ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ (ΔΠΧ)

(Αναθεωρημένη Έκδοση: 5 Δεκεμβρίου 2024)

Η παρούσα Πολιτική παρουσιάζει τη δέσμευση της εταιρείας «Διεθνής Αερολιμένας Αθηνών Α.Ε.» («ΔΑΑ» ή «Εταιρεία») αναφορικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών τους δεδομένων κατά την άσκηση των θεσμικών, ή επιχειρησιακών λειτουργιών της, σε συμμόρφωση με τον Κανονισμό ΕΕ 2016/679 - Ευρωπαϊκός Γενικός Κανονισμός Προσωπικών Δεδομένων (ΓΚΠΔ) και την εθνική νομοθεσία. 

Το έγγραφο αυτό περιγράφει: 

(Α) Τις αρχές του Συστήματος Διαχείρισης Προσωπικών Δεδομένων του ΔΑΑ, 

(Β) Τις κύριες περιοχές επεξεργασίας προσωπικών δεδομένων από τον ΔΑΑ, 

(Γ) Χρήσιμες πληροφορίες αναφορικά με τα δικαιώματά σας σε σχέση με την επεξεργασία των προσωπικών σας δεδομένων και τις προϋποθέσεις ή περιορισμούς άσκησής τους, όπως έχουν τεθεί από τον νόμο.     

Ο ΔAA διατηρεί το δικαίωμα να αναθεωρεί την Πολιτική Προστασίας ΔΠΧ από καιρό σε καιρό προκειμένου να ανταποκρίνεται σε κανονιστικές κι επιχειρησιακές μεταβολές στην επεξεργασία ΔΠΧ.  

Η πιο πρόσφατη έκδοση είναι πάντα διαθέσιμη στον Ιστότοπό μας. 

Α. ΣΥΣΤΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΔΠΧ 

Υπεύθυνος Επεξεργασίας: 

ΔΙΕΘΝΗΣ ΑΕΡΟΛΙΜΕΝΑΣ ΑΘΗΝΩΝ Α.Ε.  

Κτίριο Διοίκησης (17) 
Τ.Κ. 190 19 
Σπάτα Αττικής 
Ελλάδα 

Υπεύθυνος Προστασίας Δεδομένων: 

Διευθυντής Κανονιστικής Συμμόρφωσης Προστασίας Δεδομένων & Δεοντολογίας 

Κτίριο Διοίκησης (17) 
Τ.Κ. 190 19 
Σπάτα Αττικής 
Ελλάδα 
Ηλεκτρονική Διεύθυνση: privacy@aia.gr 

Σημείωση: Στις περισσότερες περιπτώσεις ο ΔΑΑ επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ως Υπεύθυνος Επεξεργασίας Δεδομένων, διατηρώντας όλα τα δικαιώματα και τις υποχρεώσεις που προβλέπονται για την εν λόγω ιδιότητα βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ). Ωστόσο, υπάρχουν διεργασίες κατά τις οποίες ο ΔΑΑ ενεργεί ως Εκτελών την Επεξεργασία σε άλλους Υπεύθυνους Επεξεργασίας Δεδομένων (π.χ. αεροπορικές εταιρείες οι οποίες επιχειρούν στο αεροδρόμιο), όπως μπορεί να είναι απαραίτητο. Περισσότερες πληροφορίες παρέχονται στις αντίστοιχες Ενημερώσεις Επεξεργασίας ΔΠΧ, οι οποίες εκδίδονται ανά δραστηριότητα επεξεργασίας. 

ΑΡΧΕΣ 

Ο ΔΑΑ έχει δημιουργήσει ένα εύρωστο σύστημα διακυβέρνησης της πληροφορίας για την επεξεργασία των προσωπικών δεδομένων κατά τη διάρκεια των επιχειρησιακών/αεροδρομιακών και εταιρικών δραστηριοτήτων, υιοθετώντας τα κατάλληλα τεχνικά κι οργανωτικά μέτρα.  

Τα προσωπικά δεδομένα: 

  1. Υποβάλλονται σε σύννομη επεξεργασία, με θεμιτό και διαφανή τρόπο, 
  2. Συλλέγονται για καθορισμένους σκοπούς, 
  3. Ταξινομούνται, αποθηκεύονται για ορισμένη χρονική περίοδο και καταστρέφονται με ασφάλεια μετά τη λήξη της, 
  4. Είναι ακριβή και επικαιροποιούνται, όταν είναι αναγκαίο, 
  5. Καταγράφονται ώστε να είναι διαθέσιμα στα υποκείμενα καθώς και σε κάθε αρμόδια εποπτεύουσα Αρχή, 
  6. Τίθενται σε επεξεργασία τηρώντας τις αρχές της ακεραιότητας και εμπιστευτικότητας, ενώ παράλληλα διασφαλίζεται η διαθεσιμότητά τους, εφαρμόζοντας τα κατάλληλα τεχνικά μέτρα και ελέγχους πληροφορικής. 

Η κουλτούρα διασφάλισης της ιδιωτικότητας αναπτύσσεται με εκπαίδευση και ενημερωτικές καμπάνιες εντός ΔΑΑ, καθώς και προς τους επιχειρηματικούς μας εταίρους. 

Β. ΚΥΡΙΕΣ ΠΕΡΙΟΧΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΠΧ 

Β.1. Ασφάλεια Εγκαταστάσεων και Υπηρεσιών Αεροδρομίου 

  • Επιτήρηση χώρων (Σύστημα Κλειστού Κυκλώματος Βιντεοπιτήρησης με κάμερες σε όλη την έκταση του Αεροδρομίου), 

  • Ασφάλεια Αεροδρομίου & Έλεγχος Επιβατών, 

  • Ασφάλεια Αεροπορικών Μεταφορών & Καταγραφή Συμβάντων, 

  • Διαχείριση επικοινωνίας έκτακτης ανάγκης, 

  • Έκδοση κάρτας εισόδου Αεροδρομίου στο προσωπικό της Αεροδρομιακής Κοινότητας, 

  • Έλεγχος φυσικής πρόσβασης για εργαζόμενους και επισκέπτες, 

  • Καταγραφή επικοινωνιών στο τηλεφωνικό κέντρο Αεροδρομίου, 

  • Εποπτεία δικτύου (IP) Αεροδρομίου. 

Β.2. Υποστήριξη Αεροδρoμιακών Λειτουργιών – Παροχή Υπηρεσιών 

  • Υποδομή Αεροδρομίου και συνδεόμενα συστήματα για τη διαχείριση επιβατών (π.χ. αυτόματος έλεγχος καρτών επιβίβασης, σύστημα διαχωρισμού αποσκευών κ.α.), 

  • Διοίκηση Αεροδρομίου, 

  • Παροχή εκπαίδευσης σε φορείς της Αεροδρομιακής Κοινότητας, 

  • Συνδρομή σε επιβάτες με μειωμένη κινητικότητα (PRM), 

  • Λειτουργία Εγκαταστάσεων στάθμευσης  Αεροδρομίου, περιλαμβανομένου του συστήματος ηλεκτρονικής κράτησης και του συστήματος ελεγχόμενης επίγειας προσπέλασης στον Αεροσταθμό,  

  • Σύστημα ανακοινώσεων Αεροδρομίου, 

  • Διαχείριση σχολίων και ερωτήσεων, 

  • Εταιρική Ιστοσελίδα & Επικοινωνία (π.χ. μάρκετινγκ, ενημερωτικά δελτία, καμπάνιες και διαχείριση Μέσων Κοινωνικής Δικτύωσης), 

  • Σύστημα Wi-Fi Αεροδρομίου και άλλες εφαρμογές κινητών συσκευών, 

  • Διοργάνωση ξεναγήσεων στο Αεροδρόμιο

Β.3. Εταιρικές Διεργασίες 

  • Εργασιακές Σχέσεις, 

  • Διαχείριση εγγράφων και βάσεων δεδομένων, 

  • Διαχείριση διαγωνισμών και συμβάσεων, 

  • Διαχείριση λογιστηρίου και απαιτήσεων, 

  • Διεπιχειρησιακές συνεργασίες, 

  • Διαχείριση Επενδυτικών σχέσεων, 

  • Διαχείριση αιτημάτων υποκειμένων ΔΠΧ, 

  • Διαχείριση κι εξέταση Αναφορών Whistleblowing 

  • Σχέσεις με την τοπική κοινωνία. 

Β.4. Σκοπός Επεξεργασίας 

Ο ΔΑΑ επεξεργάζεται τα αναγκαία και συναφή, με την εκάστοτε διεργασία, προσωπικά δεδομένα, ώστε να: 

  1. Εκπληρώνει κανονιστικές υποχρεώσεις σχετικά με την ασφάλεια στην πολιτική αεροπορία, 
  2. Παρέχει αεροδρομιακές υπηρεσίες σε επιβάτες και πελάτες, 
  3. Παρέχει ηλεκτρονική πληροφόρηση, επικοινωνία κι υπηρεσίες, 
  4. Διαχειρίζεται τις σχέσεις με τους συνεργάτες της, 
  5. Αναλύει και παρουσιάζει αναφορές για την επίδοση εταιρικών συστημάτων και διεργασιών. 

Στο πλαίσιο κάθε δραστηριότητας επεξεργασίας ο ΔΑΑ ενημερώνει τα εμπλεκόμενα φυσικά πρόσωπα για όλο τον κύκλο ζωής των προσωπικών δεδομένων. 

Προσωπικά δεδομένα συλλέγονται από διάφορες πηγές: 

  1. Κατά τη διάρκεια των διαδικασιών αναχώρησης/άφιξης και παρουσίας στο αεροδρόμιο, 
  2. Όταν παρέχονται από το υποκείμενο, όταν αποτελεί προϋπόθεση για την παροχή της υπηρεσίας ή παρέχεται εθελοντικά στη βάση επικοινωνίας του προσώπου με εκπρόσωπο του Αεροδρομίου, 
  3. Κατά την πρόσβαση σε εφαρμογές κινητών συσκευών, κατά την πλοήγηση στην εταιρική Ιστοσελίδα, 
  4. Από κρατικές αρχές ή/ και άλλους οργανισμούς που επικοινωνούν δεδομένα για τον σκοπό εκπλήρωσης άσκησης δημόσιας εξουσίας ή για τα έννομα επιχειρηματικά συμφέροντα. 

Β.5. Ασφάλεια Επεξεργασίας 

Ο ΔΑΑ αναγνωρίζει και σέβεται τη σημασία της ιδιωτικότητας των δεδομένων των υποκειμένων και δεσμεύεται να διασφαλίζει τη διαθεσιμότητα, ακεραιότητα και εμπιστευτικότητα των προσωπικών δεδομένων που υπόκεινται σε επεξεργασία. Στόχος είναι η προστασία των δεδομένων από μη εξουσιοδοτημένη πρόσβαση, παράνομη επεξεργασία, κακή χρήση, αλλοίωση, τυχαία απώλεια, καταστροφή ή ζημία. Στο πλαίσιο αυτό, μια σειρά από εταιρικές πολιτικές και διαδικασίες παρέχουν συγκεκριμένη καθοδήγηση και προωθούν την ευαισθητοποίηση σχετικά με την ασφάλεια σε όλες τις επιχειρησιακές και εταιρικές διεργασίες. 

Έχουν εφαρμοστεί οργανωτικά και τεχνικά μέτρα για τη διασφάλιση όλων των φυσικών και ηλεκτρονικών βάσεων δεδομένων. Όλα τα δεδομένα ταξινομούνται και διατηρούνται για προκαθορισμένες χρονικές περιόδους, όπως ορίζονται από εταιρικά έγγραφα και την πολιτική διατήρησης αρχείων. Το προσωπικό μας είναι κατάλληλα εκπαιδευμένο ως προς την υπεύθυνη επεξεργασία δεδομένων, ενώ υπάρχει περιορισμένη πρόσβαση στους αποθήκευση. Τα τεχνικά μέτρα μπορεί να περιλαμβάνουν τείχη προστασίας (firewalls), συστήματα εντοπισμού και πρόληψης εισβολής, μοναδικούς και πολύπλοκους κωδικούς πρόσβασης και κρυπτογράφηση. 

Β.6. Διαβίβαση Δεδομένων 

Διαβιβάζουμε προσωπικά δεδομένα σε δημόσιες αρχές και σε επιλεγμένους επιχειρηματικούς εταίρους που επεξεργάζονται δεδομένα από κοινού, ή για λογαριασμό μας. Στο πλαίσιο συμφωνιών επεξεργασίας δεδομένων παρέχονται επαρκείς εγγυήσεις σχετικά με την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε η επεξεργασία να πληροί τις προϋποθέσεις του ΓΚΠΔ και να διασφαλίζονται τα δικαιώματα των υποκειμένων των δεδομένων. Σε ορισμένες περιπτώσεις, κυρίως για σκοπούς αποθήκευσης ηλεκτρονικών αρχείων (σε νέφος-cloud) δεδομένα δύναται να μεταφερθούν εκτός ΕΕ, στη βάση συμβατικών ρητρών που εγγυώνται ότι η εν λόγω επεξεργασία πραγματοποιείται σε συμμόρφωση με τις απαιτήσεις του ΓΚΠΔ.

Γ. ΔΙΚΑΙΩΜΑΤΑ ΚΑΙ ΕΠΙΛΟΓΕΣ ΥΠΟΚΕΙΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ 

Ο ΔΑΑ παρέχει στα υποκείμενα των δεδομένων την επιλογή να ανακαλέσουν προηγούμενη συναίνεσή τους, για δράσεις διαφήμισης του ΔΑΑ, τροποποιώντας τις επιλογές τους για τη λήψη διαφημιστικής και προωθητικής επικοινωνίας του Αεροδρομίου. Επιπλέον, στις περιπτώσεις όπου τα υποκείμενα δημιουργούν προσωπικούς λογαριασμούς για τη διαχείριση πληροφοριών που παρέχουν στον ΔΑΑ (π.χ. Βιογραφικό Σημείωμα), ο ΔΑΑ παρέχει στα υποκείμενα τη δυνατότητα πρόσβασης στα δεδομένα για διορθώσεις και διαγραφές τόσο στην ίδια την πληροφορία όσο και στη λειτουργία του προσωπικού τους λογαριασμού. 

Τα υποκείμενα δεδομένων που επιθυμούν να ασκήσουν τα δικαιώματά τους, όπως προβλέπεται από τον ΓΚΠΔ, καλούνται να επικοινωνήσουν με τον Υπεύθυνο Προστασίας Δεδομένων του ΔΑΑ – όπως αναφέρεται παραπάνω στην παρούσα Πολιτική - ο οποίος με επιμέλεια χειρίζεται κάθε αίτημα. Η άσκηση των παραπάνω δικαιωμάτων υπόκειται σε ισχύοντες ρυθμιστικούς ή επιχειρησιακούς περιορισμούς που ενδέχεται να αντιμετωπίζει ο ΔΑΑ. 

Γ.1. Δικαίωμα πρόσβασης: 

Αφορά στην πρόσβαση των δεδομένων από τα υποκείμενα αυτών μαζί με πληροφόρηση για: 

  • Το σκοπό επεξεργασίας, 

  • Τις κατηγορίες των δεδομένων που τίθενται σε επεξεργασία, 

  • Τους παραλήπτες στους οποίου επικοινωνούνται τα δεδομένα, εντός και εκτός ΕΕ, 

  • Το χρόνο διατήρησης των δεδομένων, 

  • Πηγές συλλογής, εφόσον τα δεδομένα δε δόθηκαν από το υποκείμενο. 

  • Τυχόν διαβίβαση δεδομένων εκτός ΕΕ 

  • Τυχόν λήψη απόφασης με αυτοματοποιημένο τρόπο και κατάρτιση προφίλ 

  • Την υποβολή καταγγελίας σε εποπτεύουσα Αρχή 

Γ.2. Δικαίωμα διόρθωσης: 

Αφορά στη διόρθωση ανακριβών/ ελλιπών προσωπικών δεδομένων. 

Γ.3. Δικαίωμα διαγραφής: 

Έχετε το δικαίωμα να υποβάλετε αίτημα για τη διαγραφή των προσωπικών σας δεδομένων και το αίτημα αυτό θα γίνει δεκτό εφόσον δεν υπάρχουν άλλοι νομικοί λόγοι επεξεργασίας (όπως, ενδεικτικά, η συμμόρφωση με νομική υποχρέωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα). 

Γ.4. Δικαίωμα περιορισμού της επεξεργασίας: 

Αφορά το δικαίωμα να ζητήσετε τον περιορισμό της επεξεργασίας των προσωπικών σας δεδομένων στις ακόλουθες περιπτώσεις: (α) όταν αμφισβητείτε την ακρίβεια των προσωπικών σας δεδομένων και εν αναμονή της επαλήθευσης της ακρίβειας των δεδομένων σας. (β) όταν αντιτίθεστε στη διαγραφή των προσωπικών σας δεδομένων και αντ' αυτού ζητάτε τον περιορισμό της χρήσης τους· (γ) όταν τα προσωπικά σας δεδομένα δεν χρειάζονται πλέον για τους σκοπούς της επεξεργασίας, αλλά απαιτούνται από εσάς για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων, και (δ) όταν έχετε αντιταχθεί στην επεξεργασία και σε εκκρεμή επαλήθευση ότι οι νόμιμοι λόγοι επεξεργασίας μας υπερισχύουν εκείνων για τους οποίους αντιτίθεστε στην επεξεργασία. 

Γ.5. Δικαίωμα στη φορητότητα: 

Ισχύει υπό συγκεκριμένες συνθήκες και μόνο όπου αυτό είναι τεχνικά εφικτό και αναφέρεται στη διαβίβαση ΔΠΧ σε άλλο Υπεύθυνο Επεξεργασίας σε δομημένο, ευρέως χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο. 

Γ.6. Δικαίωμα εναντίωσης της επεξεργασίας: 

Ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα των οποίων η επεξεργασία βασίζεται στη νομική βάση του άρθρου 6 παράγραφος 1 στοιχείο ε) ή στ) ΓΚΠΔ και η εν λόγω εναντίωση θα γίνει δεκτή εκτός εάν η Εταιρεία αποδείξει επιτακτικούς νόμιμους λόγους για την επεξεργασία. 

Γ.7. Δικαίωμα εναντίωσης στην αυτοματοποιημένη λήψη αποφάσεων 

Έχετε το δικαίωμα να ζητήσετε να εξαιρεθείτε από τη λήψη αποφάσεων που βασίζεται σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της δημιουργίας προφίλ. 

Γ.8. Δικαίωμα υποβολής καταγγελίας στην αρμόδια Αρχή 

Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να υποβάλουν καταγγελία στην Αρχή Προστασίας Δεδομένων (ΑΠΔΠΧ) στη διεύθυνση www.dpa.gr, αν θεωρούν ότι η επεξεργασία των προσωπικών τους δεδομένων από τον ΔΑΑ παραβιάζει τον ΓΚΠΔ. Επιπλέον, τα υποκείμενα των δεδομένων έχουν το δικαίωμα δικαστικής προσφυγής, σε περίπτωση που πιστεύουν ότι τα δικαιώματά τους βάσει του ΓΚΠΔ.