Πολιτική Διαχείρισης Πληροφοριών Ιδιωτικότητας

ISO/IEC 27701:2019
Greece Lean Six Sigma (GLSS)
(Επέκταση του ISO/IEC 27001:2013 για Ιδιωτικότητα & Συμμόρφωση με τον GDPR)

1. Σκοπός

Στη Greece Lean Six Sigma (GLSS), η προστασία των προσωπικών δεδομένων αποτελεί θεμελιώδη υποχρέωση και βασικό πυλώνα εμπιστοσύνης, επαγγελματικής ακεραιότητας και ορθής διακυβέρνησης.

Σε πλήρη ευθυγράμμιση με το ISO/IEC 27701:2019, η GLSS έχει επεκτείνει το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) σύμφωνα με το ISO/IEC 27001, ενσωματώνοντας ένα Σύστημα Διαχείρισης Πληροφοριών Ιδιωτικότητας (PIMS). Το σύστημα αυτό διασφαλίζει τη νόμιμη, διαφανή και ασφαλή επεξεργασία Προσωπικών Δεδομένων (PII) σε όλες τις υπηρεσίες, πλατφόρμες και δραστηριότητές μας.

Η παρούσα πολιτική καθορίζει τον τρόπο με τον οποίο η GLSS συλλέγει, επεξεργάζεται, αποθηκεύει, κοινοποιεί και προστατεύει προσωπικά δεδομένα, σε συμμόρφωση με:

  • τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR – ΕΕ 2016/679)
  • το ISO/IEC 27701:2019
  • την ισχύουσα εθνική και διεθνή νομοθεσία περί προστασίας δεδομένων

2. Στόχοι της Πολιτικής

Οι στόχοι της παρούσας πολιτικής είναι:

  • Η πλήρης συμμόρφωση με το ISO/IEC 27701 και τον GDPR
  • Η προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων
  • Η διασφάλιση διαφανούς, ηθικής και υπεύθυνης διαχείρισης δεδομένων
  • Η ενσωμάτωση της ιδιωτικότητας σε όλες τις λειτουργικές και εκπαιδευτικές διαδικασίες
  • Η ελαχιστοποίηση κινδύνων ιδιωτικότητας μέσω δομημένου συστήματος διαχείρισης

3. Πεδίο Εφαρμογής

Η παρούσα πολιτική εφαρμόζεται σε:

  • Όλα τα προσωπικά δεδομένα που συλλέγονται ή επεξεργάζονται από τη GLSS
  • Όλα τα μοντέλα παροχής υπηρεσιών (δια ζώσης, online, υβριδικά, ασύγχρονα)
  • Όλα τα συστήματα και πλατφόρμες, όπως:
    • Συστήματα Διαχείρισης Μάθησης (LMS)
    • Πλατφόρμες πιστοποίησης και αξιολόγησης
    • CRM, email, cloud storage και εργαλεία συνεργασίας
  • Όλους τους ρόλους και συνεργάτες, συμπεριλαμβανομένων:
    • εργαζομένων
    • εκπαιδευτών και αξιολογητών
    • εξωτερικών συνεργατών και παρόχων
    • τρίτων εκτελούντων την επεξεργασία

Η GLSS λειτουργεί κατά κύριο λόγο ως Υπεύθυνος Επεξεργασίας (Data Controller) και, όπου απαιτείται, ως Εκτελών την Επεξεργασία (Data Processor), σύμφωνα με τον GDPR.

4. Βασικές Αρχές Ιδιωτικότητας

4.1 Νόμιμη, Θεμιτή και Διαφανής Επεξεργασία

Η επεξεργασία προσωπικών δεδομένων πραγματοποιείται μόνο βάσει νόμιμης βάσης, όπως:

  • Συμβατική αναγκαιότητα
    (π.χ. εγγραφή σε εκπαίδευση, πιστοποίηση, εξετάσεις)
  • Νομική υποχρέωση
    (π.χ. τιμολόγηση, φορολογική συμμόρφωση)
  • Έννομο συμφέρον
    (π.χ. επικοινωνία με αποφοίτους, βελτίωση υπηρεσιών)
  • Ρητή συγκατάθεση
    (π.χ. newsletters, προωθητικές ενέργειες)

Όλες οι δραστηριότητες επεξεργασίας περιγράφονται με σαφήνεια στη Δήλωση Προστασίας Προσωπικών Δεδομένων (Privacy Notice).

4.2 Ελαχιστοποίηση Δεδομένων & Περιορισμός Σκοπού

Η GLSS διασφαλίζει ότι:

  • Συλλέγονται μόνο δεδομένα απολύτως αναγκαία για συγκεκριμένο σκοπό
  • Τα δεδομένα δεν διατηρούνται πέραν του απαιτούμενου χρόνου
  • Δεν γίνεται επαναχρησιμοποίηση δεδομένων χωρίς νόμιμη βάση ή νέα συγκατάθεση
  • Οι περίοδοι διατήρησης τεκμηριώνονται και εφαρμόζονται συστηματικά

4.3 Προστασία Δικαιωμάτων Υποκειμένων Δεδομένων

Η GLSS διασφαλίζει την πλήρη άσκηση των δικαιωμάτων του GDPR, όπως:

  • Δικαίωμα πρόσβασης
  • Δικαίωμα διόρθωσης
  • Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
  • Δικαίωμα φορητότητας
  • Δικαίωμα περιορισμού ή εναντίωσης στην επεξεργασία
  • Δικαίωμα ανάκλησης συγκατάθεσης οποτεδήποτε
  • Δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
    (www.dpa.gr)

Αιτήματα μπορούν να υποβάλλονται στο:
📧 privacy@greeceleansixsigma.gr

4.4 Ιδιωτικότητα εξ Ορισμού & εξ Σχεδιασμού

Οι αρχές προστασίας δεδομένων ενσωματώνονται σε όλα τα συστήματα και διαδικασίες από το στάδιο του σχεδιασμού.

  • Οι προεπιλεγμένες ρυθμίσεις περιορίζουν τη συλλογή και πρόσβαση δεδομένων
  • Διενεργούνται Εκτιμήσεις Αντικτύπου (DPIA) όπου απαιτείται
  • Όλοι οι νέοι πάροχοι και πλατφόρμες αξιολογούνται ως προς τη συμμόρφωση με τον GDPR

5. Διακυβέρνηση & Έλεγχοι Ιδιωτικότητας

Η GLSS εφαρμόζει τεχνικά και οργανωτικά μέτρα, όπως:

  • Πρόσβαση βάσει ρόλου και αρχή ελάχιστων δικαιωμάτων
  • Κρυπτογράφηση δεδομένων σε αποθήκευση και μεταφορά
  • Φιλοξενία δεδομένων σε GDPR-compliant data centers εντός ΕΕ
  • Υπογεγραμμένες Συμβάσεις Επεξεργασίας Δεδομένων (DPAs) με τρίτους
  • Καταγραφή και παρακολούθηση προσβάσεων
  • Σχέδιο Αντιμετώπισης Παραβίασης Δεδομένων σύμφωνα με τα Άρθρα 33–34 GDPR

6. Ρόλοι και Ευθύνες

ΡόλοςΕυθύνη
Υπεύθυνος ΕπεξεργασίαςGreece Lean Six Sigma
Υπεύθυνος Ιδιωτικότητας / PIMS LeadΕποπτεία συμμόρφωσης και PIMS
Εργαζόμενοι & ΕκπαιδευτέςΤήρηση πολιτικών και αναφορά περιστατικών
Τρίτοι ΠάροχοιΕπεξεργασία μόνο βάσει σύμβασης

Όλο το προσωπικό και οι συνεργάτες εκπαιδεύονται τακτικά σε θέματα ιδιωτικότητας και GDPR.

7. Παρακολούθηση, Αναθεώρηση & Συνεχής Βελτίωση

Η παρούσα πολιτική:

  • Αναθεωρείται τουλάχιστον ετησίως
  • Επικαιροποιείται σε περίπτωση:
    • νομοθετικών αλλαγών
    • αλλαγών συστημάτων ή διαδικασιών
    • περιστατικών ή ελέγχων
  • Υποστηρίζεται από:
    • αρχεία ελέγχου (audit logs)
    • έλεγχο εκδόσεων
    • τεκμηριωμένα στοιχεία συμμόρφωσης

Το PIMS βελτιώνεται συνεχώς μέσω εσωτερικών αξιολογήσεων και risk assessments.

8. Έγκριση & Έλεγχος Εγγράφου

Εγκρίθηκε από:
Βικτώρια Τσολίδου
Ιδρύτρια & Διευθύνουσα Σύμβουλος
Greece Lean Six Sigma

Έκδοση: 1.0
Ημερομηνία Έναρξης Ισχύος: 02.05.2024
Κύκλος Αναθεώρησης: Ετήσιος ή όποτε απαιτείται