Προσωπικά δεδομένα

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Version 2 (November 2024)

1. Σκοπός της Πολιτικής

Η Εταιρία με την επωνυμία «PLΑG N’ PAY ίδρυμα πληρωμών ΑΕ» (εφεξής PLΑG N’ PAY) είναι ανώνυμη εταιρία που εδρεύει στον Πειραιά, επί της οδού Ναυαρίνου 21, με ΑΦΜ:801669819 , Δ.Ο.Υ.: Πειραιά και αριθμό Γ.Ε.Μ.Η.:161185207000, ιστοσελίδα: https://www.plagnpay.gr, η οποία έχει λάβει άδεια λειτουργίας από την Τράπεζα της Ελλάδος να λειτουργεί ως ίδρυμα πληρωμών. H συμμόρφωση της εταιρίας με το νομικό και κανονιστικό πλαίσιο για την προστασία των προσωπικών δεδομένων συνιστά βασική προτεραιότητα της. Για το σκοπό αυτό έχει σχεδιάσει και θέσει σε εφαρμογή την παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων, η οποία περιλαμβάνει τους βασικούς κανόνες για τη διασφάλιση της σύννομης επεξεργασίας των προσωπικών δεδομένων τα οποία επεξεργάζεται, σύμφωνα με το ισχύον νομοθετικό πλαίσιο.

2. Υπεύθυνος επεξεργασίας

Η  «PLΑG N’ PAY ίδρυμα πληρωμών ΑΕ» ενεργεί σαν Υπεύθυνος Επεξεργασίας για όλα τα προσωπικά δεδομένα που συλλέγει, υποβάλλει σε επεξεργασία και αποθηκεύει.

3. Κατηγορίες των προσωπικών δεδομένων που επεξεργαζόμαστε

Οι κατηγορίες προσωπικών δεδομένων που η  «PLΑG N’ PAY» επεξεργάζεται περιλαμβάνουν τα ακόλουθα:

- Προσωπικά στοιχεία ταυτοποίησης, όπως όνομά, διεύθυνση κατοικίας ή/και επιχείρησης, διεύθυνση e-mail, αριθμός τηλεφώνου, ημερομηνία γέννησης, φύλο, χώρα υπηκοότητας και αριθμοί ταυτοποίησης (π.χ., εθνικός αριθμός ταυτότητας ) και/ή στοιχεία εθνικής ταυτότητας).
- Στοιχεία συναλλαγών και οικονομικών στοιχείων, όπως δεδομένα μεταφοράς χρημάτων που σχετίζονται με τον αποστολέα και τον παραλήπτη, στοιχεία πληρωμής λογαριασμών, καθώς και τραπεζικές και πιστωτικές πληροφορίες.Τα προσωπικά δεδομένα συλλέγονται είτε απευθείας από τον πελάτη/ενδιαφερόμενο ή από τον συνεργάτη/ χρήστη των υπηρεσιών ή από άλλα άτομα ή οργανισμούς όπως: αποστολείς μεταφοράς χρημάτων, τρίτους προμηθευτές, πράκτορες ή συνεργάτες.

4. Νομική βάση συλλογής και επεξεργασίας των δεδομένων

H επεξεργασία προσωπικών δεδομένων είναι σύννομη μόνον εάν βασίζεται στον νόμο και είναι απαραίτητη για την εκτέλεση των συναλλαγών και την παροχή των υπηρεσιών προς τον πελάτη/καταναλωτή. Οι νομικές βάσεις επεξεργασίας βάσει των οποίων η «PLΑG N’ PAY» επεξεργαζεται τα δεδομένα είναι οι ακόλουθες:

- Η σύναψη και εκτέλεση σύμβασης  μεταξύ της Εταιρίας και των πελατών της ή των Αντιπροσώπων της.
- Η συμμόρφωση της Εταιρίας με τις νομοθετικές και κανονιστικές υποχρεώσεις της, που προκύπτουν από τα ισχύον νομοθετικό πλαίσιο.
- Η άσκηση δικαιωμάτων και η εκπλήρωση νομίμων υποχρεώσεων  τόσο των πελατών, αντιπροσώπων και συνεργατών όσο και της «PLΑG N΄ PAY
- Η συγκατάθεση που παρέχουν τα υποκείμενα των δεδομένων (πελάτες, συνεργάτες, υπάλληλοι). Πριν από την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά για τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία, τον υπεύθυνο επεξεργασίας, την προβλεπόμενη διάρκεια αυτής και τους συνήθεις αποδέκτες των δεδομένων. Το υποκείμενο των δεδομένων ενημερώνεται, επίσης, για τις κατά νόμο συνέπειες της συγκατάθεσης ή της μη παροχής της, καθώς και για το δικαίωμα ανάκλησης αυτής. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της.

5. Αποδέκτες των προσωπικών δεδομένων

Τα προσωπικά δεδομένα που επεξεργάζεται η «PLAG N’ PAY» δύνανται να διαβιβάζονται ή κοινοποιούνται σε τρίτους μόνο όταν αυτό είναι απολύτως απαραίτητο για την εκτέλεση της υπηρεσίας και για την εκπλήρωση των υποχρεώσεων της «PLAG N΄PAY». Αποδέκτες των δεδομένων δύνανται να είναι:
Oι εξουσιοδοτημένοι εργαζόμενοι της Εταιρίας, στα πλαίσια εκτέλεσης των καθηκόντων τους από τη θέση εργασίας τους.
Oι αντιπρόσωποι της «PLAG N΄PAY», οι οποίοι διευκολύνουν την πραγματοποίηση των συναλλαγών. Στην περίπτωση αυτή η “ PLAG N΄PAY» εξακολουθεί να είναι Υπεύθυνος Επεξεργασίας των δεδομένων και έχει δεσμεύσει το δίκτυο των αντιπροσώπων της με Σύμβαση Εκτέλεσης Επεξεργασίας των δεδομένων, στην οποία καθορίζονται λεπτομερώς όλα τα επιμέρους στοιχεία επεξεργασίας, εξασφαλίζοντας έτσι τη συμμόρφωση τους με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων και της ευρύτερης σχετικής εθνικής και ευρωπαϊκής νομοθεσίας.
Οι πάροχοι πληρωμών, τραπεζικοί συνεργάτες και ρυθμιστικές, οικονομικές ή άλλες κρατικές αρχές, δημόσιοι φορείς και δικαστήρια, όταν αυτό απαιτείται από τον νόμο ή το κανονιστικό και ρυθμιστικό πλαίσιο.

6. Διεθνείς διαβιβάσεις Δεδομένων

Εφόσον απαιτείται από τη φύση της συναλλαγής, τα δεδομένα των πελατών των υπηρεσιών ή/και των Αντιπροσώπων μας ενδέχεται να διαβιβαστούν σε χώρες ή οργανισμούς εκτός του Ευρωπαϊκού Οικονομικού Χώρου.
Ως βάση νομιμότητας της διεθνούς διαβίβασης λαμβάνονται οι αποφάσεις επάρκειας (άρθρο 45 ΓΚΠΔ) και σε περίπτωση έλλειψης τέτοιας απόφασης, παρέχονται οι κατάλληλες εγγυήσεις μέσω κάποιου από τα εργαλεία διαβίβασης που προβλέπονται στο άρθρο 46 ΓΚΠΔ όπως εκάστοτε ισχύει (Δεσμευτικοί Εταιρικοί Κανόνες – BCR, τυποποιημένες συμβατικές ρήτρες, εγκεκριμένος κώδικας δεοντολογίας, κ.λπ.).

7. Δικαιώματα υποκειμένων των δεδομένων

Τα υποκείμενα των δεδομένων μπορούν να ασκήσουν τα κάτωθι δικαιώματα αναφορικά με την επεξεργασία των δεδομένων τους από την «Plag N΄ Pay»
α) Δικαίωμα ενημέρωσης και διαφάνεια : Είναι το δικαίωμα του υποκειμένου των δεδομένων να γνωρίζει ποιος επεξεργάζεται τα δεδομένα του, ποιά είναι αυτά και για ποιόν λόγο.
β) Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων : Το υποκείμενο των δεδομένων μπορεί να ζητήσει δωρεάν πρόσβαση στα προσωπικά του δεδομένα που διαθέτει η «Plag N’ Pay»
γ) Δικαίωμα διόρθωσης : Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει την διόρθωση ανακριβών προσωπικών δεδομένων και την συμπλήρωση ελλιπών στοιχείων.
δ) Δικαίωμα διαγραφής («δικαίωμα στη λήθη») : Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τη διαγραφή των προσωπικών του δεδομένων, υπό ορισμένες προϋποθέσεις, όπως όταν τα δεδομένα δεν είναι πλέον απαραίτητα, έχει ανακαλέσει τη συγκατάθεσή του, τα δεδομένα έχουν υποβληθεί σε παράνομη επεξεργασία, κ.ο.κ.
ε) Δικαίωμα περιορισμού της επεξεργασίας : Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τον περιορισμό της επεξεργασίας των προσωπικών του δεδομένων όταν αμφισβητείται η ακρίβειά τους, η επεξεργασία είναι παράνομη, τα δεδομένα δεν χρειάζονται πλέον στον υπεύθυνο επεξεργασίας, ή έχει αντιρρήσεις ως προς την αυτοματοποιημένη επεξεργασία.
στ) Δικαίωμα στη φορητότητα των δεδομένων : Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τη μεταφορά των δεδομένων σε άλλον υπεύθυνο επεξεργασίας.
ζ) Δικαίωμα εναντίωσης : Το υποκείμενο των δεδομένων έχει το δικαίωμα εναντιωθεί στην επεξεργασία προσωπικών του δεδομένων, υπό την προϋπόθεση ότι δεν θίγεται το δημόσιο συμφέρον.
η) Δικαίωμα στη μη αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ: Το υποκείμενο των δεδομένων έχει το δικαίωμα να προβάλλει αντιρρήσεις όταν μια απόφαση που το αφορά βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και η απόφαση αυτή παράγει έννομα αποτελέσματα ή το επηρεάζει σημαντικά.

8. Xρονικό διάστημα διατήρησης δεδομένων

Το χρονικό διάστημα διατήρησης των δεδομένων ορίζεται κατά κύριο λόγο από τις απαιτήσεις του εκάστοτε νομοθετικού και κανονιστικού πλαισίου που διέπει την λειτουργία των ιδρυμάτων πληρωμών αλλά και την γενικότερη νομοθεσία που ρυθμίζει τις οικονομικές συναλλαγές εν γένει. Ειδικότερα, τα δεδομένα των οικονομικών συναλλαγών τηρούνται για πέντε χρόνια από την ημερομηνία της συναλλαγής, εκτός αν επιτρέπεται ή επιβάλλεται από άλλη διάταξη νόμου ή κανονιστική απόφαση η τήρησή τους για μακρότερο χρονικό διάστημα, το οποίο όμως δεν μπορεί να υπερβαίνει τη δεκαετία. Τα αρχεία που περιέχουν τα αντίστοιχα δικαιώματα και τις υποχρεώσεις της «PLAG Ν’ PAY» και του πελάτη βάσει συμφωνίας παροχής υπηρεσιών ή τους όρους υπό τους οποίους η «PLAG N’ PAY» παρέχει υπηρεσίες στον πελάτη, διατηρούνται τουλάχιστον καθ΄ όλη τη διάρκεια της σχέσης με τον πελάτη. Τα δεδομένα που συλλέγονται μέσω της φόρμας επικοινωνίας της ιστοσελίδας της Εταιρίας, τηρούνται μέχρι την αποστολή του απάντησης στον ενδιαφερόμενο.

9. Τεχνικά και οργανωτικά μέτρα προστασίας των προσωπικών δεδομένων

H «PLAG N’ PAY» εφαρμόζει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίσει ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Τα κυριότερα μέτρα συνίστανται από τα εξής:

α) Η «PLAG N΄ PAY» διαθέτει εργαλείο παρακολούθησης των συναλλαγών που πραγματοποιούνται μέσω του συστήματός της με σκοπό να ελέγχει ύποπτες συναλλαγές και να εντοπίζει τυχόν σφάλματα ή ασυνέπειες δεδομένων. Το εργαλείο αυτό διαθέτει συγκεκριμένα φίλτρα παρακολούθησης κινήσεων, ενώ επίσης τηρεί αρχεία καταγραφών (log files) ώστε να είναι δυνατή η διερεύνηση οποιουδήποτε συμβάντος ασφαλείας. Μόνο ο AML Officer της «PLAG N΄ PAY» μπορεί να χειρίζεται το εργαλείο αυτό, υπό το πρίσμα των αρμοδιοτήτων του για τον έλεγχο και την εύρεση των παραβάσεων. Επιπρόσθετα, το εργαλείο παρακολούθησης εμφανίζει αυτόματα ειδοποιήσεις στον εκάστοτε χρήστη του σχετικά με παραβιάσεις ασφαλείας του συστήματος.

β) H «PLAG N΄ PAY» διαθέτει ιδιόκτητους διακομιστές δεδομένων (data servers) στην Αθήνα και στη Θεσσαλονίκη, στους οποίους στηρίζεται το ηλεκτρονικό σύστημα πληροφορικής της. Οι διακομιστές διαθέτουν μηχανισμούς κρυπτογράφησης των δεδομένων που τηρούνται εκεί, ενώ πρόσβαση διαθέτει μόνο ο Υπεύθυνος Πληροφοριακών Συστημάτων που έχει ορίσει η «PLAG N’ PAY».

γ) H «PLAG N΄ PAY» έχει μεριμνήσει για την ύπαρξη εφεδρικών συστημάτων στις εγκαταστάσεις της στη Θεσσαλονίκη.

δ) H «PLAG N΄ PAY» έχει εγκαταστήσει σύστημα πληροφορικής το οποίο χρησιμοποιεί διαδικασία διπλής αυθεντικοποίησης [Two-factor authentication (2FA)] με σκοπό την αυθεντικοποίηση του χρήστη και την διεκπεραίωση της εκάστοτε συναλλαγής. Επιπρόσθετα, το σύστημα πληροφορικής διαθέτει ενσωματωμένους μηχανισμούς κρυπτογράφησης δεδομένων, για να διατηρήσει τα τελευταία ασφαλή και εμπιστευτικά.

ε) H «PLAG N’ PAY» έχει υπογράψει συμβάσεις με όλους τους συνεργάτες, αντιπροσώπους κλπ που έχουν την ιδιότητα του εκτελούντος την επεξεργασία στις οποίες προβλέπονται όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα που οφείλουν να εφαρμόζουν οι τελευταίοι αλλά και ο τρόπος επιθεώρησής τους από την «PLAG N΄ PAY».

10. Υπεύθυνος προστασίας δεδομένων

Για αιτήματα, παράπονα και όλα τα εν γένει θέματα που αφορούν την επεξεργασία και γενικότερα τη διαχείριση προσωπικών δεδομένων των υποκειμένων από την «PLAG N΄PAY» έχει οριστεί Υπεύθυνος Προστασίας Δεδομένων με στοιχεία επικοινωνίας : email : backoffice@plagnpay.gr τηλ 2114185768

11. Επικαιροποίηση Πολιτικής

Η παρούσα Πολιτική θα επικαιροποιείται όταν αυτό κρίνεται αναγκαίο λόγω μεταβολών στην νομοθεσία περί προσωπικών δεδομένων ή μεταβολών στην λειτουργία και την οργάνωση της «PLAG N΄PAY».