ΔΗΛΩΣΗ ΣΥΜΜΟΡΦΩΣΗΣ ΜΕ ΓΚΠΔ

Εισαγωγή
Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) της Ευρωπαϊκής Ένωσης είναι ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ο ΓΚΠΔ τέθηκε σε ισχύ την 25η Μαΐου 2018 με σκοπό την εναρμόνιση του νομικού πλαισίου προστασίας δεδομένων σε ολόκληρη την ΕΕ παρέχοντας σε άτομα ισχυρότερα, συνεπέστερα δικαιώματα πρόσβασης και ελέγχου των προσωπικών τους πληροφοριών. Ο ΓΚΠΔ επιβάλλει υποχρεώσεις στις εταιρείες που ελέγχουν ή επεξεργάζονται προσωπικά δεδομένα.

Η δέσμευσή μας
Η SCCA Advisory Ltd (‘εμείς’ ή ‘εμάς’ ή ‘μας’) δεσμεύεται να διασφαλίζει την ασφάλεια και προστασία των προσωπικών πληροφοριών που συλλέγουμε ή επεξεργαζόμαστε, και να παρέχει συμμορφούμενη και συνεπή προσέγγιση στην προστασία δεδομένων. Πάντοτε είχαμε σε ισχύ ένα ισχυρό και αποτελεσματικό πρόγραμμα προστασίας δεδομένων, το οποίο συμμορφώνεται με τον ισχύοντα νόμο και τηρεί τις αρχές προστασίας δεδομένων. Εντούτοις, αναγνωρίζουμε τις υποχρεώσεις μας για ενημέρωση και επέκταση του προγράμματος αυτού προς ικανοποίηση των απαιτήσεων και υποχρεώσεων που προκύπτουν από τον ΓΚΠΔ.

Η SCCA Advisory Ltd είναι αφοσιωμένη στη διασφάλιση των προσωπικών πληροφοριών που βρίσκονται υπό τον έλεγχό μας και στην ανάπτυξη οργανωτικού πλαισίου προστασίας δεδομένων που είναι αποτελεσματικό, κατάλληλο για το σκοπό του και επιδεικνύει την κατανόηση του, και εκτίμηση για τον νέο Κανονισμό. Η προετοιμασία και οι στόχοι μας για συμμόρφωση με τον ΓΚΠΔ συνοψίζονται στη δήλωση αυτή και περιλαμβάνουν την ανάπτυξη και εφαρμογή νέων κανόνων, πολιτικών, διαδικασιών, ελέγχων και μέτρων προστασίας δεδομένων για τη διασφάλιση μέγιστης και συνεχούς συμμόρφωσης.

Πώς Ετοιμαζόμαστε για τον ΓΚΠΔ
Η SCCA Advisory Ltd πάντα διατηρεί ένα σταθερό επίπεδο προστασίας και ασφάλειας δεδομένων σε ολόκληρο τον οργανισμό μας· εντούτοις, είναι ο στόχος μας να συνεχίσουμε να εξελίσσουμε και να βελτιώνουμε τα μέτρα μας ώστε να είναι σε πλήρη συμμόρφωση με τον ΓΚΠΔ.

Η προετοιμασία μας περιλαμβάνει:

  • Έλεγχο Πληροφοριών – διεξαγωγή ελέγχου πληροφοριών σε ολόκληρη την εταιρεία για τον εντοπισμό και αξιολόγηση των προσωπικών πληροφοριών που κατέχουμε, την προέλευσή τους, πώς και γιατί τυγχάνουν επεξεργασίας και κατά πόσο και σε ποιους αποκαλύπτονται.
  • Πολιτικές και Διαδικασίες – αναθεώρηση πολιτικών και διαδικασιών προστασίας δεδομένων για να πληροί τις απαιτήσεις και τα πρότυπα του ΓΚΠΔ και οποιωνδήποτε σχετικών νόμων προστασίας δεδομένων, συμπεριλαμβανομένων:
  • Προστασία Δεδομένων –

το κύριο έγγραφο πολιτικών και διαδικασιών για προστασία δεδομένων έχει ενημερωθεί για να πληροί τις απαιτήσεις και τα πρότυπα του ΓΚΠΔ. Έχουν υιοθετηθεί μέτρα λογοδοσίας και διακυβέρνησης για να διασφαλίσουμε ότι κατανοούμε και επαρκώς διαδίδουμε και αποδεικνύουμε τις υποχρεώσεις και ευθύνες μας· με ειδική εστίαση στην προστασία της ιδιωτικής ζωής ήδη από το σχεδιασμό και στα δικαιώματα των ατόμων.

  • Διατήρηση & Διαγραφή Δεδομένων –

έχουμε ενημερώσει την πολιτική και το χρονοδιάγραμμα διατήρησης για να διασφαλίσουμε ότι πληρούμε τις αρχές ‘ελαχιστοποίησης δεδομένων’ και ‘περιορισμού αποθήκευσης’ και ότι οι προσωπικές πληροφορίες αποθηκεύονται, αρχειοθετούνται και καταστρέφονται με συμμόρφωση και δεοντολογία. Έχουμε σε ισχύ ειδικές διαδικασίες διαγραφής για την τήρηση της νέας υποχρέωσης ‘Δικαιώματος Διαγραφής’ και έχουμε γνώση πότε αυτό και άλλα δικαιώματα του υποκειμένου των δεδομένων ισχύουν, μαζί με οποιεσδήποτε εξαιρέσεις, χρονικά πλαίσια απόκρισης και ευθύνες ειδοποίησης.

  • Παραβιάσεις Δεδομένων –

οι διαδικασίες παραβίασης μας διασφαλίζουν ότι έχουμε σε ισχύ εχέγγυα και μέτρα για εντοπισμό, εκτίμηση, έρευνα και αναφορά οποιασδήποτε παραβίασης προσωπικών δεδομένων το συντομότερο δυνατό. Οι διαδικασίες μας είναι ισχυρές και έχουν διαδοθεί σε όλους τους υπαλλήλους, καθιστώντας τους ενήμερους για τις γραμμές και βήματα αναφοράς που θα ακολουθήσουν.

  • Διεθνείς Μεταφορές Δεδομένων & Γνωστοποιήσεις Τρίτων –

όπου η SCCA Advisory Ltd αποθηκεύει ή μεταφέρει προσωπικές πληροφορίες εκτός της ΕΕ, έχουμε υιοθετήσει τις απαραίτητες διαδικασίες και μέτρα διασφάλισης για την ασφάλεια, αποκρυπτογράφηση και διατήρηση της ακεραιότητας των δεδομένων. Οι διαδικασίες μας περιλαμβάνουν μια συνεχή αναθεώρηση των χωρών με επαρκείς αποφάσεις επάρκειας, καθώς και διατάξεις για δεσμευτικούς εταιρικούς κανόνες· ενώ τυποποιημένες ρήτρες προστασίας δεδομένων ή εγκεκριμένους κώδικες δεοντολογίας για τις χώρες που δεν τις/τους διαθέτουν. Διεξάγουμε αυστηρούς ελέγχους δέουσας επιμέλειας με όλους τους παραλήπτες δεδομένων προσωπικού χαρακτήρα για να αξιολογήσουμε και να επαληθεύσουμε ότι έχουν θεσπιστεί οι κατάλληλες διασφαλίσεις για την προστασία των πληροφοριών, τη διασφάλιση των εκτελεστικών δικαιωμάτων των υποκειμένων των δεδομένων και την παροχή αποτελεσματικών ένδικων μέσων για τα υποκείμενα των δεδομένων, όπου χρειάζεται.

  • Αίτημα Πρόσβασης Υποκειμένου (Subject Access Request (SAR)) –

έχουμε αναθεωρήσει τις διαδικασίες ΑΠΥ μας για να περιλάβουμε το αναθεωρημένο χρονικό πλαίσιο των 30 ημερών για την παροχή των ζητούμενων πληροφοριών και για καταστήσουμε την παροχή αυτή δωρεάν. Οι νέες διαδικασίες μας αναφέρουν λεπτομερώς τον τρόπο επαλήθευσης του υποκειμένου των δεδομένων, τα μέτρα που πρέπει να ληφθούν για την επεξεργασία ενός αιτήματος πρόσβασης, ποιες εξαιρέσεις ισχύουν και μια δέσμη προτύπων απόκρισης για να διασφαλιστεί ότι οι επικοινωνίες με τα υποκείμενα των δεδομένων είναι συμμορφούμενες, συνεπείς και επαρκείς.

  • Νομική Βάση για Επεξεργασία – αναθεωρούμε όλες τις δραστηριότητες επεξεργασίας για τον προσδιορισμό της νομικής βάσης για τη διεκπεραίωση και τη διασφάλιση ότι κάθε βάση είναι κατάλληλη για τη δραστηριότητα που αφορά. Όπου ισχύει, διατηρούμε επίσης αρχεία των δραστηριοτήτων επεξεργασίας μας, διασφαλίζοντας ότι τηρούνται οι υποχρεώσεις μας βάσει του άρθρου 30 του ΓΚΠΔ.
  • Πολιτική Απορρήτου – έχουμε αναθεωρήσει την Πολιτική Απορρήτου μας για να συμμορφωθεί με το ΓΚΠΔ, διασφαλίζοντας ότι όλα τα άτομα των οποίων τα προσωπικά δεδομένα που επεξεργαζόμαστε έχουν ενημερωθεί για το λόγο που τα χρειαζόμαστε, πώς χρησιμοποιούνται, ποια είναι τα δικαιώματά τους, ποια στοιχεία αποκαλύπτονται και ποια μέτρα διασφάλισης βρίσκονται σε ισχύ για την προστασία των πληροφοριών τους.
  • Λήψη Συγκατάθεσης – έχουμε αναθεωρήσει τους μηχανισμούς συγκατάθεσής μας για την απόκτηση προσωπικών δεδομένων, διασφαλίζοντας ότι τα άτομα κατανοούν τι παρέχουν, γιατί και πώς τα χρησιμοποιούμε και δίνοντας σαφείς και καθορισμένους τρόπους για να συναινέσουν στην επεξεργασία από εμάς των πληροφοριών τους. Έχουμε αναπτύξει αυστηρές διαδικασίες για την καταγραφή της συγκατάθεσης, διασφαλίζοντας ότι μπορούμε να αποδείξουμε την καταφατική συμμετοχή, μαζί με τα αρχεία ημερομηνίας και ώρας· και έναν τρόπο εύκολου εντοπισμού και πρόσβασης στην απόσυρση της συγκατάθεσης ανά πάσα στιγμή.
  • Άμεσο Μάρκετινγκ – έχουμε αναθεωρήσει τις διαδικασίες για το άμεσο μάρκετινγκ, συμπεριλαμβανομένων των σαφών μηχανισμών συμμετοχής για την εμπορική προώθηση συνδρομών, ξεκάθαρη ειδοποίηση και μέθοδο για την εξαίρεση και την παροχή στοιχείων κατάργησης εγγραφής σε όλα τα μεταγενέστερα υλικά μάρκετινγκ.
  • Συμφωνίες Επεξεργαστή – όπου χρησιμοποιούμε οποιοδήποτε τρίτο μέρος για την επεξεργασία προσωπικών στοιχείων για λογαριασμό μας (π.χ. Μισθοδοσία, Πρόσληψη, Φιλοξενία κ.λπ.), έχουμε συντάξει συμμορφούμενες Συμφωνίες Επεξεργαστών και διαδικασίες δέουσας επιμέλειας για να διασφαλίσουμε ότι αυτοί (όπως και εμείς), θα τηρούν/με και θα κατανοούν/με τις υποχρεώσεις ΓΚΠΔ τους/μας. Τα μέτρα αυτά περιλαμβάνουν την αρχική και συνεχή αναθεώρηση της παρεχόμενης υπηρεσίας, την αναγκαιότητα της δραστηριότητας επεξεργασίας, τα τεχνικά και οργανωτικά μέτρα που εφαρμόζονται και τη συμμόρφωση με το ΓΚΠΔ.
  • Ειδικές Κατηγορίες Δεδομένων – όπου λαμβάνουμε και επεξεργαζόμαστε πληροφορίες οποιασδήποτε ειδικής κατηγορίας, το κάνουμε αυτό με πλήρη συμμόρφωση με τις απαιτήσεις του Άρθρου 9 και υιοθετούμε υψηλού επιπέδου κρυπτογράφηση και προστασία για όλα αυτά τα δεδομένα. Τα δεδομένα ειδικών κατηγοριών υποβάλλονται σε επεξεργασία μόνο όπου είναι αναγκαίο και εφόσον έχουμε πρώτα προσδιορίσει την κατάλληλη βάση του Άρθρου 9(2). Όπου βασιζόμαστε σε συγκατάθεση για επεξεργασία, αυτό είναι σαφές και επαληθεύεται με υπογραφή, με το δικαίωμα τροποποίησης ή κατάργησης της συγκατάθεσης να επισημαίνεται ξεκάθαρα.

Αίτημα Υποκείμενου των Δεδομένων
Εκτός από τις προαναφερθείσες πολιτικές και διαδικασίες που διασφαλίζουν ότι τα άτομα μπορούν να επιβάλουν τα δικαιώματα προστασίας δεδομένων τους, παρέχουμε εύκολης πρόσβασης πληροφορίες μέσω της ιστοσελίδας μας, η οποία περιλαμβάνεται στην Πολιτική Απορρήτου μας, του δικαιώματος ενός ατόμου να έχει πρόσβαση σε οποιεσδήποτε προσωπικές πληροφορίες που επεξεργαζόμαστε για αυτό και πώς να ζητήσει πληροφορίες αναφορικά με:

  • Ποια προσωπικά δεδομένα κατέχουμε για αυτό
  • Τους σκοπούς επεξεργασίας των δεδομένων του
  • Τις κατηγορίες των σχετικών προσωπικών δεδομένων
  • Τους παραλήπτες στους οποίους έχουν αποκαλυφθεί/θα αποκαλυφθούν τα προσωπικά δεδομένα
  • Για πόσο χρονικό διάστημα σκοπεύουμε να αποθηκεύσουμε τα προσωπικά του δεδομένα
  • Αν δεν συλλέξαμε τα δεδομένα απευθείας από αυτό, πληροφορίες σχετικά με την πηγή
  • Το δικαίωμα διόρθωσης ή ολοκλήρωσης ελλιπών ή ανακριβών δεδομένων για αυτό και τη διαδικασία υποβολής σχετικού αιτήματος
  • Το δικαίωμα να ζητήσει διαγραφή των προσωπικών δεδομένων (όπου ισχύει) ή να περιορίσει την επεξεργασία σύμφωνα με τους νόμους περί προστασίας δεδομένων, καθώς και να αντιταχθεί σε οποιοδήποτε άμεσο μάρκετινγκ από εμάς και να ενημερωθεί αναφορικά με οποιαδήποτε αυτοματοποιημένη διαδικασία λήψης αποφάσεων που χρησιμοποιούμε
  • Το δικαίωμα υποβολής καταγγελίας ή επιδίωξης δικαστικής θεραπείας, και σε ποιον θα απευθυνθεί σε τέτοιες περιπτώσεις.

Τα δικαιώματα του υποκειμένου των δεδομένων
Το υποκείμενο των δεδομένων μπορεί να ασκήσει ορισμένα δικαιώματα αναφορικά με τα Δεδομένα του που τυγχάνουν επεξεργασίας από Εμάς.

Συγκεκριμένα, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να πράξουν τα ακόλουθα:

  • Να αποσύρουν τη συγκατάθεσή τους ανά πάσα στιγμή. Τα άτομα έχουν το δικαίωμα να αποσύρουν τη συγκατάθεσή τους όταν έχουν προηγουμένως δώσει τη συγκατάθεσή τους για την επεξεργασία των Προσωπικών Δεδομένων τους.
  • Να αντιταχθούν στην επεξεργασία των Δεδομένων τους. Τα άτομα έχουν το δικαίωμα να αντιταχθούν στην επεξεργασία των δεδομένων τους εάν η επεξεργασία πραγματοποιείται σε νομική βάση διαφορετική από τη συγκατάθεση. Περισσότερες λεπτομέρειες παρέχονται στην ειδική ενότητα κατωτέρω.
  • Να αποκτήσουν πρόσβαση στα Δεδομένα τους. Τα άτομα έχουν το δικαίωμα να μάθουν εάν τα Δεδομένα τυγχάνουν επεξεργασίας, να αποκτούν αποκάλυψη αναφορικά με ορισμένες πτυχές της επεξεργασίας και να λαμβάνουν αντίγραφο των Δεδομένων που τυγχάνουν επεξεργασίας.
  • Να επαληθεύσουν και να επιδιώξουν διόρθωση. Τα άτομα έχουν το δικαίωμα να επαληθεύσουν την ακρίβεια των Δεδομένων τους και να ζητήσουν όπως αυτά ενημερωθούν ή να διορθωθούν.
  • Να περιορίσουν την επεξεργασία των Δεδομένων τους. Τα Άτομα έχουν το δικαίωμα, υπό ορισμένες προϋποθέσεις, να περιορίσουν την επεξεργασία των Δεδομένων τους. Δεν θα επεξεργαστούμε τα Δεδομένα τους για οποιονδήποτε σκοπό εκτός από την αποθήκευσή τους.
  • Να διαγραφούν τα Προσωπικά Δεδομένα τους ή να καταργηθούν με άλλο τρόπο. Τα άτομα έχουν το δικαίωμα, υπό ορισμένες προϋποθέσεις, να επιφέρουν τη διαγραφή των Δεδομένων τους.
  • Να λάβουν τα δεδομένα τους και να τα μεταφέρουν σε άλλον ελεγκτή. Τα άτομα έχουν το δικαίωμα να λάβουν τα δεδομένα τους σε διαρθρωμένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή και, εάν είναι τεχνικά εφικτό, να τα διαβιβάζουν σε άλλο ελεγκτή χωρίς κανένα εμπόδιο. Η διάταξη αυτή εφαρμόζεται υπό την προϋπόθεση ότι τα Δεδομένα τυγχάνουν επεξεργασίας μέσω αυτοματοποιημένων μέσων και ότι η επεξεργασία βασίζεται στη συγκατάθεση του Ατόμου, σε μια σύμβαση στην οποία το Άτομο αποτελεί μέρος ή στις προ-συμβατικές υποχρεώσεις του.
  • Να Υποβάλουν Καταγγελία. Τα Άτομα έχουν το δικαίωμα να υποβάλουν αξίωση ενώπιον της αρμόδιας αρχής προστασίας δεδομένων τους.

Ασφάλεια Πληροφοριών & Τεχνικά και Οργανωτικά Μέτρα
Η SCCA Advisory Ltd λαμβάνει σοβαρά υπόψη την ιδιωτικότητα και την ασφάλεια των ατόμων και των προσωπικών πληροφοριών τους και λαμβάνει κάθε εύλογο μέτρο και προφύλαξη για την προστασία και την ασφάλεια των προσωπικών δεδομένων που επεξεργαζόμαστε. Διατηρούμε πολιτικές και διαδικασίες ασφάλειας πληροφοριών για την προστασία των προσωπικών πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, αλλοίωση, αποκάλυψη ή καταστροφή και έχουμε διάφορα επίπεδα μέτρων ασφαλείας, συμπεριλαμβανομένων, αλλά χωρίς περιορισμό:

  • SSL (Ασφαλές Επίπεδο Υποδοχών)
  • Έλεγχος πρόσβασης
  • Πολιτικές κωδικού πρόσβασης
  • Κρυπτογράφηση
  • Επαλήθευση Ταυτότητας ΙΤ
  • Βέλτιστες Πρακτικές
  • Περιορισμοί Δεδομένων

Ρόλοι και υπάλληλοι του ΓΚΠΔ
Η SCCA Advisory Ltd έχει διορίσει έναν Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) ο οποίος επιβλέπει τη συμμόρφωση με το ΓΚΠΔ και ενεργεί ως σημείο επαφής για υπαλλήλους, πελάτες, συνεργάτες και το Γραφείο του Επιτρόπου Προστασίας Δεδομένων Κύπρου. Ο ΥΠΔ είναι υπεύθυνος να ενεργεί με κάθε δέουσα προσοχή κατά τη χειρισμό πληροφοριών από άτομα αναφορικά με τον Κανονισμό 679/2016/ΕΕ. Όλοι οι υπάλληλοι και οι υπεργολάβοι της SCCA Advisory Ltd δεσμεύονται από έναν κώδικα προτύπων για τη συμμόρφωση με τον Κανονισμό για την Προστασία Δεδομένων 679/2016/ΕΕ.

Αν έχετε οποιεσδήποτε ερωτήσεις σχετικά με την προετοιμασία μας για το ΓΚΠΔ, επικοινωνήστε με τον υπεύθυνο προστασίας δεδομένων στη διεύθυνση dpo@sccaadvisory.com.

GDPR COMPLIANCE STATEMENT

Introduction
The new European Union General Data Protection Regulation (GDPR) is the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. GDPR came into effect on 25th May 2018 with the objective of harmonizing data protection law framework across the EU providing individuals stronger, more consistent rights to access and control their personal information. GDPR imposes obligations on companies that control or process personal data.

Our Commitment
SCCA Advisory Ltd (‘we’ or ‘us’ or ‘our’) is committed to ensuring the security and protection of the personal information that we collect or process, and to provide a compliant and consistent approach to data protection. We have always had a robust and effective data protection program in place, which complies with the existing law and abides by the data protection principles. However, we recognize our obligations in updating and expanding this program to meet the demands and requirements under the GDPR.

SCCA Advisory Ltd is dedicated to safeguarding the personal information under our control and developing a data protection organizational framework that is effective, fit for purpose and demonstrate an understanding of, and appreciation for the new Regulation. Our preparation and objectives for GDPR compliance are summarized in this statement and include the development and implementation of new data protection roles, policies, procedures, controls and measures to ensure maximum and ongoing compliance.

How We are Preparing for the GDPR
SCCA Advisory Ltd always maintains a consistent level of data protection and security across our organization; however, it is our aim to continue evolving and enhancing our measures to be fully compliant with GDPR.

Our preparation includes:

Information Audit – carrying out a company-wide information audit to identify and assess what personal information we hold, where it comes from, how and why it is processed and if and to whom it is disclosed.

Policies & Procedures – Revising data protection policies and procedures to meet the requirements and standards of the GDPR and any relevant data protection laws, including:

– Data Protection –
our main policy and procedure document for data protection has been updated to meet the standards and requirements of the GDPR. Accountability and governance measures are in place to ensure that we understand and adequately disseminate and evidence our obligations and responsibilities; with a dedicated focus on privacy by design and the rights of individuals.

– Data Retention & Erasure –
we have updated our retention policy and schedule to ensure that we meet the ‘data minimization’ and ‘storage limitation’ principles and that personal information is stored, archived and destroyed compliantly and ethically. We have dedicated erasure procedures in place to meet the new ‘Right to Erasure’ obligation and are aware of when this and other data subject’s rights apply; along with any exemptions, response timeframes and notification responsibilities.

– Data Breaches –
our breach procedures ensure that we have safeguards and measures in place to identify, assess, investigate and report any personal data breach at the earliest possible time. Our procedures are robust and have been disseminated to all employees, making them aware of the reporting lines and steps to follow.

– International Data Transfers & Third-Party Disclosures –
where SCCA Advisory Ltd stores or transfers personal information outside the EU, we have the required procedures and safeguarding measures in place to secure, encrypt and maintain the integrity of the data. Our procedures include a continual review of the countries with sufficient adequacy decisions, as well as provisions for binding corporate rules; standard data protection clauses or approved codes of conduct for those countries without. We carry out strict due diligence checks with all recipients of personal data to assess and verify that they have appropriate safeguards in place to protect the information, ensure enforceable data subject rights and have effective legal remedies for data subjects where applicable.

– Subject Access Request (SAR ) –
we have revised our SAR procedures to accommodate the revised 30 day timeframe for providing the requested information and for making this provision free of charge. Our new procedures detail how to verify the data subject, what steps to take for processing an access request, what exemptions apply and a suite of response templates to ensure that communications with data subjects are compliant, consistent and adequate.

• Legal Basis for Processing – we are reviewing all processing activities to identify the legal basis for processing and ensuring that each basis is appropriate for the activity it relates to. Where applicable, we also maintain records of our processing activities, ensuring that our obligations under Article 30 of the GDPR are met.

Privacy Policy – we have revised our Privacy Policy to comply with the GDPR, ensuring that all individuals whose personal information we process have been informed of why we need it, how it is used, what their rights are, who the information is disclosed to and what safeguarding measures are in place to protect their information.

Obtaining Consent – we have revised our consent mechanisms for obtaining personal data, ensuring that individuals understand what they are providing, why and how we use it and giving clear, defined ways to consent to us processing their information. We have developed stringent processes for recording consent, making sure that we can evidence an affirmative opt-in, along with time and date records; and an easy to see and access way to withdraw consent at any time.

Direct Marketing – we have revised the processes for direct marketing, including clear opt-in mechanisms for marketing subscriptions; a clear notice and method for opting out and providing unsubscribe features on all subsequent marketing materials.

Processor Agreements – where we use any third-party to process personal information on our behalf (e. Payroll, Recruitment, Hosting etc), we have drafted compliant Processor Agreements and due diligence procedures for ensuring that they (as well as we), meet and understand their/our GDPR obligations. These measures include initial and ongoing reviews of the service provided, the necessity of the processing activity, the technical and organisational measures in place and compliance with the GDPR.

Special Categories Data – where we obtain and process any special category information, we do so in complete compliance with the Article 9 requirements and have high-level encryptions and protections on all such data. Special category data is only processed where necessary and is only processed where we have first identified the appropriate Article 9(2) basis. Where we rely on consent for processing, this is explicit and is verified by a signature, with the right to modify or remove consent being clearly signposted.

Data Subject Request
In addition to the policies and procedures mentioned above that ensure individuals can enforce their data protection rights, we provide easy to access information via our website, included in our Privacy Policy, of an individual’s right to access any personal information that We processes about them and how to request information regarding:
• What personal data we hold about them
• The purposes of the processing of their data
• The categories of personal data concerned
• The recipients to whom the personal data has/will be disclosed
• How long we intend to store their personal data
• If we did not collect the data directly from them, information about the source
• The right to have incomplete or inaccurate data about them corrected or completed and the process for requesting this
• The right to request erasure of personal data (where applicable) or to restrict processing in accordance with data protection laws, as well as to object to any direct marketing from us and to be informed about any automated decision-making that we use
• The right to lodge a complaint or seek judicial remedy, and who to contact in such instances.

The rights of data subject
Data subject may exercise certain rights regarding their Data processed by Us.

In particular, data subjects have the right to do the following:

• Withdraw their consent at any time. Individuals have the right to withdraw consent where they have previously given their consent to the processing of their Personal Data.
• Object to processing of their Data. Individuals have the right to object to the processing of their Data if the processing is carried out on a legal basis other than consent. Further details are provided in the dedicated section below.
• Access their Data. Individuals have the right to learn if Data is being processed, obtain disclosure regarding certain aspects of the processing and obtain a copy of the Data undergoing processing.
• Verify and seek rectification. Individuals have the right to verify the accuracy of their Data and ask for it to be updated or corrected.
• Restrict the processing of their Data. Individuals have the right, under certain circumstances, to restrict the processing of their Data. In this case, We will not process their Data for any purpose other than storing it.
• Have their Personal Data deleted or otherwise removed. Individuals have the right, under certain circumstances, to obtain the erasure of their Data.
• Receive their Data and have it transferred to another controller. Individuals have the right to receive their Data in a structured, commonly used and machine readable format and, if technically feasible, to have it transmitted to another controller without any hindrance. This provision is applicable provided that the Data is processed by automated means and that the processing is based on the Individual’s consent, on a contract which the Individual is part of or on pre-contractual obligations thereof.
• Lodge a complaint. Individuals have the right to bring a claim before their competent data protection authority.

Information Security & Technical and Organisational Measures
SCCA Advisory Ltd takes the privacy and security of individuals and their personal information very seriously and take every reasonable measure and precaution to protect and secure the personal data that we process. We maintain information security policies and procedures in place to protect personal information from unauthorised access, alteration, disclosure or destruction and have several layers of security measures, including but not limited to:

• SSL
• Access control
• Password policies
• Encryption
• IT Authentication
• Best Practices
• Data Restrictions

GDPR Roles and Employees
SCCA Advisory Ltd has appointed a Data Protection Officer (DPO) who oversees compliance with GDPR and acts as a point of contact for employees, clients, associates and the Cyprus Data Protection Commissioner’s Office. DPO is responsible to act with all due care when handling enquiries from individuals with regards to the Data Protection Regulation 679/2016/EU. All employees and subcontractors of SCCA Advisory Ltd are bound to a code of standard for the compliance with the Data Protection Regulation 679/2016/EU.
If you have any questions about our preparation for the GDPR, please contact the data protection officer at dpo@sccaadvisory.com.