Εισαγωγή
Με την παρούσα ενημέρωση, η «ΟΠΑΠ Α.Ε» με έδρα της επί της Λ. Αθηνών 112 στην Αθήνα (στο εξής και χάριν συντομίας: «ΟΠΑΠ Α.Ε.») και λειτουργώντας ως Υπεύθυνος Επεξεργασίας προσωπικών δεδομένων σχετικά με την διαθέσιμη εφαρμογή κινητού με το όνομα Ομάδα Προσφοράς ΟΠΑΠ (στο εξής και χάριν συντομίας: “CSR App”), παρέχει πληροφορίες για τα προσωπικά δεδομένα που συλλέγονται από τους χρήστες/επισκέπτες και υποβάλλονται σε περαιτέρω επεξεργασία κατά τη χρήση της εφαρμογής CSR App. Οι πληροφορίες αναφέρονται στην φύση των προσωπικών δεδομένων, στα μέσα και στους σκοπούς συλλογής, σε τυχόν τρίτους αποδέκτες των δεδομένων, καθώς και στα δικαιώματα που έχετε, σύμφωνα με τον Κανονισμό 2016/679 της Ευρωπαϊκής Ένωσης [Γενικός Κανονισμός Προστασίας Δεδομένων] και κάθε εφαρμοστέα νομοθεσία για την προστασία προσωπικών δεδομένων.
Επιλογές σύνδεσης
Ο ΟΠΑΠ χρησιμοποιεί σύστημα/τεχνολογία UUID (Universally Unique Identifier), η οποία αποδίδει ένα μοναδικό αναγνωριστικό σε κάθε επισκέπτη/χρήστη όταν κατεβάζει το CSR App. Έχετε την δυνατότητα είτε να παραμείνετε ανώνυμος όταν χρησιμοποιείτε το CSR App είτε να συνδεθείτε μέσω του λογαριασμού σας στο Facebook/Google. Μόνο η επιλογή σύνδεσης με το λογαριασμό σας στο Facebook / Google επιτρέπει τη χρήση όλων των λειτουργιών του CSR App, όπως η δυνατότητα σύνδεσης ή δημιουργίας "ομάδων".
Όλες οι πληροφορίες που συλλέγονται μέσω του CSR App (όπως καταγράφονται κατωτέρω) συνδέονται με το UUID του συγκεκριμένου χρήστη/επισκέπτη. Εάν συνδεθείτε μέσω του λογαριασμού σας στο Facebook/Google κατά την πρώτη χρήση ή αργότερα, όλες οι πληροφορίες που έχουν ήδη συλλεχθεί και συνδεθεί με το UUID θα συνδεθούν επίσης και με το λογαριασμό σας στο Facebook/Google. Σε περίπτωση που απεγκαταστήσετε το CSR App, the το UUID θα παύσει επίσης να ισχύει, και σεε περίπτωση επανεγκατάστασης, τα δεδομένα που θα συλλέγονται εκ νέου δύνανται να συσχετισθούν με το διαφορετικό UUID που αποδίδεται κατά την επανεγκατάσταση.
Κατηγορίες Προσωπικών Δεδομένων Που Επεξεργαζόμαστε
Τα προσωπικά δεδομένα που παρέχονται από εσάς μέσω του CSR App τυγχάνουν επεξεργασίας από υπεύθυνους και εξουσιοδοτημένους εργαζομένους του OΠΑΠ. Συγκεκριμένα, ο OΠAΠ:
Α. συλλέγει και επεξεργάζεται τα παρακάτω προσωπικά σας δεδομένα των επισκεπτών (δηλαδή των μη συνδεδεμένων χρηστών), τα οποία παράγονται όταν χρησιμοποιείτε το CSR App:
- αναγνωριστικό UUID,
- Δεδομένα περιήγησης (π.χ. μέσος χρόνος χρήσης, συνεδρίες, προβολή οθόνης, ενέργειες και επιλογές “clicks” κ.τ.λ.),
- Πόντοι που συλλέγονται και αλληλεπίδραση με τις "ομάδες",
Επιπλέον, ο ΟΠΑΠ:
Β. συλλέγει και επεξεργάζεται τα ακόλουθα προσωπικά δεδομένα των εγγεγραμμένων χρηστών:
- Διεύθυνση ηλεκτρονικού ταχυδρομείου, όνομα χρήστη/ ονοματεπώνυμο, κωδικός πρόσβασης, όταν είναι ενεργοποιημένη η σύνδεση πρώτου μέρους (1st party log-in) ή δεδομένα εισόδου της Apple / Facebook / Google (διεύθυνση ηλεκτρονικού ταχυδρομείου, όνομα χρήστη/όνομα, φωτογραφία προφίλ), όταν είναι ενεργοποιημένη η σύνδεση 3ου μέρους,
- Φωτογραφίες, εάν επιλέξετε να ανεβάσετε οποιαδήποτε φωτογραφία στην εφαρμογή CSR App,
- Ταχυδρομική διεύθυνση, ονοματεπώνυμο, αριθμός τηλεφώνου, διεύθυνση ηλεκτρονικού ταχυδρομείου, δώρο που θα σας αποσταλεί, εφόσον συμμετέχετε στην ενέργεια "Ευχοστολίδια" και επιθυμείτε να λάβετε την πρωτότυπη ζωγραφιά του παιδιού,
- Τεχνικές πληροφορίες σχετικά με τη χρήση της εφαρμογής CSR App, όπως: προτιμήσεις παιχνιδιού, αναφορές σφαλμάτων λογισμικού, δεδομένα γεωγραφικής θέσης, πληροφορίες που συλλέγονται μέσω cookies ή SDKs, ημερομηνία και ώρα σύνδεσης, διεύθυνση IP,
- Δεδομένα που σχετίζονται με άδειες της εφαρμογής στη συσκευή, όπως σωματική δραστηριότητα (βήματα), επαφές, τοποθεσία, όταν οι άδειες αυτές ενεργοποιούνται από εσάς στο πλαίσιο ενός συγκεκριμένου παιχνιδιού ή δραστηριότητας.
Γιατί Συλλέγουμε Προσωπικά Δεδομένα
Στο πλαίσιο της εγκατάστασης και χρήσης της εφαρμογής CSR App, επεξεργαζόμαστε τα ανωτέρω προσωπικά δεδομένα για τους ακόλουθους σκοπούς και νόμιμες βάσεις:
Α. Σύμβαση
Η επεξεργασία των προσωπικών σας δεδομένων είναι απαραίτητη για τη χρήση βασικών λειτουργιών της εφαρμογής CSR App, ώστε να μπορούμε να σας παρέχουμε τις υπηρεσίες του ΟΠΑΠ στις οποίες συμφωνείτε συμβατικά μέσω των Όρων Xρήσης της εφαρμογής CSR App. Τέτοιες συμβατικά αναγκαίες λειτουργίες είναι (i) η δημιουργία, λειτουργία και διαχείριση λογαριασμού ενός εγγεγραμμένου χρήστη, (ii) η συμμετοχή σε ψηφιακές δοκιμασίες με σκοπό τη συλλογή πόντων, οι οποίοι συγκεντρώνονται στο προφίλ του εγγεγραμμένου χρήστη ή η συμμετοχή σε ψηφιακές δοκιμασίες και η συλλογή πόντων ως μη εγγεγραμμένου χρήστη (επισκέπτη), (iii) η επικοινωνία με τους εγγεγραμμένους χρήστες σχετικά με θέματα λειτουργίας του λογαριασμού ή σημαντικές αλλαγές στις υπηρεσίες και τους Όρους Χρήσης (συμπεριλαμβανομένης και της παρούσας ενημέρωσης προσωπικών δεδομένων) και (iv) η συμμετοχή σε συγκεκριμένους διαγωνισμούς και δραστηριότητες ΕΚΕ που επιλέγει ο χρήστης μέσω της εφαρμογής CSR App, όπως είναι, για παράδειγμα, η δράση "Ευχοστολίδια" και σχετική επικοινωνία που περιορίζεται αυστηρά στο αποτέλεσμα των εν λόγω διαγωνισμών ή δραστηριοτήτων και αποστέλλεται μέσω ειδοποιήσεων push. Επιπλέον, θεωρείται συμβατικά απαραίτητη η παροχή υποστηρικτικών υπηρεσιών αντιμετώπισης προβλημάτων, ασφάλειας της εφαρμογής και υποστήριξης πελατών, που σχετίζονται με την εν λόγω εφαρμογή για κινητές συσκευές.
Επιπλέον, σημειώνουμε ότι η εφαρμογή CSR App μπορεί να έχει πρόσβαση, μεταξύ άλλων, στις ακόλουθες άδειες του λειτουργικού συστήματος: GPS με ακριβή τοποθεσία, πρόσβαση στη λίστα επαφών, πρόσβαση στη φυσική δραστηριότητα (βήματα), πρόσβαση στην κάμερα. Η σχετική άδεια θα εμφανίζεται κάθε φορά που χρησιμοποιείτε λειτουργίες που απαιτούν την πρόσβαση στις άδειες αυτές (π.χ. ένα συγκεκριμένο παιχνίδι ή μια δραστηριότητα ΕΚΕ, όπως είναι τα “running events”). Η επεξεργασία των σχετικών προσωπικών δεδομένων στο πλαίσιο των αδειών αυτών θεωρείται συμβατικά αναγκαία, όταν οι λειτουργίες που ενεργοποιούνται αποτελούν αναπόσπαστο μέρος ενός συγκεκριμένου παιχνιδιού ή μιας δραστηριότητας.
Β. Νομική Υποχρέωση
Δεδομένου ότι ο ΟΠΑΠ δραστηριοποιείται στον τομέα των τυχερών παιγνίων, ο οποίος είναι αυστηρά ρυθμιζόμενος, και παρόλο που η εφαρμογή CSR App δεν προσφέρει λειτουργίες στοιχηματισμού, η επεξεργασία των προσωπικών δεδομένων των χρηστών είναι απαραίτητη για τη συμμόρφωση του ΟΠΑΠ με τις νομικές υποχρεώσεις που απορρέουν από την ισχύουσα νομοθεσία που ρυθμίζει την αγορά των τυχερών παιχνιδιών στην Ελλάδα είτε αναφορικά με την προσφορά υπηρεσιών τυχερών παιγνίων επίγεια ή μέσω διαδικτύου, συμπεριλαμβανομένων των διατάξεων για το Υπεύθυνο Παιχνίδι και την Εμπορική Επικοινωνία. Σύμφωνα με τις ανωτέρω νομικές διατάξεις, η επεξεργασία των προσωπικών δεδομένων των χρηστών είναι απαραίτητη και για την επιβεβαίωση της ηλικίας ενηλίκων.
Γ. Έννομο Συμφέρον
Επιπλέον, είναι στο έννομο συμφέρον του ΟΠΑΠ να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για τις εσωτερικές του διεργασίες που έχουν ως στόχο τη συνολική αύξηση της δέσμευσης του χρήστη και την επιχειρηματική ανάπτυξη της εφαρμογής CSR App. Στο πλαίσιο αυτό, ο ΟΠΑΠ δημιουργεί προφίλ χρηστών, μέσω τμηματοποίησης, η οποία βασίζεται σε συμπεριφορικά δεδομένα των χρηστών, με τη χρήση αυτοματοποιημένης επεξεργασίας, χωρίς να παράγονται σημαντικά (έννομα ή άλλα) αποτελέσματα για τους χρήστες. Αυτό γίνεται μέσω της ανάλυσης πτυχών της πλοήγησης των χρηστών στην εφαρμογή CSR App και συγκεκριμένα του μέσου χρόνου ανά συνεδρία, των ενεργειών και των κλικ εντός της εφαρμογής, προκειμένου να δημιουργηθούν ανώνυμα στατιστικά σχετικά με τη χρήση της εφαρμογής CSR App που αποσκοπούν στη βελτίωση της εμπειρίας χρήστη (UX).
Δ. Συγκατάθεση
Σύμφωνα με το νομοθετικό πλαίσιο για τις ηλεκτρονικές επικοινωνίες καθώς και με την ειδική σας συγκατάθεση, θα τοποθετήσουμε στη συσκευή σας εφαρμογές λογισμικού (που αναπτύσσονται από εμάς ή τρίτους), οι οποίες λειτουργούν ως ιχνηλάτες (trackers), ώστε να μπορούμε να προσαρμόσουμε καλύτερα την εφαρμογή CSR App στις ειδικές σας προτιμήσεις, να αναλύσουμε τη χρήση της, καθώς και για διαφημιστικούς σκοπούς. Για περισσότερες πληροφορίες, συμβουλευτείτε την Ενημέρωση όπου μπορείτε επίσης να επανεξετάσετε, να αλλάξετε ή να ανακαλέσετε τη συγκατάθεσή σας.
Σε περίπτωση που χρειαστεί να επεξεργαστούμε τα προσωπικά σας δεδομένα για άλλους σκοπούς από αυτούς που περιγράφονται παραπάνω, θα σας ενημερώνουμε σχετικά και εκ των προτέρων και θα ζητούμε τη συγκατάθεσή σας, εφόσον αυτό απαιτείται.
Με ποιους μοιραζόμαστε τα προσωπικά σας δεδομένα
Θα θέλαμε ακόμη να σας ενημερώσουμε ότι, στο πλαίσιο της παροχής πλήρων λειτουργιών της εφαρμογής CSR App, αποδέκτες των προσωπικών σας δεδομένων είναι:
- η εταιρεία ανάπτυξης και συντήρησης της εφαρμογής για κινητές συσκευές,
- τεχνολογικοί πάροχοι, όπως εταιρείες που ασχολούνται με υπηρεσίες σύνδεσης μέσω τρίτων (third-party log-in), ανάλυσης δεδομένων (analytics), αναφοράς σφαλμάτων, αντιμετώπισης προβλημάτων, υπηρεσιών μέτρησης και διαφήμισης, μεταξύ άλλων μέσω συσκευών παρακολούθησης (device trackers),
- οργανισμοί BTL (Below The Line), που υποστηρίζουν, για παράδειγμα, την εφοδιαστική/ υλικοτεχνική υποδομή της δραστηριότητας ΕΚΕ "Ευχοστολίδια",
- κάθε άλλη διοικητική, δικαστική ή άλλη δημόσια αρχή ή γενικά κάθε νομικό ή φυσικό πρόσωπο στο οποίο πρέπει ή μπορεί να γνωστοποιηθούν τα δεδομένα αυτά, σύμφωνα με την ισχύουσα νομοθεσία ή δικαστική απόφαση.
Η εφαρμογή CSR App χρησιμοποιεί ιχνηλάτες (trackers) που επιτρέπουν την καλύτερη διαφήμιση και ανάπτυξη των προϊόντων μας, συμπεριλαμβανομένων εργαλείων για Επιχειρήσεις του Facebook. Επισημαίνεται ότι ειδικά στο πλαίσιο χρήσης των εργαλείων ανάλυσης και διαφήμισης για επιχειρήσεις, που παρέχονται από το Facebook (Facebook Business Tools), λειτουργούμε ως Από Κοινού Υπεύθυνοι Επεξεργασίας μαζί με την Meta Platforms Ireland Ltd, σύμφωνα και με το συμφωνητικό διαμοιρασμού δεδομένων, το οποίο – μεταξύ άλλων- ορίζει τις υποχρεώσεις συμμόρφωσής μας, σύμφωνα με τον GDPR, ως προς την από κοινού επεξεργασία. Η Meta Platforms Ireland είναι υπεύθυνη για την ικανοποίηση των αιτημάτων σας σύμφωνα με τα Άρθρα 15-20 GDPR, σε σχέση με τα προσωπικά δεδομένα που αποθηκεύονται από τη Meta Platforms Ireland μετά την από κοινού επεξεργασία. Μπορείτε να βρείτε περισσότερες πληροφορίες στην πολιτική δεδομένων της Meta Platforms Ireland.
Στους αποδέκτες που περιγράφονται παραπάνω, υπάρχουν επίσης προμηθευτές με έδρα εκτός ΕΕ/ΕΟΧ και συγκεκριμένα στις ΗΠΑ. Ως εκ τούτου, ορισμένα από τα προσωπικά σας δεδομένα διαβιβάζονται διεθνώς. Για το λόγο αυτό, έχουμε λάβει αυξημένα μέτρα δέουσας επιμέλειας, όπως τεχνικές ελαχιστοποίησης, ανωνυμοποίησης και κρυπτογράφησης δεδομένων, καθώς και υπογραφή αυστηρών τυποποιημένων συμβατικών ρητρών.
Εάν αποφασίσετε να συνδεθείτε χρησιμοποιώντας τον λογαριασμό σας στο Facebook/Google/Apple, τα προσωπικά σας δεδομένα (όνομα, πόντοι που συλλέχθηκαν, ομάδες στις οποίες συμμετείχατε, φωτογραφίες που μεταφορτώθηκαν, σκορ) θα είναι ορατά από άλλους χρήστες/επισκέπτες της εφαρμογής CSR App.
Πόσο και καιρό διατηρούμε τα προσωπικά σας δεδομένα
Τα προσωπικά σας δεδομένα διατηρούνται για δύο (2) χρόνια μετά από την τελευταία αλληλεπίδρασή σας με την εφαρμογή CSR App. Ενδέχεται να διατηρήσουμε τα δεδομένα σας για μεγαλύτερο χρονικό διάστημα, εάν αυτό απαιτείται από την ισχύουσα νομοθεσία. Τα δεδομένα που συλλέγονται στο πλαίσιο της δραστηριότητας ΕΚΕ "Ευχοστολίδια" διατηρούνται για το διάστημα τριών (3) μηνών.
Τα Δικαιώματά Σας
Σύμφωνα με την ισχύουσα νομοθεσία και στο πλαίσιο της χρήσης του CSR App, έχετε και μπορείτε να ασκήσετε τα ακόλουθα δικαιώματα:
- δικαίωμα πρόσβασης στα προσωπικά σας δεδομένα, καθώς και στις πληροφορίες σχετικά με την επεξεργασία τους,
- δικαίωμα διόρθωσης μη ολοκληρωμένων ή ανακριβών προσωπικών δεδομένων σας,
- δικαίωμα να ζητήσετε τη διαγραφή των προσωπικών σας δεδομένων (δικαίωμα στη λήθη),
- δικαίωμα περιορισμού της επεξεργασίας των προσωπικών σας δεδομένων,
- δικαίωμα στη φορητότητα σε δομημένη, κοινώς χρησιμοποιούμενη και μηχανικά αναγνωρίσιμη μορφή (π.χ. USB stick),
- δικαίωμα να μεταφέρετε τα δεδομένα σας (άμεσα) σε άλλο υπεύθυνο επεξεργασίας,
- δικαίωμα εναντίωσης στην επεξεργασία των προσωπικών σας δεδομένων, όταν η επεξεργασία βασίζεται σε έννομα συμφέροντά μας, καθώς και
- το δικαίωμα να αποσύρετε οποιαδήποτε δοθείσα συγκατάθεση ανά πάσα στιγμή και χωρίς κόστος.
Σε περίπτωση που ασκήσετε τα δικαιώματα διόρθωσης, διαγραφής ή περιορισμού των προσωπικών σας δεδομένων, τα αιτήματα αυτά θα κοινοποιηθούν σε τρίτους αποδέκτες στους οποίους έχουν δημοσιοποιηθεί τα δεδομένα σας στο πλαίσιο της λειτουργίας του CSR App.
Μπορείτε να ασκήσετε οποιοδήποτε από τα προαναφερθέντα δικαιώματα, συμπεριλαμβανομένου του δικαιώματος να ζητήσετε τη διαγραφή των προσωπικών σας δεδομένων (δικαίωμα στη λήθη), υποβάλλοντας γραπτό αίτημα στον Υπεύθυνο Προστασίας Δεδομένων του ΟΠΑΠ, χρησιμοποιώντας τα παρακάτω στοιχεία επικοινωνίας.
Μπορείτε να περιμένετε απάντηση σε μια τέτοια αίτηση εντός ενός (1) μηνός από την παραλαβή της από την ΟΠΑΠ. Το διάστημα αυτό μπορεί να παραταθεί κατά δύο (2) επιπλέον μήνες, αν η περιπλοκότητα του αιτήματος ή ο αριθμός των αιτημάτων που λαμβάνουμε, το απαιτεί.
Αποποίηση
Το CSR App μπορεί να περιλαμβάνει συνδέσμους που είναι υπό την ευθύνη τρίτου φορέα. Στην περίπτωση αυτή, η ΟΠΑΠ δεν είναι υπεύθυνη για τους όρους προστασίας των προσωπικών δεδομένων, που ακολουθούν αυτοί οι ιστότοποι. Οι όροι προστασίας προσωπικών δεδομένων που παρέχονται με την παρούσα ενημέρωση ενδέχεται να ενημερώνονται ανά πάσα στιγμή. Σε αυτή την περίπτωση, θα ειδοποιηθείτε σχετικά μέσω ειδοποίησης push ή μέσω ενός πλαισίου διαλόγου κατά τη χρήση της εφαρμογής CSR App.
Οι Δεσμεύσεις Μας
Προκειμένου να διασφαλισθεί η ελαχιστοποίηση, η ακρίβεια και η πληρότητα των προσωπικών σας δεδομένων, ο ΟΠΑΠ αναλαμβάνει να αναθεωρεί ανά τακτά χρονικά διαστήματα τα δεδομένα προκειμένου να τα διορθώσει ή να διαγράψει με ασφάλεια τα δεδομένα που δεν είναι πλέον απαραίτητα για τους σκοπούς της λειτουργίας της εφαρμογής CSR App. Η ΟΠΑΠ διαβεβαιώνει ότι έχει λάβει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα, σύμφωνα με τα τρέχοντα τεχνολογικά πρότυπα και τους ισχύοντες νόμους και κανονισμούς, ώστε να εγγυάται ότι η επεξεργασία των προσωπικών σας δεδομένων (από την ΟΠΑΠ ή από τρίτους για λογαριασμό της ΟΠΑΠ Α.Ε.), είναι νόμιμη, επαρκής και ασφαλής έναντι οποιασδήποτε μη εξουσιοδοτημένης ή τυχαίας πρόσβασης, αποκάλυψης, επεξεργασίας, διαγραφής, τροποποίησης ή άλλης χρήσης.
Στοιχεία Επικοινωνίας
Για οποιοδήποτε αίτημα σχετικό με την επεξεργασία των δεδομένων σας, καθώς και εάν διαπιστώσετε ότι δεν τηρήσαμε τις αρχές που περιλαμβάνει η παρούσα Ενημέρωση για Προσωπικά Δεδομένα, παρακαλούμε όπως απευθύνεστε το συντομότερο δυνατόν στον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων της ΟΠΑΠ Α.Ε., χρησιμοποιώντας τα ακόλουθα στοιχεία επικοινωνίας: Ιστοσελίδα: www.opap.gr/gdpr | Ταχυδρομική διεύθυνση: 112 Λεωφόρος Αθηνών, 10442 Αθήνα |Τηλέφωνο: +30 210 5498888 | Ηλεκτρονικό Ταχυδρομείο: dpo@opap.gr
Σε περίπτωση που θεωρείτε ότι δεν ικανοποιήσαμε επαρκώς το αίτημά σας και θίγεται κατά οποιονδήποτε τρόπο η προστασία των προσωπικών σας δεδομένων, μπορείτε να υποβάλετε καταγγελία μέσω ειδικής διαδικτυακής πύλης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αθήνα, Λεωφόρος Κηφισίας 1-3, Τ.Κ. 115 23 | τηλ: +30 210 6475600). Αναλυτικές οδηγίες υποβολής καταγγελίας παρέχονται στην ιστοσελίδα της Αρχής.