Ενημέρωση σχετικά με την επεξεργασία προσωπικών δεδομένων στο πλαίσιο λειτουργίας της εφαρμογής «ΘΑΛΗΣ»

 Υπεύθυνος Επεξεργασίας

Η ΔΕΔΔΗΕ Α.Ε. (εφεξής «ΔΕΔΔΗΕ» ή «η Εταιρεία») έχει ως βασική προτεραιότητα την προστασία των προσωπικών δεδομένων τα οποία επεξεργάζεται υπό την ιδιότητα του υπευθύνου επεξεργασίας, σύμφωνα με την ισχύουσα νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα. Η εν λόγω επεξεργασία λαμβάνει χώρα υπό τις προϋποθέσεις, τις εγγυήσεις και εν γένει σύμφωνα με τον Γενικό Κανονισμό (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (εφεξής «ΓΚΠΔ»), όπως ισχύει, καθώς και την ισχύουσα εθνική νομοθεσία [Ν. 4624/2019, Οδηγίες και Αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠΔΠΧ»)] και σύμφωνα με την παρούσα ενημέρωση και την αντίστοιχη πολιτική του ΔΕΔΔΗΕ.

Η παρούσα ενημέρωση έχει ως σκοπό να πληροφορήσει τους χρήστες (εφεξής, «χρήστες», «υποκείμενα των δεδομένων») της εφαρμογής «ΘΑΛΗΣ» (εφεξής «Εφαρμογή»), η οποία αποσκοπεί στην διαχείριση αιτημάτων Προμηθευτών Ηλεκτρικής Ενέργειας, αναφορικά με τα προσωπικά δεδομένα των χρηστών της Εφαρμογής που η Εταιρεία συλλέγει και επεξεργάζεται στο πλαίσιο της χρήσης της Εφαρμογής, καθώς και τον τρόπο και τους σκοπούς συλλογής, αποθήκευσης και χρήσης των εν λόγω προσωπικών δεδομένων.

 Ποιες κατηγορίες δεδομένων συλλέγουμε και επεξεργαζόμαστε από τους χρήστες και πώς

H Εταιρεία συλλέγει και επεξεργάζεται τα προσωπικά δεδομένα που οι χρήστες παρέχουν κατά την υποβολή αίτησης για πρόσβαση και δημιουργία προφίλ στην Εφαρμογή, τα δεδομένα που απαιτούνται για τη σύνδεσή τους στην Εφαρμογή καθώς και τα δεδομένα που είναι απαραίτητα για τη λειτουργία της Εφαρμογής. Ειδικότερα, η Εταιρεία συλλέγει και επεξεργάζεται τα κάτωθι προσωπικά δεδομένα των υποκειμένων των δεδομένων (χρηστών της Εφαρμογής):

  1. Στοιχεία ταυτοποίησης, συγκεκριμένα: ονοματεπώνυμο, αριθμό φορολογικού μητρώου (Α.Φ.Μ.) ή/και στοιχεία δελτίου ταυτότητας ή/και στοιχεία διαβατηρίου.
  2. Στοιχεία επικοινωνίας, συγκεκριμένα: αριθμό σταθερού ή/και κινητού τηλεφώνου και διεύθυνση ηλεκτρονικής αλληλογραφίας (e-mail).
  3. Στοιχεία εργοδότη, τίτλου/θέσης εργασίας.

Τα παραπάνω στοιχεία είναι απαραίτητο να συμπληρωθούν από τους χρήστες για την δημιουργία προφίλ στην Εφαρμογή. Διευκρινίζεται ότι για τη δημιουργία προφίλ χρήστη στην Εφαρμογή απαιτείται τουλάχιστον ένα εκ των αριθμού φορολογικού μητρώου (Α.Φ.Μ.), αριθμού δελτίου ταυτότητας (Α.Δ.Τ.), αριθμού διαβατηρίου και τουλάχιστον ένα τηλέφωνο επικοινωνίας (σταθερό ή κινητό).

Περαιτέρω, ο ΔΕΔΔΗΕ συλλέγει και επεξεργάζεται τις κάτωθι κατηγορίες προσωπικών δεδομένων για τη διαχείριση των χρηστών της Εφαρμογής:

  1. Δεδομένα αυθεντικοποίησης χρήστη (π.χ. username).
  2. Δεδομένα ψηφιακού αποτυπώματος (π.χ. logs, metadata από τη χρήση της Εφαρμογής).

Σκοπός της επεξεργασίας

Η επεξεργασία των ανωτέρω δεδομένων είναι αναγκαία για την ορθή και αδιάλειπτη λειτουργία της Εφαρμογής μέσω της οποίας υποβάλλονται στον ΔΕΔΔΗΕ αιτήματα Προμηθευτών Ηλεκτρικής Ενέργειας, καθώς και για την ασφαλή και προσήκουσα ταυτοποίησή των χρηστών της Εφαρμογής.

Η επεξεργασία των ανωτέρω προσωπικών δεδομένων διενεργείται αποκλειστικά για σκοπούς που συνδέονται άμεσα με την εκπλήρωση των υποχρεώσεων του ΔΕΔΔΗΕ για την υλοποίηση . Περαιτέρω, η λειτουργία της Εφαρμογής πραγματοποιείται στο πλαίσιο λήψης των αναγκαίων μέτρων για τον σχεδιασμό, την ανάπτυξη και την καθημερινή λειτουργία του απαιτούμενου εξοπλισμού, με σκοπό τόσο την άρτια λειτουργία του Ελληνικού Δικτύου Διανομής Ηλεκτρικής Ενέργειας, όσο και τη διαφύλαξη του εμπιστευτικού χαρακτήρα των πληροφοριών που περιέρχονται σε γνώση του ΔΕΔΔΗΕ κατά την άσκηση των καθηκόντων του.

Επιπλέον, ο ΔΕΔΔΗΕ, κατά περίπτωση, επεξεργάζεται τα προσωπικά δεδομένα για την διαχείριση αιτημάτων των υποκειμένων των δεδομένων, τη διερεύνηση τυχόν περιστατικών παραβίασης προσωπικών δεδομένων και ασφάλειας πληροφοριών και τη διαχείριση και διεκπεραίωση δικαστικών και εξωδικαστικών υποθέσεων.

Νομική Βάση της επεξεργασίας

Ο ΔΕΔΔΗΕ επεξεργάζεται τα ανωτέρω δεδομένα προσωπικού χαρακτήρα:

  1. Για τον σκοπό της αδιάλειπτης και εύρυθμης λειτουργίας της Εφαρμογής και της προσήκουσας ταυτοποίησης των χρηστών. Σε αυτήν την περίπτωση, η επεξεργασία λαμβάνει χώρα για τη συμμόρφωση με τις έννομες υποχρεώσεις του ΔΕΔΔΗΕ (άρθρο 6 παρ. 1 γ’ του ΓΚΠΔ), σύμφωνα με το ρυθμιστικό πλαίσιο που διέπει τη λειτουργία του (άρθρα 5, 99 και 100, Κώδικας Διαχείρισης ΕΔΔΗΕ, 6 και 7, Εγχειρίδιο Εκπροσώπησης Μετρητών και Περιοδικής Εκκαθάρισης και 127, ν. 4001/2011).
  2. Για τη διαχείριση αιτημάτων των υποκειμένων των δεδομένων και τη διερεύνηση τυχόν περιστατικών παραβίασης προσωπικών δεδομένων και ασφάλειας πληροφοριών. Σε αυτήν την περίπτωση, η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του ΔΕΔΔΗΕ (άρθρο 6 παρ. 1 γ’ του ΓΚΠΔ) και συγκεκριμένα για τη συμμόρφωση με τις υποχρεώσεις που απορρέουν από τα άρθρα 12-22 ΓΚΠΔ και 33-34 ΓΚΠΔ αντίστοιχα, ενώ για τη διαχείριση και διεκπεραίωση δικαστικών και εξωδικαστικών υποθέσεων, η επεξεργασία λαμβάνει χώρα για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο ΔΕΔΔΗΕ (άρθρο 6 παρ. 1 στ’ του ΓΚΠΔ), ήτοι για την προβολή αξιώσεων και την υπεράσπισή του ενώπιον Δικαστηρίων και Αρχών.

Ο ΔΕΔΔΗΕ δεν επεξεργάζεται προσωπικά δεδομένα για αυτοματοποιημένη λήψη αποφάσεων ή/και κατάρτιση προφίλ που παράγει έννομα αποτελέσματα ή έχει άλλες συναφείς σημαντικές επιπτώσεις στα φυσικά πρόσωπα.

Αποδέκτες των προσωπικών δεδομένων

Τα ανωτέρω δεδομένα συλλέγονται, μέσω της προαναφερθείσας Εφαρμογής του ΔΕΔΔΗΕ, στην οποία έχει πρόσβαση αποκλειστικά και μόνο εξουσιοδοτημένο προσωπικό το οποίο έχει επιφορτιστεί με τη συλλογή, διαχείριση και αξιολόγηση των αιτημάτων που λαμβάνονται μέσω αυτής και έχει εκπαιδευτεί κατάλληλα για τη διαχείριση προσωπικών δεδομένων. Το εν λόγω προσωπικό δεσμεύεται με ρήτρες εμπιστευτικότητας και του έχουν παρασχεθεί ειδικά δικαιώματα εξουσιοδοτημένης πρόσβασης στα ανωτέρω δεδομένα.

Η Εταιρεία δεν διαβιβάζει σε τρίτους σε δεδομένα προσωπικού χαρακτήρα, παρά μόνο εφόσον συντρέχει νόμιμος λόγος, συγκεκριμένα, εφόσον πρόκειται για πρόσωπα στα οποία έχουν δοθεί από τον ΔΕΔΔΗΕ ειδικά δικαιώματα εξουσιοδοτημένης πρόσβασης στα δεδομένα αυτά, ή εφόσον αυτό είναι απολύτως αναγκαίο για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεών του ή για την εκπλήρωση των υποχρεώσεών του που απορρέουν από την υφιστάμενη νομοθεσία, όπως για παράδειγμα σε εποπτικές, ελεγκτικές, αστυνομικές, εισαγγελικές, ανεξάρτητες, δικαστικές, δημόσιες ή/και λοιπές αρχές και φορείς στο πλαίσιο των εκ του νόμου αρμοδιοτήτων, καθηκόντων και εξουσιών τους, όταν η διαβίβαση σε αυτές απαιτείται από τον νόμο ή προβλέπεται από αυτόν, κατόπιν σχετικών νομίμων αιτημάτων αυτών κατά την άσκηση των καθηκόντων τους, καθώς και όταν επιβάλλεται από δικαστικές αποφάσεις ή/και σε δικηγόρους, δικηγορικές εταιρείες, δικαστικούς επιμελητές, συμβολαιογράφους εμπειρογνώμονες, πραγματογνώμονες, σε οποιαδήποτε περίπτωση δικαστικών ενεργειών στο πλαίσια διασφάλισης των δικαιωμάτων και των συμφερόντων της Εταιρείας.

Επισημαίνεται ότι πρόσβαση στα ανωτέρω δεδομένα προσωπικού χαρακτήρα θα έχει ο Προμηθευτής Ηλεκτρικής Ενέργειας εκ μέρους του οποίου έκαστος χρήστης χρησιμοποιεί την Εφαρμογή.

Χρόνος διατήρησης των προσωπικών δεδομένων

Το χρονικό διάστημα διατήρησης των ως άνω προσωπικών δεδομένων διαμορφώνεται με βάση τις αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και τα προβλεπόμενα ιδίως στο άρθρο 5 του ΓΚΠΔ, κατά συνεκτίμηση και των αρμοδιοτήτων και του ρόλου του ΔΕΔΔΗΕ, με βάση το κείμενο νομικό πλαίσιο. Τα ανωτέρω δεδομένα θα τηρούνται από τον ΔΕΔΔΗΕ για το χρονικό διάστημα που απαιτείται για την εκπλήρωση καθενός εκ των ως άνω σκοπών για τους οποίους συνελέγησαν και δεν θα υπερβαίνει το απολύτως απαραίτητο χρονικό διάστημα για την εκπλήρωση των ανωτέρω περιγραφόμενων σκοπών επεξεργασίας. Όταν ολοκληρωθεί ο σκοπός επεξεργασίας των προσωπικών δεδομένων, τότε αυτά θα διαγράφονται, εκτός αν η διατήρησή τους είναι απαραίτητη για την εκπλήρωση νομικής υποχρέωσης ή για τη διασφάλιση εννόμων συμφερόντων της Εταιρείας, πάντοτε σύμφωνα με την εκάστοτε ισχύουσα νομοθεσία.

Το χρονικό διάστημα διατήρησης των ως άνω δεδομένων δε θα υπερβαίνει το αναγκαίο για την εκπλήρωση των ανωτέρω περιγραφόμενων σκοπών επεξεργασίας.

Ασφάλεια των προσωπικών δεδομένων

Στο πλαίσιο της ως άνω επεξεργασίας, τηρούνται, σύμφωνα με το οικείο νομικό πλαίσιο,  όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, για τη διασφάλιση του απορρήτου της επεξεργασίας τους και την προστασία τους από τυχαία ή αθέμιτη καταστροφή/απώλεια/αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλης μορφής μη επιτρεπτή – αθέμιτη επεξεργασία, καθώς και για την πρόληψη στο μέτρο του δυνατού περιστατικών παραβίασης λόγω κακόβουλων ενεργειών ή ακούσιας απώλειας, μη εξουσιοδοτημένης πρόσβασης ή χρήσης αυτών. Ενδεικτικά,  αναφέρεται ότι τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται σε ασφαλή τοποθεσία σε υποδομή της Εταιρείας. Επιπλέον, αναφορικά με το ενδεχόμενο παραβίασης του συστήματος της Εφαρμογής, η Εταιρεία εφαρμόζει επαρκείς διαδικασίες για τη διασφάλιση της ορθής διαχείρισης τέτοιων περιστατικών και την αποτελεσματική αντιμετώπιση του κινδύνου.

Τα δικαιώματά σας ως υποκειμένου των δεδομένων

Η Εταιρεία υποχρεούται βάσει του Γενικού Κανονισμού για την Προστασία Προσωπικών Δεδομένων (ΓΚΠΔ) να διασφαλίζει την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων, διευκολύνοντας την άσκησή τους με συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή. Αναφορικά  με τα προσωπικά δεδομένα σας που υποβάλλονται στην ανωτέρω περιγραφόμενη επεξεργασία, έχετε τα ακόλουθα δικαιώματα:

Δικαίωμα ενημέρωσης & πρόσβασης (άρθρα 12 – 15 του ΓΚΠΔ): Έχετε δικαίωμα να ενημερωθείτε και να έχετε πρόσβαση στα δεδομένα που σας αφορούν, καθώς και να λαμβάνετε συμπληρωματικές πληροφορίες σχετικά με την επεξεργασία τους.

Δικαίωμα διόρθωσης (άρθρο 16 του ΓΚΠΔ): Έχετε δικαίωμα να ζητήσετε τη διόρθωση, τροποποίηση, συμπλήρωση και επικαιροποίηση των δεδομένων σας, εφόσον αυτά είναι ανακριβή, ανεπίκαιρα ή ελλιπή.

Δικαίωμα διαγραφής (άρθρο 17 του ΓΚΠΔ): Έχετε δικαίωμα να ζητήσετε τη διαγραφή των τηρούμενων προσωπικών σας δεδομένων μόνο στο μέτρο που το εν λόγω δικαίωμα δεν υπόκειται σε περιορισμούς σύμφωνα με την ισχύουσα νομοθεσία ή τυχόν άλλους περιορισμούς.

Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18 του ΓΚΠΔ): Έχετε δικαίωμα να ζητήσετε τον περιορισμό της επεξεργασίας των προσωπικών σας δεδομένων όταν: (α) αμφισβητείται η ακρίβεια των προσωπικών δεδομένων και μέχρι να γίνει επαλήθευση, (β) η επεξεργασία είναι παράνομη και ζητάτε αντί διαγραφής τον περιορισμό χρήσης των προσωπικών σας δεδομένων, (γ) τα προσωπικά δεδομένα δεν χρειάζονται για τους σκοπούς επεξεργασίας, σας είναι ωστόσο απαραίτητα για τη θεμελίωση, άσκηση, υποστήριξη νομικών αξιώσεων, και (δ) εναντιώνεστε στην επεξεργασία και μέχρι να γίνει επαλήθευση ότι υπάρχουν νόμιμοι λόγοι που σας αφορούν και υπερισχύουν των λόγων για τους οποίους εναντιώνεστε στην επεξεργασία.

Δικαίωμα στη φορητότητα (άρθρο 20 του ΓΚΠΔ): Έχετε δικαίωμα να λάβετε χωρίς χρέωση τα προσωπικά σας δεδομένα σε μορφή που θα σας επιτρέπει να έχετε πρόσβαση σε αυτά, να τα χρησιμοποιήσετε και να τα επεξεργαστείτε, καθώς και να μας ζητήσετε, εφόσον είναι τεχνικά εφικτό, να διαβιβάσουμε τα δεδομένα σας απευθείας σε άλλον Υπεύθυνο Επεξεργασίας. Το εν λόγω δικαίωμα ισχύει για τα δεδομένα που μας έχετε παράσχει εσείς και η επεξεργασία τους διενεργείται με αυτοματοποιημένα μέσα με βάση της συγκατάθεσή σας ή σε εκτέλεση σχετικής σύμβασης.

Δικαίωμα εναντίωσης στην επεξεργασία (άρθρο 21 του ΓΚΠΔ): Έχετε δικαίωμα να εναντιωθείτε ανά πάσα στιγμή στην επεξεργασία των προσωπικών σας δεδομένων υπό συγκεκριμένες μόνο προϋποθέσεις που προβλέπονται στη νομοθεσία.

Δικαίωμα εναντίωσης στην αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ (άρθρο 22 του ΓΚΠΔ): Έχετε το δικαίωμα να εναντιωθείτε σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, όταν η απόφαση αυτή παράγει έννομα αποτελέσματα που σας αφορούν ή σας επηρεάζουν σημαντικά με παρόμοιο τρόπο. Η Εταιρεία δεν προβαίνει στην παρούσα χρονική περίοδο σε αυτοματοποιημένη ατομική λήψη αποφάσεων. Σε κάθε, όμως, περίπτωση και εφόσον στο μέλλον αποφασίσει να προχωρήσει σε αυτοματοποιημένη ατομική λήψη αποφάσεων, θα ενημερώσει σχετικά τα Υποκείμενα των Δεδομένων και θα τηρήσει όλες τις νόμιμες προϋποθέσεις.

Δικαίωμα στην ανάκληση της συγκατάθεσης (άρθρο 7 του ΓΚΠΔ): Έχετε δικαίωμα να ανακαλέσετε τη συγκατάθεσή σας, στο μέτρο που ελήφθη για τις σκοπούμενες επεξεργασίες, ανά πάσα στιγμή.

Δικαίωμα καταγγελίας στην αρμόδια αρχή: Στην περίπτωση που θεωρείτε πως: α) δεν ικανοποιήθηκε επαρκώς και νομίμως κάποιο αίτημά σας ή β) το δικαίωμα στην προστασία των προσωπικών σας δεδομένων προσβάλλεται από κάποια επεξεργασία που πραγματοποιούμε, έχετε δικαίωμα να υποβάλλετε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Υποβολή καταγγελίας στην Αρχή | Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα).

Επικοινωνία

Για οποιοδήποτε ζήτημα αναφορικά με τα ανωτέρω και για την άσκηση των ως άνω δικαιωμάτων σας ως υποκειμένου των  δεδομένων, μπορείτε να απευθύνεστε στον Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) του ΔΕΔΔΗΕ, στην ηλεκτρονική διεύθυνση dpo@deddie.gr ή στην ταχυδρομική διεύθυνση: Λ. Συγγρού 120, 11741, Αθήνα, υπόψιν Υπευθύνου Προστασίας Δεδομένων (DPO).