Πολιτική Απορρήτου

Η εταιρεία με την επωνυμία «DERB-E Ομόρρυθμη Εταιρεία», με διακριτικό τίτλο «DERB-E», Α.Φ.Μ. 803071669, αριθμό Γ.Ε.ΜΗ. 188697203000 και έδρα στην Αθήνα, οδό 25ης Μαρτίου 32Α (εφεξής η «Εταιρεία»), μέσω της παρούσας Πολιτικής Απορρήτου (εφεξής η «Πολιτική») ενημερώνει τους χρήστες του διαδικτυακού της ιστότοπου (https://derb-e.gr) και της διαδικτυακής πλατφόρμας κράτησης αθλητικών εγκαταστάσεων που διαθέτει (εφεξής η «Πλατφόρμα») σχετικά με τους σκοπούς, τη νομική βάση και τα μέσα με τα οποία επεξεργάζεται τα προσωπικά τους δεδομένα.

Η Εταιρεία αποδίδει ιδιαίτερη σημασία στην προστασία της ιδιωτικότητας και των προσωπικών δεδομένων των φυσικών προσώπων με τα οποία συναλλάσσεται και, με σκοπό την παροχή διαφανούς ενημέρωσης, δημοσιεύει την παρούσα Πολιτική στην Πλατφόρμα.

Η Πολιτική έχει καταρτισθεί σύμφωνα με το ισχύον εθνικό και ενωσιακό πλαίσιο, και ιδίως τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΕΕ) 2016/679 (εφεξής ο «GDPR» ή «Κανονισμός») και τον Ν. 4624/2019, όπως εκάστοτε ισχύουν.

Σκοπός της Πολιτικής είναι να αποσαφηνίσει τις βασικές αρχές που ακολουθεί η Εταιρεία κατά την επεξεργασία προσωπικών δεδομένων, να περιγράψει τις κύριες κατηγορίες πράξεων επεξεργασίας που διενεργούνται στο πλαίσιο λειτουργίας της Πλατφόρμας και να ενημερώσει τα υποκείμενα των δεδομένων για τα δικαιώματά τους και τον τρόπο άσκησής τους.

Για τους σκοπούς της παρούσας Πολιτικής:

• α) ως «Προσωπικά Δεδομένα» νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
• β) ως «Επεξεργασία» νοείται κάθε πράξη ή σειρά πράξεων επί προσωπικών δεδομένων, με ή χωρίς αυτοματοποιημένα μέσα, όπως ενδεικτικά συλλογή, καταγραφή, οργάνωση, αποθήκευση, χρήση, γνωστοποίηση με διαβίβαση, διαγραφή ή καταστροφή.
• γ) ως «Υπεύθυνος Επεξεργασίας» νοείται το πρόσωπο που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας.
• δ) ως «Εκτελών την επεξεργασία» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
• ε) ως «Αποδέκτης» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι.
• στ) ως «Τρίτος» νοείται οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
• ζ) ως «Συγκατάθεση» του υποκειμένου των δεδομένων νοείται κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
• η) ως «Παραβίαση Προσωπικών Δεδομένων» νοείται η παραβίαση ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση σε προσωπικά δεδομένα.

Η Εταιρεία επεξεργάζεται προσωπικά δεδομένα σύμφωνα με τις αρχές του GDPR. Ειδικότερα, επιδιώκει η επεξεργασία:

• να είναι νόμιμη και διαφανής έναντι του υποκειμένου,
• να διενεργείται για καθορισμένους και θεμιτούς σκοπούς,
• να περιορίζεται στα απολύτως απαραίτητα, κατάλληλα και συναφή δεδομένα για την εκάστοτε λειτουργία της Πλατφόρμας,
• να διατηρείται η ακρίβεια των δεδομένων και να εξασφαλίζεται η επικαιροποίησή τους από την Εταιρεία,
• να διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας,
• να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων.

Κατά τη δημιουργία λογαριασμού και τη χρήση της Πλατφόρμας, η Εταιρεία συλλέγει και επεξεργάζεται τα δεδομένα που είναι αναγκαία για την παροχή των υπηρεσιών ηλεκτρονικής κράτησης αθλητικών εγκαταστάσεων. Τα δεδομένα αυτά μπορεί να περιλαμβάνουν, ανά περίπτωση, (α) ονοματεπώνυμο, (β) διεύθυνση ηλεκτρονικού ταχυδρομείου (email), (γ) αριθμό τηλεφώνου και (δ) διαπιστευτήρια σύνδεσης, καθώς και δεδομένα που παράγονται στο πλαίσιο της λειτουργίας της Πλατφόρμας, όπως στοιχεία κράτησης και τεχνικά δεδομένα.

Η επεξεργασία των προσωπικών δεδομένων για τη δημιουργία λογαριασμού, τη διαχείριση κρατήσεων και τη χρήση της Πλατφόρμας βασίζεται στο άρθρο 6 παρ. 1 περ. β΄ του GDPR (εκτέλεση σύμβασης). Η σύμβαση συνάπτεται κατά την αποδοχή των Όρων Χρήσης και τη δημιουργία λογαριασμού.

Σκοπός της συλλογής και επεξεργασίας των ανωτέρω δεδομένων είναι η δημιουργία και διαχείριση λογαριασμού χρήστη, η διεκπεραίωση κρατήσεων, η διαχείριση πληρωμών και η επικοινωνία με τους χρήστες.

Για να είναι εφικτή η ολοκλήρωση και η ορθή εκτέλεση μιας κράτησης, η Εταιρεία οφείλει να γνωστοποιεί στον εκάστοτε ιδιοκτήτη/διαχειριστή της αθλητικής εγκατάστασης (εφεξής ο «Πάροχος Γηπέδου») τα απολύτως αναγκαία στοιχεία που σχετίζονται με την κράτηση. Κατά κανόνα, τα στοιχεία αυτά περιλαμβάνουν το ονοματεπώνυμο του χρήστη, τον αριθμό τηλεφώνου, τη διεύθυνση email, τον αριθμό παικτών της κράτησης, καθώς και την ημερομηνία και ώρα κράτησης. Η διαβίβαση πραγματοποιείται αποκλειστικά για τον σκοπό της επιβεβαίωσης, οργάνωσης και παροχής της υπηρεσίας χρήσης του γηπέδου, και στηρίζεται στη νομική βάση της εκτέλεσης της σύμβασης (άρθρο 6 παρ. 1 β΄ GDPR).

Οι Πάροχοι Γηπέδων λαμβάνουν τα ανωτέρω δεδομένα προκειμένου να εξυπηρετήσουν την κράτηση και ενδέχεται να τα τηρούν ή/και να τα επεξεργάζονται περαιτέρω στο πλαίσιο της δικής τους επιχειρηματικής λειτουργίας. Ως προς τις πράξεις επεξεργασίας που διενεργούν οι ίδιοι μετά τη λήψη των στοιχείων κράτησης, οι Πάροχοι Γηπέδων ενεργούν, κατά κανόνα, ως ανεξάρτητοι υπεύθυνοι επεξεργασίας και φέρουν αυτοτελή ευθύνη για τη συμμόρφωσή τους με την Ισχύουσα Νομοθεσία.

Η διαβίβαση προσωπικών δεδομένων προς τα συνεργαζόμενα γήπεδα περιορίζεται αυστηρά στα απολύτως αναγκαία δεδομένα για την εκτέλεση της κράτησης, σύμφωνα με την αρχή της ελαχιστοποίησης των δεδομένων.

Η Εταιρεία, στο πλαίσιο λειτουργίας της Πλατφόρμας, επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων που συνεργάζονται μαζί της ως Πάροχοι Γηπέδων, υπό την ιδιότητά της ως Υπεύθυνος Επεξεργασίας.

Τα δεδομένα που ενδέχεται να συλλέγονται και να υποβάλλονται σε επεξεργασία περιλαμβάνουν ιδίως ονοματεπώνυμο νομίμου εκπροσώπου, επωνυμία επιχείρησης, ΑΦΜ, στοιχεία έδρας, στοιχεία επικοινωνίας και στοιχεία λογαριασμού χρήστη στην Πλατφόρμα.

Η επεξεργασία των ανωτέρω δεδομένων πραγματοποιείται αποκλειστικά για τη σύναψη και διαχείριση της σύμβασης συνεργασίας, τη δημιουργία και διαχείριση λογαριασμού Παρόχου, τη δημοσίευση και διαχείριση διαθεσιμότητας γηπέδων, και τη διασφάλιση της εύρυθμης λειτουργίας της Πλατφόρμας. Η νομική βάση της επεξεργασίας είναι το άρθρο 6 παρ. 1 στοιχ. (β) GDPR (εκτέλεση σύμβασης).

Οι πληρωμές που πραγματοποιούνται μέσω της Πλατφόρμας εκτελούνται από τον πάροχο υπηρεσιών πληρωμών Viva Wallet. Για την ολοκλήρωση της συναλλαγής, η Εταιρεία διαβιβάζει στον πάροχο πληρωμών μόνο τα απολύτως αναγκαία δεδομένα που απαιτούνται για την εκτέλεση της πληρωμής. Η Εταιρεία δεν αποθηκεύει στοιχεία καρτών πληρωμής.

Ο ως άνω πάροχος (Viva Wallet) λειτουργεί ως ανεξάρτητος Υπεύθυνος Επεξεργασίας ως προς τα δεδομένα που αφορούν τη διενέργεια και εκκαθάριση των πληρωμών, σύμφωνα με τη δική του πολιτική απορρήτου.

Η Πλατφόρμα απευθύνεται σε φυσικά πρόσωπα που έχουν συμπληρώσει το δέκατο πέμπτο (15ο) έτος της ηλικίας τους. Πρόσωπα κάτω των δεκαπέντε (15) ετών δεν επιτρέπεται να δημιουργούν λογαριασμό ή να χρησιμοποιούν τις υπηρεσίες της Πλατφόρμας.

Χρήστες ηλικίας από δεκαπέντε (15) έως και δεκαοκτώ (18) ετών δύνανται να χρησιμοποιούν την Πλατφόρμα υπό την προϋπόθεση ότι έχουν λάβει την απαιτούμενη συναίνεση ή έγκριση του γονέα ή κηδεμόνα τους.

Όταν ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Εταιρεία διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα.

Για τη λειτουργία της Πλατφόρμας, η Εταιρεία μπορεί να συνεργάζεται με τρίτα μέρη (π.χ. πάροχοι φιλοξενίας, τεχνικής υποστήριξης, υπηρεσιών cloud), τα οποία ενδέχεται να ενεργούν ως εκτελούντες την επεξεργασία. Στις περιπτώσεις αυτές, η Εταιρεία συνάπτει γραπτές συμβάσεις κατ᾽ άρθρο 28 GDPR με τους συνεργάτες της.

Η Εταιρεία δύναται να γνωστοποιεί προσωπικά δεδομένα σε δημόσιες ή ανεξάρτητες αρχές, όταν αυτό απαιτείται στο πλαίσιο των αρμοδιοτήτων τους ή κατόπιν νόμιμου αιτήματος. Επιπλέον, σε περίπτωση εταιρικών μεταβολών, δεδομένα ενδέχεται να μεταβιβαστούν στον αντίστοιχο διάδοχο, στο μέτρο που αυτό είναι αναγκαίο και σύμφωνα με την Ισχύουσα Νομοθεσία.

Σε περίπτωση που καταστεί αναγκαία η διαβίβαση προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης ή Ευρωπαϊκού Οικονομικού Χώρου, η Εταιρεία θα εφαρμόσει τους κατάλληλους νόμιμους μηχανισμούς (όπως απόφαση επάρκειας, κατάλληλες εγγυήσεις ή άλλες προβλέψεις του GDPR).

Η Εταιρεία διατηρεί τα προσωπικά δεδομένα για χρονικό διάστημα ανάλογο του σκοπού για τον οποίο συλλέχθηκαν και επεξεργάζονται και σύμφωνα με τις προβλέψεις της εκάστοτε ισχύουσας φορολογικής και λογιστικής νομοθεσίας. Κατά κανόνα, τα δεδομένα λογαριασμού διατηρούνται για όσο ο λογαριασμός παραμένει ενεργός και, σε περίπτωση διαγραφής/απενεργοποίησης, για εύλογο διάστημα που απαιτείται για την ολοκλήρωση λειτουργικών ενεργειών, την αντιμετώπιση ζητημάτων ασφάλειας, ή/και τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

Μετά την παρέλευση των σχετικών χρονικών διαστημάτων, τα δεδομένα διαγράφονται ή ανωνυμοποιούνται με ασφαλή τρόπο, εκτός εάν η περαιτέρω διατήρησή τους απαιτείται από το νόμο.

Η Εταιρεία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων από απώλεια, αλλοίωση, μη εξουσιοδοτημένη πρόσβαση ή παράνομη επεξεργασία. Η Πλατφόρμα είναι κατασκευασμένη κατά τρόπο ο οποίος διασφαλίζει την ασφάλεια των δεδομένων και την τήρηση των αρχών προστασίας δεδομένων που προβλέπονται από τον GDPR και την ισχύουσα νομοθεσία.

Σε περίπτωση παραβίασης προσωπικών δεδομένων, η Εταιρεία θα αξιολογήσει άμεσα το περιστατικό και, εφόσον συντρέχουν οι προϋποθέσεις του GDPR, θα προβεί στις απαιτούμενες γνωστοποιήσεις προς την αρμόδια εποπτική αρχή εντός εβδομήντα δύο (72) ωρών.

Σύμφωνα με τα άρθρα 15 έως 22 του GDPR, κάθε Υποκείμενο των Δεδομένων έχει τα ακόλουθα δικαιώματα:

• Δικαίωμα πρόσβασης – λήψη επιβεβαίωσης και αντιγράφου των δεδομένων που επεξεργάζεται η Εταιρεία.
• Δικαίωμα διόρθωσης ανακριβών ή ελλιπών δεδομένων.
• Δικαίωμα διαγραφής («δικαίωμα στη λήθη») όταν συντρέχουν οι προϋποθέσεις του GDPR.
• Δικαίωμα περιορισμού της επεξεργασίας, στις περιπτώσεις που προβλέπει ο GDPR.
• Δικαίωμα φορητότητας – λήψη δεδομένων σε δομημένο, αναγνώσιμο από μηχανήματα μορφότυπο.
• Δικαίωμα εναντίωσης στην επεξεργασία που βασίζεται σε έννομο συμφέρον ή διενεργείται για σκοπούς άμεσης εμπορικής προώθησης.
• Δικαίωμα ανάκλησης συγκατάθεσης επεξεργασίας προσωπικών δεδομένων.

Τα αιτήματα άσκησης δικαιωμάτων μπορούν να υποβληθούν στην Εταιρεία μέσω email στη διεύθυνση support@derb-e.gr.

Εφόσον ο χρήστης θεωρεί ότι θίγονται τα δικαιώματά του ως προς την προστασία των προσωπικών του δεδομένων, διατηρεί το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αθήνα, Λεωφόρος Κηφισίας 1-3, Τ.Κ. 115 23, τηλ. +30 210 6475600).

Η επικαιροποιημένη έκδοση της Πολιτικής αναρτάται στην Πλατφόρμα, με ένδειξη ημερομηνίας τελευταίας αναθεώρησης. Συνιστάται στους χρήστες να ανατρέχουν τακτικά στην εκάστοτε ισχύουσα έκδοση. Σε περίπτωση ουσιώδους αλλαγής, οι χρήστες θα ενημερώνονται εγκαίρως με ηλεκτρονικά μέσα.

Η Πλατφόρμα περιέχει συνδέσμους που οδηγούν σε ιστότοπους τρίτων, για τους οποίους διευκρινίζεται ότι η Εταιρεία δεν ελέγχει το περιεχόμενο ή τις πρακτικές απορρήτου των τρίτων αυτών. Συνιστάται στους χρήστες να ανατρέχουν στις πολιτικές απορρήτου των αντίστοιχων τρίτων.