδομένων προσωπικού χαρακτήρα των προσώπων που συναλλάσσονται ή συνεργάζονται μαζί της στα πλαίσια της δραστηριοποίησής της στην παροχή υπηρεσιών διαχείρισης κρατήσεων προς τουριστικά καταλύματα, και ισχύει (α) για όλους τους υπαλλήλους, εργαζομένους και στελέχη διοίκησης της Εταιρείας, καθώς και (β) για όλους τους συμβούλους, συνεργάτες, εργολάβους, προσωρινούς ή έκτακτους εργαζομένους, καθώς και κάθε τρίτο πάροχο υπηρεσιών που συνεργάζεται με την Εταιρεία, εφόσον η σχετική σύμβαση προβλέπει συμμόρφωση αυτών με τις πολιτικές και διαδικασίες της Εταιρείας.
Η Εταιρεία διατηρεί το δικαίωμα να αναθεωρεί ή να τροποποιεί την παρούσα πολιτική οποτεδήποτε, στο πλαίσιο των επιχειρησιακών της αναγκών ή κανονιστικών υποχρεώσεων, χωρίς προηγούμενη ειδοποίηση.
Σκοπός της Πολιτικής
Προς συμμόρφωση της Εταιρείας με τον Κανονισμό (ΕΕ) 2016/679, τον ν.4624/2019, και τον ν.3471/2006, καθώς και με κάθε άλλη ισχύουσα ενωσιακή και εθνική νομοθεσία για την προστασία προσωπικών δεδομένων, όπως και με τις γνωμοδοτήσεις, οδηγίες, κατευθυντήριες γραμμές, συστάσεις και αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στόχος της παρούσας πολιτικής είναι να θέσει ένα σαφές και ολοκληρωμένο πλαίσιο οδηγιών για το σύνολο των εργαζομένων, μελών διοίκησης και συνεργατών της Εταιρείας αναφορικά με τη νόμιμη, ασφαλή και διαφανή διαχείριση των προσωπικών δεδομένων που συλλέγει, επεξεργάζεται και αποθηκεύει στο πλαίσιο της δραστηριότητάς της.
Ορισμοί
«Δεδομένα Προσωπικού Χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
«Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
«Περιορισμός της Επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,
«Υποκείμενο των Δεδομένων»: το φυσικό πρόσωπο του οποίου τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας,
«Υπεύθυνος Επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
«Εκτελών την Επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
«Από κοινού υπεύθυνος επεξεργασίας»: σημαίνει το φυσικό ή νομικό πρόσωπο που, μαζί με τον υπεύθυνο επεξεργασίας, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
«Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,
«Συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
«Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
«Δεδομένα Ειδικών Κατηγοριών»: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
Κατηγορίες Προσωπικών Δεδομένων
Τα προσωπικά δεδομένα που συλλέγει και επεξεργάζεται η Εταιρεία, παρέχονται είτε απευθείας από τα υποκείμενα των δεδομένων, ήτοι τους επισκέπτες των καταλυμάτων και τους ξενοδόχους των καταλυμάτων κατά περίπτωση, είτε από άμεσους συνεργάτες της Εταιρείας.
(Α) Αναφορικά με τα προσωπικά δεδομένα των υποκειμένων των δεδομένων – επισκεπτών, η Εταιρεία τα επεξεργάζεται
  • στα πλαίσια της κράτησης δωματίων από τους επισκέπτες στα καταλύματα των ξενοδόχων,
  • στα πλαίσια της επικοινωνίας των επισκεπτών με την Εταιρεία μέσω των λογαριασμών κοινωνικής δικτύωσης.
Λόγω της φύσης των δραστηριοτήτων της Εταιρείας, τα Προσωπικά Δεδομένα που συλλέγει (ή λαμβάνει γνώση αυτών) αφορούν κυρίως τις εξής κατηγορίες δεδομένων:
  • Κατά την τηλεφωνική ή ψηφιακή κράτηση στο εκάστοτε κατάλυμα: όνομα, επώνυμο, πατρώνυμο, μητρώνυμο, αριθμός τηλεφώνου, διεύθυνση email, διεύθυνση κατοικίας, υπηκοότητα, στοιχεία ταυτότητας ή διαβατηρίου, φύλο, ημερομηνία γέννησης, στοιχεία πιστωτικής ή χρεωστικής τραπεζικής κάρτας ή IBAN, στοιχεία τιμολόγησης ή έκδοσης απόδειξης, αποδεικτικό πληρωμής, ημερομηνία check-in, ημερομηνία check-out, χρόνος διαμονής, δωμάτιο διαμονής.
  • • Κατά την διαχείριση των λογαριασμών κοινωνικής δικτύωσης των εκάστοτε καταλυμάτων από την Εταιρεία:  όνομα, επώνυμο, username, email, τηλέφωνο επικοινωνίας, φωτογραφίες, posts, stories.
(Β) Αναφορικά με τα προσωπικά δεδομένα των υποκειμένων των δεδομένων – ξενοδόχων, η Εταιρεία τα επεξεργάζεται
  • στα πλαίσια της έναρξης συνεργασίας με τον ξενοδόχο, κατά την οποία υπογράφεται η σύμβαση συνεργασίας, πραγματοποιείται η διαδικασία «on-boarding» του ξενοδόχου και δημιουργείται από την Εταιρεία το τηλεφωνικό του κέντρο,
  • στα πλαίσια της τιμολόγησης των υπηρεσιών που παρέχονται από την Εταιρεία στον ξενοδόχο,
Λόγω της φύσης των δραστηριοτήτων της Εταιρείας, τα Προσωπικά Δεδομένα που συλλέγει (ή λαμβάνει γνώση αυτών) αφορούν κυρίως τις εξής κατηγορίες δεδομένων:
  • Κατά την έναρξη της συνεργασίας με τον ξενοδόχο: όνομα, επώνυμο, email, αριθμό τηλεφώνου, επάγγελμα, θέση, φορολογικά στοιχεία, τραπεζικά στοιχεία (εφόσον αφορούν φυσικό πρόσωπο),
  • Κατά την τιμολόγηση του ξενοδόχου: όνομα, επώνυμο, email, αριθμός τηλεφώνου, επάγγελμα, θέση, φορολογικά στοιχεία, τραπεζικά στοιχεία (εφόσον αφορούν φυσικά πρόσωπα).
Σκοποί και Νόμιμες βάσεις της επεξεργασίας
(Α) Οι εργαζόμενοι της Εταιρείας, τα στελέχη τη διοίκησή της, οι συνεργάτες της και όσοι ενεργούν σύμφωνα με τις οδηγίες της, εκ μέρους της ή/και οι υπεύθυνοι επεξεργασίας των δεδομένων, επεξεργάζονται τα δεδομένα των υποκειμένων των δεδομένων – επισκεπτών αποκλειστικά για τους ακόλουθους σκοπούς:
Για την πραγματοποίηση της κράτησης στα καταλύματα των Ξενοδόχων και κατ’ επέκταση την διαμονή των υποκειμένων των δεδομένων στο εκάστοτε ξενοδοχείο, η συλλογή και επεξεργασία προσωπικών δεδομένων των παραπάνω υποκειμένων, βασίζεται:
  • Στο άρθρο 6 παρ. 1(α), κατά το οποίο το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για την πραγματοποίηση της κράτησης σε κατάλυμα και κατ’ επέκταση της διαμονής του σε αυτό.
  • Στο άρθρο 6 παρ. 1(β), κατά το οποίο η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβαση, της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από την σύναψη σύμβασης (i) μεταξύ της Εταιρείας και του Ξενοδόχου βάσει της σύμβασης συνεργασίας και (ii) μεταξύ της Εταιρείας και του Υποκειμένου των Δεδομένων στα πλαίσια της σύμβασης με τον Ξενοδόχο.
Για την επικοινωνία με τους πελάτες των Ξενοδόχων μέσω του αυτοματοποιημένου email, που παρέχει στον υποψήφιο επισκέπτη του τουριστικού καταλύματος  τα στοιχεία επικοινωνίας αυτού (τηλέφωνο, email), την ιστοσελίδα του καταλύματος για απευθείας κράτηση και την ψηφιακή παρουσία των καταλυμάτων μέσω της επιλογής “repost”, η συλλογή και επεξεργασία προσωπικών δεδομένων των παραπάνω υποκειμένων βασίζεται:
  • στο άρθρο 6 παρ. 1(α), κατά το οποίο το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς.
(Β) Οι εργαζόμενοι της Εταιρείας και όσοι ενεργούν σύμφωνα με τις οδηγίες της, εκ μέρους της ή/και οι υπεύθυνοι επεξεργασίας των δεδομένων, επεξεργάζονται τα δεδομένα των υποκειμένων των δεδομένων – ξενοδόχων αποκλειστικά για τους ακόλουθους σκοπούς:
Στα πλαίσια της έναρξης συνεργασίας με τον ξενοδόχο, κατά την οποία υπογράφεται η σύμβαση συνεργασίας, πραγματοποιείται η διαδικασία «on-boarding» του ξενοδόχου και δημιουργείται από τους εργαζομένους της Εταιρείας το τηλεφωνικό του κέντρο, η συλλογή και επεξεργασία προσωπικών δεδομένων των παραπάνω υποκειμένων, βασίζεται:
  • Στο άρθρο 6 παρ. 1(β), κατά το οποίο η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβαση, της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από την σύναψη σύμβασης.
Στα πλαίσια της τιμολόγησης των υπηρεσιών που παρέχονται από την Εταιρεία στον ξενοδόχο, η συλλογή και επεξεργασία προσωπικών δεδομένων των παραπάνω υποκειμένων, βασίζεται:
  • Στο άρθρο 6 παρ. 1(β): Η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβαση της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από την σύναψη σύμβασης.
Κατάρτιση Προφίλ 
Η Εταιρεία δεν χρησιμοποιεί τα προσωπικά δεδομένα των πελατών της για την κατάρτιση προφίλ.
Αποδέκτες
Πρόσβαση στα προσωπικά δεδομένα των υποκειμένων των δεδομένων έχουν μόνο οι εργαζόμενοι ή τα στελέχη της Εταιρείας που είναι απολύτως απαραίτητο και έχουν λάβει τις απαιτούμενες πληροφορίες σχετικά με την ασφαλή επεξεργασία των προσωπικών δεδομένων των υποκειμένων των δεδομένων, ήτοι επισκεπτών και ξενοδόχων.
Επιπλέον, πρόσβαση στα προσωπικά δεδομένα των ως άνω υποκειμένων των δεδομένων μπορεί να δοθεί στις εταιρείες και τα φυσικά πρόσωπα με τα οποία συνεργάζεται η Εταιρεία (π.χ. την εταιρεία πληροφορικής που υποστηρίζει τον ιστότοπό της και την εταιρεία marketing), και μόνο εφόσον η επεξεργασία των δεδομένων τους έχει ανατεθεί από την Εταιρεία. Η επεξεργασία των προσωπικών δεδομένων από τους εκτελούντες την επεξεργασία πραγματοποιείται σύμφωνα με τις ρητές εντολές της Εταιρείας και μόνον αφού διασφαλιστεί ότι έχουν ληφθεί όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα. Αναφορικά, με την επεξεργασία των προσωπικών δεδομένων του ξενοδόχου, δεν υπάρχει από κοινού Υπεύθυνος Επεξεργασίας και για την επεξεργασία αποκλειστικά Υπεύθυνη είναι η Εταιρεία.
Χρόνος τήρησης προσωπικών δεδομένων
Η Εταιρεία διατηρεί τα προσωπικά δεδομένα των υποκειμένων των δεδομένων για όσο διάστημα απαιτείται βάσει του σκοπού για τον οποίον έχουν συλλεγεί. Ο χρόνος τήρησης αυτών και οι διαδικασίες που ακολουθούνται για την παύση πρόσβασης σε αυτά, την διαγραφή ή την καταστροφή τους, ορίζονται στην Πολιτική Διατήρησης και Διαγραφής Δεδομένων της Εταιρείας.
Διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες
Τα προσωπικά δεδομένα των υποκειμένων των δεδομένων αποθηκεύονται και υποβάλλονται σε επεξεργασία μόνο εντός της Ευρωπαϊκής Ένωσης, και δεν διαβιβάζει προσωπικά δεδομένα σε τρίτες χώρες εκτός αυτής.
Δικαιώματα Υποκειμένων Δεδομένων
Δικαίωμα πρόσβασης των υποκειμένων των δεδομένων στα προσωπικά δεδομένα: Δικαίωμα να ενημερώνονται από την Εταιρεία σχετικά με το αν επεξεργάζεται τα δεδομένα τους. Εάν επεξεργάζεται τα δεδομένα τους, μπορούν να ζητήσουν να ενημερωθούν σχετικά με τον σκοπό της επεξεργασίας, τον τύπο των πληροφοριών που διατηρούμε, τους αποδέκτες, τις περιόδους διατήρησης, εάν η εταιρεία λαμβάνει αυτοματοποιημένες αποφάσεις, καθώς και σχετικά με τα άλλα δικαιώματά τους, όπως διόρθωση, διαγραφή, περιορισμός της επεξεργασίας και υποβολή καταγγελίας στην Ελληνική Αρχή Προστασίας Δεδομένων.
Δικαίωμα διόρθωσης των ανακριβών προσωπικών δεδομένων: Δικαίωμα να ζητήσουν από την Εταιρεία, χωρίς αδικαιολόγητη καθυστέρηση, τη διόρθωση των ανακριβών προσωπικών τους δεδομένων (διόρθωση λανθασμένου ή προηγούμενου αριθμού τηλεφώνου/διεύθυνσης κ.λπ.). Λαμβάνοντας υπόψη τους σκοπούς της επεξεργασίας, έχουν το δικαίωμα να συμπληρώσουν τα ελλιπή προσωπικά δεδομένα, μεταξύ άλλων με τη συμπλήρωση μιας συμπληρωματικής δήλωσης.
Δικαίωμα των υποκειμένων των δεδομένων για διαγραφή των πληροφοριών τους / το δικαίωμα στη λήθη: Δικαίωμα διαγραφής των προσωπικών τους δεδομένων εάν δεν είναι απαραίτητα για τους προαναφερθέντες σκοπούς ή εάν επιθυμούν να ανακαλέσουν τη συγκατάθεσή τους σε περίπτωση που αυτή είναι η μόνη νόμιμη βάση για την επεξεργασία, και εφόσον αρμόδια για την διαγραφή αυτών είναι η Hotel Operation σύμφωνα με την Πολιτική Διατήρησης και Διαγραφής Δεδομένων της
Δικαίωμα στη φορητότητα των δεδομένων: Τα υποκείμενα των δεδομένων μπορούν να λάβουν από την Εταιρεία σε αναγνώσιμη μορφή τα προσωπικά δεδομένα που έχουν παράσχει ή να ζητήσουν να μεταφέρει η Εταιρεία τις πληροφορίες τους σε άλλο υπεύθυνο επεξεργασίας δεδομένων.
Δικαίωμα περιορισμού της επεξεργασίας των προσωπικών δεδομένων των υποκειμένων: Τα υποκείμενα των δεδομένων μπορούν να ζητήσουν να περιορίσει η Εταιρεία την επεξεργασία των προσωπικών τους δεδομένων για όσο διάστημα εκκρεμεί η εξέταση των αντιρρήσεών τους.
Δικαίωμα να αντιταχθούν τα υποκείμενα των δεδομένων στην επεξεργασία των προσωπικών τους δεδομένων: Τα υποκείμενα των δεδομένων μπορούν να αντιταχθούν στην επεξεργασία των προσωπικών τους δεδομένων ή να ανακαλέσουν τη συγκατάθεσή τους και θα σταματήσει η Εταιρεία την επεξεργασία, εάν δεν υπάρχουν άλλοι επιτακτικοί και νόμιμοι λόγοι που υπερισχύουν του δικαιώματός τους.
Δικαίωμα υποβολής καταγγελίας στην Ελληνική Αρχή Προστασίας Δεδομένων: Τα υποκείμενα των δεδομένων μπορούν να αναφέρουν πιθανές παραβιάσεις της νομοθεσίας περί προστασίας δεδομένων απευθείας στην Ελληνική Αρχή Προστασίας Δεδομένων μέσω της διεύθυνσής της: Κηφισίας 1–3, 115 23 Αθήνα ή τηλεφώνου: +30 210 6475600 ή email: contact@dpa.gr. Το δικαίωμα αυτό ασκείται ανεξάρτητα από την Εταιρεία και δεν απαιτεί προηγούμενη αίτηση ή επικοινωνία με την Εταιρεία.
Τρόπος άσκησης δικαιώματος των υποκειμένων των δεδομένων
Εάν τα υποκείμενα των δεδομένων επιθυμούν να λάβουν περισσότερες πληροφορίες ή να ασκήσουν τα δικαιώματά τους σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, μπορούν να επικοινωνήσουν με την υπεύθυνη προστασίας δεδομένων/συντονίστρια προστασίας δεδομένων της Εταιρείας, Αντωνία Ράπτη, στη διεύθυνση Τσιμισκή 6, Θεσσαλονίκη, Τ.Κ. 54624 ή μέσω email στη διεύθυνση a.rapti@nexuslaw.gr, η οποία έχει οριστεί από την Εταιρεία ως Υπεύθυνη Προστασίας Δεδομένων και είναι αρμόδια για τα παραπάνω θέματα, με γνωστοποίηση της περιγραφής του αιτήματός τους και θα εξεταστεί και απαντηθεί το συντομότερο δυνατό.
Σε περίπτωση που, εκ παραδρομής της οριζόμενης από την Εταιρεία διαδικασίας, κάποιο αίτημα απευθυνθεί απευθείας σε εργαζόμενο ή μέλος της Διοίκησης, το άτομο που λαμβάνει το αίτημα, οφείλει να το προωθήσει άμεσα στην ως άνω Υπεύθυνη Προστασίας Δεδομένων.
Το αίτημα θα απαντηθεί χωρίς καθυστέρηση, εντός (1) ενός μήνα από την παραλαβή του. Η παραπάνω προθεσμία μπορεί να παραταθεί για δύο (2) ακόμη μήνες, λόγω της πολυπλοκότητας ή του αριθμού των αιτημάτων.
Σε τέτοια περίπτωση, θα ενημερωθούν τα υποκείμενα των δεδομένων για την παράταση της προθεσμίας και τους λόγους αυτής το συντομότερο δυνατόν και, σε κάθε περίπτωση, εντός (1) ενός μήνα από την παραλαβή του αιτήματός τους.
Εάν τα αιτήματά είναι προφανώς αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η Εταιρεία μπορεί να επιβάλει ένα λογικό τέλος, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή πληροφοριών ή την εκτέλεση της ζητούμενης ενέργειας, ή να αρνηθεί να απαντήσει στο αίτημα, αιτιολογώντας την απάντησή της προς τα υποκείμενα των δεδομένων.
Σε περίπτωση που τα υποκείμενα των δεδομένων πιστεύουν ότι: (α) το αίτημά τους δεν έχει ικανοποιηθεί επαρκώς και νόμιμα ή (β) το δικαίωμά τους στην προστασία των προσωπικών τους δεδομένων έχει παραβιαστεί από την επεξεργασία της Εταιρείας, έχουν το δικαίωμα υποβολής καταγγελίας στην εποπτική αρχή (διεύθυνση: Κηφισίας 1-3, Αθήνα, Ελλάδα, Ταχυδρομικός Κώδικας: 115 23, αριθμός τηλεφώνου: +30210 6475600 , διεύθυνση ηλεκτρονικού ταχυδρομείου: contact@dpa.gr).
Παραβίαση προσωπικών δεδομένων υποκειμένων
Σε περίπτωση παραβίασης των προσωπικών δεδομένων των υποκειμένων, ακολουθείται η διαδικασία, η οποία αναφέρεται στην Πολιτική Διαχείρισης Παραβίασης Δεδομένων της Εταιρείας.
Επεξεργασία Δεδομένων Ανηλίκων
Η Εταιρεία δεν συλλέγει εν γνώσει της προσωπικά δεδομένα από ανηλίκους κάτω των 15 ετών. Εάν διαπιστώσει ότι έχουν συλλεχθεί προσωπικά δεδομένα ανηλίκων κάτω των 15 ετών χωρίς την απαραίτητη συγκατάθεση των γονέων, διαγράφει τα δεδομένα αυτά χωρίς αδικαιολόγητη καθυστέρηση.
Αρχές Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα
Η Εταιρεία δεσμεύεται να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα με σεβασμό στις βασικές αρχές που θεσπίζει ο Γενικός Κανονισμός για την Προστασία Δεδομένων της ΕΕ για την προστασία των προσωπικών δεδομένων: νομιμότητα, δικαιοσύνη, διαφάνεια, περιορισμός του σκοπού, ελαχιστοποίηση των δεδομένων, ακρίβεια των δεδομένων, περιορισμός του χρόνου αποθήκευσης, ακεραιότητα, εμπιστευτικότητα και λογοδοσία.
Ασφάλεια Δεδομένων Προσωπικού Χαρακτήρα
Η Εταιρεία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας των προσωπικών δεδομένων που επεξεργάζεται έναντι τυχόν κινδύνων και προκειμένου για την πρόληψη και αντιμετώπιση περιστατικών παραβίασης.
Εκπαίδευση
Όλοι οι εργαζόμενοι και συνεργάτες της Εταιρείας εκπαιδεύονται τακτικά για τις απαιτήσεις προστασίας δεδομένων, την ασφάλεια πληροφοριών και τα δικαιώματα των υποκειμένων δεδομένων, κατά την έναρξη της συνεργασίας τους με την Εταιρείας, και στη συνέχεια βάση του ετήσιου προγράμματος εκπαίδευσης της Εταιρείας.
 
Σκοπός της Πολιτικής
Η Hotel Operation (η «Εταιρεία»), στα πλαίσια της δραστηριοποίησής της στην παροχή υπηρεσιών διαχείρισης κρατήσεων προς τουριστικά καταλύματα και της σχετικής επεξεργασίας δεδομένων που πραγματοποιεί, εισάγει την παρούσα πολιτική με σκοπό την πρόβλεψη διαδικασιών για την αναφορά περιστατικών παραβίασης δεδομένων και για την αντίδραση της Εταιρείας σε οποιοδήποτε αναφερόμενο τέτοιο περιστατικό, καθώς και την διασφάλιση της ορθής καταγραφής και διαχείρισης των εν λόγω περιστατικών.
Ορισμός Παραβίασης Δεδομένων
Ως «Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα» μπορεί να οριστεί οποιοδήποτε περιστατικό παραβίασης της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
Αναφορά Παραβιάσεων
Οποιοδήποτε μέλος του προσωπικού εντοπίσει πιθανή παραβίαση δεδομένων πρέπει να την αναφέρει άμεσα στον [] (ο «Υπεύθυνος Αντιμετώπισης Παραβίασης») με την υποβολή σχετικής αναφορά, είτε εντύπως είτε ψηφιακά, κάνοντας χρήση του εντύπου αναφοράς μη συμμόρφωσης (Ε-08) της Εταιρείας. Σε περίπτωση έντυπης αναφοράς, υποβάλλεται αυτοπροσώπως στον ίδιο, ενώ σε περίπτωση ψηφιακής στην διεύθυνση email του [].
Η Εταιρεία προβλέπει δυνατότητα αναφοράς περιστατικού παραβίασης και σε κάθε υποκείμενο δεδομένων ή τρίτο που έχει έννομο συμφέρον, είτε εντύπως με αποστολή στην διεύθυνση της Εταιρείας [] είτε ηλεκτρονικά μέσω της ιστοσελίδας της στο link [], τα οποία διαβιβάζονται αμέσως στον ίδιο ως άνω Υπεύθυνος Αντιμετώπισης Παραβίασης.
Βήματα Αντίδρασης σε Παραβίαση Δεδομένων
1. Μόλις γίνει αντιληπτή μια παραβίαση ή υποψία παραβίασης δεδομένων, σημειώνονται άμεσα η ημερομηνία, ώρα και περιγραφή του  περιστατικού, τα συστήματα/αρχεία ήταν σε χρήση και ποια προσωπικά δεδομένα επηρεάστηκαν.
2. Όχι ενημέρωση προς τρίτους, εκτός της Εταιρείας, μέχρι να υπάρξει σχετική οδηγία από τον υπεύθυνο.
3. Άμεση αναφορά του περιστατικού παραβίασης στον Υπεύθυνο Αντιμετώπισης Παραβίασης.
4. Αποσύνδεση επηρεαζόμενων συστημάτων από το διαδίκτυο για να περιοριστεί η διάδοση.
5. Απομόνωση ή κλείδωμα λογαριασμών χρηστών που σχετίζονται με την παραβίαση.
6. Εφαρμογή πρωτοβάθμιων μέτρων ασφάλειας (π.χ. κλείδωμα συστημάτων, αλλαγή κωδικών πρόσβασης).
7. Ειδοποίηση τεχνικού για την τεχνική αντιμετώπιση της παραβίασης, της επικείμενης παραβίασης ή των αιτιών που οδήγησαν στην παραβίαση.
8. Αξιολόγηση του κινδύνου, αξιολογώντας τον τύπο δεδομένων που επηρεάστηκαν, τον αριθμό δεδομένων και τις κατηγορίες υποκειμένων, καθώς και πιθανές συνέπειες για τα δικαιώματα και τις ελευθερίες των ατόμων, προκειμένου για την κατηγοριοποίηση της παραβίασης σε χαμηλού, μέτριου ή υψηλού κινδύνου.
9. Αν η παραβίαση ενέχει υψηλό κίνδυνο για τα δικαιώματα των υποκειμένων, ενημέρωση των επηρεαζόμενων ατόμων χωρίς αδικαιολόγητη καθυστέρηση. Η ενημέρωση πρέπει να περιλαμβάνει κατ’ ελάχιστο για (α) τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα, (β) το όνομα και τα στοιχεία επικοινωνίας της Εταιρείας ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες, (γ) τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα, και (δ) τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της
10. Γνωστοποίηση της παραβίασης εντός 72 ωρών από τη στιγμή που λαμβάνεται γνώση αυτής στην Αρχή Προστασίας Δεδομένων (διεύθυνση: Κηφισίας 1-3, Αθήνα, Ελλάδα, Ταχυδρομικός Κώδικας: 115 23, αριθμός τηλεφώνου: +30210 6475600 , διεύθυνση ηλεκτρονικού ταχυδρομείου: contact@dpa.gr), αναφέροντας κατ’ ελάχιστο (α) τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα, (β) το όνομα και τα στοιχεία επικοινωνίας της Εταιρείας ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες, (γ) τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα, και (δ) τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
11. Καταγραφή του περιστατικού στο Μητρώο Παραβιάσεων Δεδομένων, και ειδικότερα καταγραφή των εξής δεδομένων: (α) ώρα και ημερομηνία ανακάλυψης, (β) συγκεκριμένα αρχεία ή δεδομένα που επηρεάστηκαν, (γ) το/τα υποκείμενο/-α δεδομένων, (δ) η φύση της παραβίασης, (ε) οι συνέπειες της παραβίασης, (στ) τα μέτρα αντιμετώπισης που ελήφθησαν, (ζ) οποιαδήποτε επικοινωνία με τρίτους σχετικά με την παραβίαση (η) ημερομηνία ενημέρωσης της Αρχή Προστασίας Δεδομένων εφόσον απαιτείται, (θ) ημερομηνία ενημέρωσης του/των υποκειμένου/-ων εφόσον απαιτείται.
 
Πεδίο Εφαρμογής
Η παρούσα πολιτική εφαρμόζεται στην Hotel Operation (η «Εταιρεία») ως προς την δραστηριοποίησή της στην παροχή υπηρεσιών διαχείρισης κρατήσεων προς τουριστικά καταλύματα, και ισχύει (α) για όλους τους υπαλλήλους, εργαζομένους και στελέχη διοίκησης της Εταιρείας, καθώς και (β) για όλους τους συμβούλους, συνεργάτες, εργολάβους, προσωρινούς ή έκτακτους εργαζομένους, καθώς και κάθε τρίτο πάροχο υπηρεσιών που συνεργάζεται με την Εταιρεία, εφόσον η σχετική σύμβαση προβλέπει συμμόρφωση αυτών με τις πολιτικές και διαδικασίες της Εταιρείας.
Η παρούσα πολιτική αφορά τη διατήρηση προσωπικών δεδομένων που συλλέγει, επεξεργάζεται και αποθηκεύει η Εταιρεία, και εφαρμόζεται σε όλα τα προσωπικά δεδομένα που τηρούνται στα πληροφοριακά και επιχειρησιακά συστήματα της Εταιρείας, ανεξαρτήτως μορφής ή μέσου αποθήκευσης.
Η Εταιρεία διατηρεί το δικαίωμα να αναθεωρεί ή να τροποποιεί την παρούσα πολιτική οποτεδήποτε, στο πλαίσιο των επιχειρησιακών της αναγκών ή κανονιστικών υποχρεώσεων, χωρίς προηγούμενη ειδοποίηση.
Σκοπός της Πολιτικής
Προς συμμόρφωσή της με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) σχετικά με την διατήρηση προσωπικών δεδομένων, η Εταιρεία επιδιώκει να διασφαλίσει τα δεδομένα διατηρούνται μόνο για όσο διάστημα υφίσταται πραγματική λειτουργική, επιχειρησιακή ή κανονιστική ανάγκη διατήρησής τους.
Σκοπός της παρούσας πολιτικής είναι (α) η ελαχιστοποίηση της χρονική περιόδου διατήρησης των προσωπικών δεδομένων, διασφαλίζοντας παράλληλα ότι καλύπτονται οι πληροφοριακές, λειτουργικές, επιχειρησιακές και κανονιστικές ανάγκες της Εταιρείας, (β) η διασφάλιση ότι τα δεδομένα που απαιτούνται για νομικούς και αποδεικτικούς σκοπούς διατηρούνται για το κατάλληλο χρονικό διάστημα και με κατάλληλο τρόπο, και (γ) η αποτροπή πρόωρης ή ακατάλληλης διαγραφής ή καταστροφής δεδομένων.
Λόγοι Διατήρησης των Δεδομένων
Οι κύριοι λόγοι διατήρησης δεδομένων από την Εταιρεία περιλαμβάνουν:
  • Την αποτελεσματική και προσήκουσα παροχή των υπηρεσιών της και την τήρηση συμβατικών της υποχρεώσεων
  • Την συμμόρφωσή της με νομικές και κανονιστικές υποχρεώσεις, καθώς και με την εργατική, φορολογική και ασφαλιστική νομοθεσία
  • Την διερεύνηση περιστατικών ασφάλειας ή άλλων εσωτερικών και εξωτερικών ελέγχων
  • Την υποστήριξη νομικών διαδικασιών ή πιθανών δικαστικών διαφορών
Η Εταιρεία επιδιώκει, όπου είναι εφικτό, να αποφεύγει τη διπλή αποθήκευση δεδομένων. Ωστόσο, ενδέχεται να υπάρχουν περιπτώσεις όπου, για λειτουργικούς, προγραμματικούς ή άλλους επιχειρησιακούς λόγους, απαιτείται η τήρηση των ίδιων δεδομένων σε περισσότερα του ενός συστήματα ή τοποθεσίες.
Απαιτήσεις Διατήρησης Δεδομένων – Ευθύνη και Τρόποι Διαγραφής αυτών
Η Εταιρεία έχει καθορίσει τις ακόλουθες κατευθυντήριες γραμμές για τη διατήρηση των προσωπικών δεδομένων που συλλέγει, επεξεργάζεται και αποθηκεύει, όπως αυτά ορίζονται στις διάφορες πολιτικές της, όπως ισχύουν κάθε φορά (Πολιτική Απορρήτου Ιστοσελίδας, Πολιτική Συστήματος Βιντεοεπιτήρησης, Πολιτική Προστασίας Δεδομένων και Πολιτική Προστασίας Δεδομένων Εργαζομένων):
  • Δεδομένα επισκεπτών ιστοσελίδας: Τα προσωπικά δεδομένα διατηρούνται μόνο ψηφιακά και μόνο για το χρονικό διάστημα που είναι απαραίτητο για την εκπλήρωση των σκοπών για τους οποίους συλλέχθηκαν ή για όσο χρονικό διάστημα απαιτείται από την ισχύουσα νομοθεσία. Μετά τη λήξη της περιόδου διατήρησης, τα δεδομένα διαγράφονται με ασφάλεια από την Εταιρεία.
  • Δεδομένα καταγραφής συστήματος βιντεοεπιτήρησης: Τα καταγεγραμμένα δεδομένα αποθηκεύονται μόνο ψηφιακά για επτά (7) ημέρες, μετά το πέρας των οποίων διαγράφονται με ασφάλεια από την Εταιρεία. Σε περίπτωση που εντοπιστεί περιστατικό εντός του διαστήματος αυτού, απομονώνεται τμήμα του βίντεο, το οποίο διατηρείται για έως έναν (1) ακόμη μήνα, προκειμένου να διερευνηθεί το περιστατικό και να κινηθούν νομικές διαδικασίες για την υπεράσπιση των εννόμων συμφερόντων της Εταιρείας· εάν το περιστατικό αφορά τρίτο πρόσωπο, το σχετικό τμήμα του βίντεο διατηρείται για έως τρεις (3) ακόμη μήνες.
  • Δεδομένα εργαζομένων, μισθοδοσίας, αδειών και συνταξιοδοτικών δικαιωμάτων αυτών: Διατηρούνται για τη διάρκεια της απασχόλησης και για [] μετά την τελευταία ημέρα εργασίας. Τα δεδομένα που αφορούν ζητήματα φορολογικού και ασφαλιστικού δικαίου, διατηρούνται για όσο είναι απαραίτητο βάσει της σχετικής νομοθεσίας.
  • Δεδομένα βιογραφικών: Τα δεδομένα των μη επιτυχόντων υποψηφίων, διατηρούνται για μιας εβδομάδα μετά την ολοκλήρωση της διαδικασίας επιλογής. Τα δεδομένα των επιτυχόντων, διατηρούνται μέχρι την ολοκλήρωση της εκπαίδευσής τους.
  • Δεδομένα μελών διοίκησης: Διατηρούνται για τη διάρκεια της θητείας και για [] μετά τη λήξη αυτής.
  • Δεδομένα πελατών/ τουριστικών καταλυμάτων: Διατηρούνται για την διάρκεια της σύμβασης και για [] μετά τη λήξη αυτής.  Δεδομένα που σχετίζονται με φορολογικές υποχρεώσεις διατηρούνται για [].
  • Δεδομένων κρατήσεων, check-in και check-out: Η Εταιρεία δεν τηρεί δεδομένα των κρατήσεων, παρά μόνο έχει πρόσβαση σε αυτά μέσω των εφαρμογών Web Hotelier και Hotelizer. Οι λογαριασμοί Web Hotelier και Hotelizer ανήκουν στο κάθε τουριστικό κατάλυμα, και η Εταιρεία λειτουργεί ως διαχειρίστρια αυτών. Με την λήξη της συνεργασίας με ένα τουριστικό κατάλυμμα, αποστέλλεται από την Εταιρεία email σε αυτό με αναλυτικές οδηγίες ώστε να αλλάξει τους κωδικούς πρόσβασης και να αναλάβει την πλήρη διαχείριση των λογαριασμών του στις ως άνω εφαρμογές και να παύσει η πρόσβαση της Εταιρείας. Αρμόδιο για την διατήρηση και διαγραφή των δεδομένων είναι το εκάστοτε τουριστικό κατάλυμα.
  • Δεδομένα λογαριασμών social media τουριστικών καταλυμάτων: Η Εταιρεία δεν τηρεί δεδομένα social media. Με την λήξη της συνεργασίας με ένα τουριστικό κατάλυμμα, αποστέλλεται από την Εταιρεία email σε αυτό με αναλυτικές οδηγίες ώστε να αλλάξει τους κωδικούς πρόσβασης και να αναλάβει την πλήρη διαχείριση των λογαριασμών του στις εφαρμογές social media και να παύσει η πρόσβαση της Εταιρείας. Αρμόδιο για την διατήρηση και διαγραφή των δεδομένων είναι το εκάστοτε τουριστικό κατάλυμα.
  • Δεδομένα συμβούλων και άλλων συμβαλλόμενων: Διατηρούνται για την διάρκεια της σύμβασης και για [] μετά τη λήξη αυτής.  Δεδομένα που σχετίζονται με φορολογικές υποχρεώσεις διατηρούνται για [].
Διαγραφή Δεδομένων
Όλα τα προσωπικά δεδομένα που τηρεί η Εταιρεία διατηρούνται αποκλειστικά και μόνο σε ψηφιακή μορφή. Με την πάροδο της καθορισμένης περιόδου διατήρησης, όπως προβλέπεται στην παρούσα πολιτική και την ισχύουσα νομοθεσία, όλα τα δεδομένα διαγράφονται πλήρως και με ασφαλή τρόπο από κάθε ψηφιακό μέσο στο οποίο τηρούνταν, καθώς και από κάθε ψηφιακό αντίγραφο ασφαλείας ή αντίγραφο που τυχόν είχε δημιουργηθεί. Η διαδικασία διαγραφής διασφαλίζει ότι τα δεδομένα δεν είναι πλέον ανακτήσιμα ή προσβάσιμα από οποιονδήποτε, αποτρέποντας την μη εξουσιοδοτημένη χρήση ή επαναφορά τους.
Σε εξαιρετικές περιπτώσεις, όπως δικαστική ή κανονιστική διαδικασία, τα σχετικά δεδομένα ενδέχεται να διατηρηθούν πέραν της προγραμματισμένης περιόδου, μέχρι την οριστική επίλυση ή τελεσιδικία της υπόθεσης, σύμφωνα με τις υποχρεώσεις της Εταιρείας.
 
Πεδίο Εφαρμογής
 
Η Hotel Operation (η «Εταιρεία») αποδίδει ιδιαίτερη σημασία στην προστασία των προσωπικών δεδομένων και δεσμεύεται για την νόμιμη, ασφαλή και διαφανή συλλογή, επεξεργασία και αποθήκευσή τους που εφαρμόζει η Εταιρεία για την προστασία των δεδομένων προσωπικού χαρακτήρα των προσώπων που συναλλάσσονται ή συνεργάζονται μαζί της στα πλαίσια της δραστηριοποίησής της στην παροχή υπηρεσιών διαχείρισης κρατήσεων προς τουριστικά καταλύματα. Η παρούσα πολιτική καθορίζει τις αρχές Η Εταιρεία διατηρεί το δικαίωμα να αναθεωρεί ή να τροποποιεί την παρούσα πολιτική οποτεδήποτε, στο πλαίσιο των επιχειρησιακών της αναγκών ή κανονιστικών υποχρεώσεων, χωρίς προηγούμενη ειδοποίηση.
 
Σκοπός της Πολιτικής
 
Προς συμμόρφωση της Εταιρείας με τον Κανονισμό (ΕΕ) 2016/679, τον ν.4624/2019, και τον ν.3471/2006 καθώς και με κάθε άλλη ισχύουσα ενωσιακή και εθνική νομοθεσία για την προστασία προσωπικών δεδομένων, όπως και με τις γνωμοδοτήσεις, οδηγίες, κατευθυντήριες γραμμές, συστάσεις και αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στόχος της παρούσας πολιτικής είναι να ενημερώσει τα υποκείμενα των δεδομένων που επεξεργάζεται αναφορικά με τη νόμιμη και ασφαλή διαχείριση των προσωπικών δεδομένων που επεξεργάζεται στο πλαίσιο των δραστηριοτήτων της. Η παρούσα πολιτική προσδιορίζει τις θεμελιώδεις αρχές προστασίας των προσωπικών δεδομένων, τα δικαιώματα των υποκειμένων, καθώς και τα τεχνικά και οργανωτικά μέτρα που εφαρμόζονται ώστε να διασφαλίζεται η προστασία τους σε κάθε στάδιο της επεξεργασίας τους.
 
Ορισμοί
 
«Δεδομένα Προσωπικού Χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
«Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
«Περιορισμός της Επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,
«Υποκείμενο των Δεδομένων»: το φυσικό πρόσωπο του οποίου τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας,
«Υπεύθυνος Επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
«Εκτελών την Επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
«Από κοινού υπεύθυνος επεξεργασίας»: σημαίνει το φυσικό ή νομικό πρόσωπο που, μαζί με τον υπεύθυνο επεξεργασίας, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
«Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,
«Συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
«Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
«Δεδομένα Ειδικών Κατηγοριών»: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
 
Κατηγορίες Προσωπικών Δεδομένων που επεξεργαζόμαστε
 
Τα προσωπικά δεδομένα που συλλέγει και επεξεργάζεται η Εταιρεία παρέχονται είτε απευθείας από τα υποκείμενα δεδομένων – επισκεπτών, είτε από άμεσους συνεργάτες της Εταιρείας.
  • στα πλαίσια της κράτησης δωματίων από τα υποκείμενα των δεδομένων στα καταλύματα των ξενοδόχων,
  • στα πλαίσια της επικοινωνίας των επισκεπτών με την Hotel Operation μέσω των λογαριασμών κοινωνικής δικτύωσης.
Λόγω της φύσης των δραστηριοτήτων της Εταιρείας, τα Προσωπικά Δεδομένα που συλλέγει (ή λαμβάνει γνώση αυτών) αφορούν κυρίως τις εξής κατηγορίες δεδομένων:
  • Κατά την τηλεφωνική ή ψηφιακή κράτηση στο εκάστοτε κατάλυμα: όνομα, επώνυμο, πατρώνυμο, μητρώνυμο, αριθμός τηλεφώνου, διεύθυνση email, διεύθυνση κατοικίας, υπηκοότητα, στοιχεία ταυτότητας ή διαβατηρίου, φύλο, ημερομηνία γέννησης, στοιχεία πιστωτικής ή χρεωστικής τραπεζικής κάρτας ή IBAN, στοιχεία τιμολόγησης ή έκδοσης απόδειξης, αποδεικτικό πληρωμής, ημερομηνία check-in, ημερομηνία check-out, χρόνος διαμονής, δωμάτιο διαμονής.
  • Κατά την διαχείριση των λογαριασμών κοινωνικής δικτύωσης των εκάστοτε καταλυμάτων από την Εταιρεία: όνομα, επώνυμο, username, email, τηλέφωνο επικοινωνίας, φωτογραφίες, posts, stories.
Σκοποί και Νόμιμες Βάσεις της Επεξεργασίας
Η Εταιρεία και όσοι ενεργούν σύμφωνα με τις οδηγίες της, εκ μέρους της ή/και οι υπεύθυνοι επεξεργασίας των δεδομένων, επεξεργάζονται τα δεδομένα σας αποκλειστικά για τους ακόλουθους σκοπούς:
Α) Για την πραγματοποίηση της κράτησης στα καταλύματα των Ξενοδόχων και κατ’ επέκταση την διαμονή των υποκειμένων των δεδομένων στο εκάστοτε ξενοδοχείο η συλλογή και επεξεργασία προσωπικών δεδομένων των παραπάνω υποκειμένων, βασίζεται:
  • Στο άρθρο 6 παρ. 1(α), κατά το οποίο το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για την πραγματοποίηση της κράτησης σε κατάλυμα και κατ’ επέκταση της διαμονής του σε αυτό.
  • Στο άρθρο 6 παρ. 1(β), κατά το οποίο η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβαση, της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από την σύναψη σύμβασης (i) μεταξύ της Εταιρείας και του Ξενοδόχου βάσει της σύμβασης συνεργασίας και (ii) μεταξύ της Εταιρείας και του Υποκειμένου των Δεδομένων στα πλαίσια της σύμβασης με τον Ξενοδόχο.
Β) Για την επικοινωνία με τους πελάτες των Ξενοδόχων μέσω του αυτοματοποιημένου email, που παρέχει στον υποψήφιο επισκέπτη του τουριστικού καταλύματος  τα στοιχεία επικοινωνίας αυτού (τηλέφωνο, email), την ιστοσελίδα του καταλύματος για απευθείας κράτηση και την ψηφιακή παρουσία των καταλυμάτων μέσω της επιλογής “repost”, η συλλογή και επεξεργασία προσωπικών δεδομένων των παραπάνω υποκειμένων βασίζεται:
  • στο άρθρο 6 παρ. 1(α), κατά το οποίο το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς.
 
Κατάρτιση Προφίλ 
 
Η Εταιρεία δεν χρησιμοποιεί τα προσωπικά δεδομένα των πελατών της για την κατάρτιση προφίλ.
Αποδέκτες
Πρόσβαση στα προσωπικά σας δεδομένα έχουν μόνο οι εργαζόμενοι ή τα στελέχη της Εταιρείας που είναι απολύτως απαραίτητοι και έχουν λάβει τις απαιτούμενες πληροφορίες σχετικά με την ασφαλή επεξεργασία των προσωπικών σας δεδομένων.
Επιπλέον, πρόσβαση στα προσωπικά σας δεδομένα μπορεί να δοθεί στις εταιρείες και τα φυσικά πρόσωπα με τα οποία συνεργαζόμαστε (π.χ. την εταιρεία πληροφορικής που υποστηρίζει τον ιστότοπό μας και την εταιρεία marketing), και μόνο εφόσον η επεξεργασία των δεδομένων τους έχει ανατεθεί από την Hotel Operation. Η επεξεργασία των προσωπικών δεδομένων από τους εκτελούντες την επεξεργασία πραγματοποιείται σύμφωνα με τις ρητές εντολές της Hotel Operation και μόνον αφού διασφαλιστεί ότι έχουν ληφθεί όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα.
 
Χρόνος τήρησης προσωπικών δεδομένων
 
Η Εταιρεία διατηρεί τα προσωπικά δεδομένα των υποκειμένων των δεδομένων για όσο διάστημα απαιτείται βάσει του σκοπού για τον οποίον έχουν συλλεγεί. Ο χρόνος τήρησης αυτών και οι διαδικασίες που ακολουθούνται για την παύση πρόσβασης σε αυτά, την διαγραφή ή την καταστροφή τους, ορίζονται στην Πολιτική Διατήρησης και Διαγραφής Δεδομένων της Εταιρείας.
 
Διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες
 
υποβάλλονται σε επεξεργασία μόνο εντός της Ευρωπαϊκής Ένωσης, και δεν διαβιβάζει προσωπικά δεδομένα σε τρίτες χώρες εκτός αυτής.
Δικαιώματα Υποκειμένων Δεδομένων
 
Έχετε το δικαίωμα πρόσβασης στα προσωπικά σας δεδομένα: Αυτό σημαίνει ότι έχετε το δικαίωμα να ενημερώνεστε από εμάς σχετικά με το αν επεξεργαζόμαστε τα δεδομένα σας. Εάν επεξεργαζόμαστε τα δεδομένα σας, μπορείτε να ζητήσετε να ενημερωθείτε σχετικά με τον σκοπό της επεξεργασίας, τον τύπο των πληροφοριών που διατηρούμε, τους αποδέκτες, τις περιόδους διατήρησης, εάν λαμβάνουμε αυτοματοποιημένες αποφάσεις, καθώς και σχετικά με τα άλλα δικαιώματά σας, όπως διόρθωση, διαγραφή, περιορισμός της επεξεργασίας και υποβολή καταγγελίας στην Ελληνική Αρχή Προστασίας Δεδομένων.
 
Έχετε το δικαίωμα να διορθώσετε τα ανακριβή προσωπικά σας δεδομένα: Έχετε το δικαίωμα να ζητήσετε από την Εταιρεία μας, χωρίς αδικαιολόγητη καθυστέρηση, τη διόρθωση των ανακριβών προσωπικών σας δεδομένων (διόρθωση λανθασμένου ή προηγούμενου αριθμού τηλεφώνου/διεύθυνσης κ.λπ.). Λαμβάνοντας υπόψη τους σκοπούς της επεξεργασίας, έχετε το δικαίωμα να συμπληρώσετε τα ελλιπή προσωπικά δεδομένα, μεταξύ άλλων με τη συμπλήρωση μιας συμπληρωματικής δήλωσης.
 
Έχετε το δικαίωμα να διαγράψετε τις πληροφορίες σας/ το δικαίωμα στη λήθη: Μπορείτε να μας ζητήσετε να διαγράψουμε τα προσωπικά σας δεδομένα εάν δεν είναι απαραίτητα για τους προαναφερθέντες σκοπούς ή εάν επιθυμείτε να ανακαλέσετε τη συγκατάθεσή σας σε περίπτωση που αυτή είναι η μόνη νόμιμη βάση για την επεξεργασία.
 
Έχετε το δικαίωμα στη φορητότητα των δεδομένων: Μπορείτε να ζητήσετε να λάβετε από εμάς σε αναγνώσιμη μορφή τα προσωπικά δεδομένα που μας έχετε παράσχει ή να μας ζητήσετε να μεταφέρουμε τις πληροφορίες σας σε άλλο υπεύθυνο επεξεργασίας δεδομένων.
 
Έχετε το δικαίωμα να περιορίσετε την επεξεργασία των προσωπικών σας δεδομένων: Μπορείτε να μας ζητήσετε να περιορίσουμε την επεξεργασία των προσωπικών σας δεδομένων για όσο διάστημα εκκρεμεί η εξέταση των αντιρρήσεών σας.
 
Έχετε το δικαίωμα να αντιταχθείτε στην επεξεργασία των προσωπικών σας δεδομένων: Μπορείτε να αντιταχθείτε στην επεξεργασία των προσωπικών σας δεδομένων ή να ανακαλέσετε τη συγκατάθεσή σας και θα σταματήσουμε την επεξεργασία, εάν δεν υπάρχουν άλλοι επιτακτικοί και νόμιμοι λόγοι που υπερισχύουν του δικαιώματός σας.
 
Έχετε το δικαίωμα να υποβάλετε καταγγελία στην Ελληνική Αρχή Προστασίας Δεδομένων: Μπορείτε να αναφέρετε πιθανές παραβιάσεις της νομοθεσίας περί προστασίας δεδομένων απευθείας στην Ελληνική Αρχή Προστασίας Δεδομένων μέσω της διεύθυνσής της: Κηφισίας 1–3, 115 23 Αθήνα ή τηλεφώνου: +30 210 6475600 ή email: contact@dpa.gr. Το δικαίωμα αυτό ασκείται ανεξάρτητα από την Εταιρεία και δεν απαιτεί προηγούμενη αίτηση ή επικοινωνία μαζί μας.
 
Πώς να ασκήσετε τα δικαιώματά σας
 
Εάν επιθυμείτε να λάβετε περισσότερες πληροφορίες ή να ασκήσετε τα δικαιώματά σας σχετικά με την επεξεργασία των προσωπικών σας δεδομένων, μπορείτε να επικοινωνήσετε με τον υπεύθυνο προστασίας δεδομένων/συντονιστή προστασίας δεδομένων της εταιρείας μας Αντωνία Ράπτη στη διεύθυνση Τσιμισκή 6, Θεσσαλονίκη, Τ.Κ. 54624 ή μέσω email στη διεύθυνση a.rapti@nexuslaw.gr, η οποία έχει οριστεί από την Εταιρεία ως Υπεύθυνη Προστασίας Δεδομένων και είναι αρμόδια για τα παραπάνω θέματα, με γνωστοποίηση της περιγραφής του αιτήματός σας και θα φροντίσουμε να το εξετάσουμε και να απαντήσουμε το συντομότερο δυνατό.
Θα απαντήσουμε στο αίτημά σας χωρίς καθυστέρηση, εντός (1) ενός μήνα από την παραλαβή του και χωρίς κανένα κόστος για εσάς. Η παραπάνω προθεσμία μπορεί να παραταθεί για δύο (2) ακόμη μήνες, λόγω της πολυπλοκότητας ή του αριθμού των αιτημάτων. Σε τέτοια περίπτωση, θα ενημερωθείτε για την παράταση της προθεσμίας και τους λόγους αυτής το συντομότερο δυνατόν και, σε κάθε περίπτωση, εντός (1) ενός μήνα από την παραλαβή του αιτήματός σας.
Εάν τα αιτήματά σας είναι προφανώς αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η Εταιρεία μπορεί να επιβάλει ένα λογικό τέλος, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή πληροφοριών ή την εκτέλεση της ζητούμενης ενέργειας, ή να αρνηθεί να απαντήσει στο αίτημα, αιτιολογώντας την απάντησή της προς εσάς.
Σε περίπτωση που πιστεύετε ότι: (α) το αίτημά σας δεν έχει ικανοποιηθεί επαρκώς και νόμιμα ή (β) το δικαίωμά σας στην προστασία των προσωπικών σας δεδομένων έχει παραβιαστεί από την επεξεργασία μας, έχετε το δικαίωμα να υποβάλετε καταγγελία στην εποπτική αρχή (διεύθυνση: Κηφισίας 1-3, Αθήνα, Ελλάδα, Ταχυδρομικός Κώδικας: 115 23, αριθμός τηλεφώνου: +30210 6475600 , διεύθυνση ηλεκτρονικού ταχυδρομείου: contact@dpa.gr).
 
Παραβίαση των προσωπικών δεδομένων σας
 
Σε περίπτωση παραβίασης των προσωπικών δεδομένων των υποκειμένων, δίνεται η δυνατότητα στα υποκείμενα των δεδομένων ή σε όποιον τρίτο έχει έννομο συμφέρον να αναφέρουν το περιστατικό παραβίασης προσωπικών τους δεδομένων, είτε εντύπως με αποστολή στην διεύθυνση της Εταιρείας [•] είτε ηλεκτρονικά μέσω της ιστοσελίδας της στο link [•] τα οποία διαβιβάζονται αμέσως στον Υπεύθυνο Αντιμετώπισης Παραβίασης.
Επεξεργασία Δεδομένων Ανηλίκων
 
Η Hotel Operation δεν συλλέγει εν γνώσει της προσωπικά δεδομένα από ανηλίκους κάτω των 15 ετών. Εάν διαπιστώσει ότι έχουν συλλεχθεί προσωπικά δεδομένα ανηλίκων κάτω των 15 ετών χωρίς την απαραίτητη συγκατάθεση των γονέων, διαγράφει τα δεδομένα αυτά χωρίς αδικαιολόγητη καθυστέρηση.
 
Αρχές Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα
 
Η Εταιρεία δεσμεύεται να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα με σεβασμό στις βασικές αρχές που θεσπίζει ο Γενικός Κανονισμός για την Προστασία Δεδομένων της ΕΕ για την προστασία των προσωπικών δεδομένων: νομιμότητα, δικαιοσύνη, διαφάνεια, περιορισμός του σκοπού, ελαχιστοποίηση των δεδομένων, ακρίβεια των δεδομένων, περιορισμός του χρόνου αποθήκευσης, ακεραιότητα, εμπιστευτικότητα και λογοδοσία.
 
Ασφάλεια Δεδομένων Προσωπικού Χαρακτήρα
 
Η Εταιρεία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας των προσωπικών δεδομένων που επεξεργάζεται έναντι τυχόν κινδύνων και προκειμένου για την πρόληψη και αντιμετώπιση περιστατικών παραβίασης.