Πολιτική Προστασίας

ΠΟΛΙΤΙΚΗ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

  1. Σκοπός και Πεδίο Εφαρμογής

Η ανώνυμη εταιρία με την επωνυμία «ISTOLOGIC ΠΟΛΥΙΑΤΡΕΙΑ – ΔΙΑΓΝΩΣΤΙΚΑ ΕΡΓΑΣΤΗΡΙΑ ΙΑΤΡΙΚΗ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ», διακριτικό τίτλο «ISTOLOGIC ΑΕ» και αριθμό ΓΕΜΗ 146515844000 [εφεξής «Εταιρία»], υπό την ιδιότητα αυτής ως Υπεύθυνου Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα, θεσπίζει και υιοθετεί την παρούσα Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με σκοπό την προστασία των προσωπικών δεδομένων και την αποφυγή της μη ορθής χρήσης αυτών.

Αυτή η πολιτική ισχύει για όλα ανεξαιρέτως τα φυσικά πρόσωπα τα οποία υφίστανται επεξεργασία των προσωπικών τους δεδομένων στο πλαίσιο των κάθε μοργής συναλλακτικών τους σχέσεων με την Εταιρία, όπως ενδεικτικά τα μέλη του Διοικητικού Συμβουλίου και της διοίκησης της Εταιρίας, όλο το ιατρικό, επιστημονικό και λοιπό προσωπικό αυτής, οι συνεργάτες ιατροί ή επαγγελματίες υπηρεσιών πρωτοβάθμιας φροντίδας υγείας καθώς και οι λοιποί κάθε είδους συνεργάτες και προμηθευτές αυτής, οι εξεταζόμενοι στα ιδιωτικά διαγνωστικά κέντρα πελάτες της Εταιρίας.

  1. Περιεχόμενο

2.1. Νομικό Πλαίσιο

Η παρούσα πολιτική είναι σύμφωνη με τον 2016/679 Γενικό Κανονισμό Προστασίας Δεδομένων του Ευρωπαϊκού Κοινοβουλίου [εφεξής «ΓΚΠΔ»] για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, όπως τροποποιήθηκε και ισχύει, καθώς και με το σύνολο του εκάστοτε ισχύοντος νομοθετικού και κανονιστικού πλαισίου, περιλαμβανομένης οποιασδήποτε σχετικής ευρωπαϊκής και εθνικής νομοθεσίας, καθώς και των γνωμοδοτήσεων και αποφάσεων της Ελληνικής Ανεξάρτητης Αρχή Προστασίας Προσωπικών Δεδομένων.

2.2. Ορισμοί

«Δεδομένα προσωπικού χαρακτήρα ή προσωπικά δεδομένα»: Κάθε πληροφορία η οποία αφορά σε ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Ταυτοποιήσιμο είναι εκείνο το φυσικό πρόσωπο του οποίου η ταυτότητα δύναται να εξακριβωθεί, άμεσα ή έμμεσα. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, δύναται να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν δεδομένα προσωπικού χαρακτήρα. Δεδομένα προσωπικού χαρακτήρα τα οποία έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα, αλλά τα οποία δύναται να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου, παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ. Αντιθέτως, δεδομένα προσωπικού χαρακτήρα τα οποία έχουν καταστεί ανώνυμα κατά τρόπο ώστε το άτομο να μην είναι, ή να μην είναι πλέον, ταυτοποιήσιμο δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να θεωρηθούν πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.

«Ευαίσθητα προσωπικά δεδομένα»: Τα προσωπικά δεδομένα ενός ατόμου τα οποία αναφέρονται στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, τις ποινικές διώξεις και καταδίκες του, καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων.

«Επεξεργασία»: Κάθε πράξη ή σειρά πράξεων η οποία πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την χρησιμοποιούμενη για την επεξεργασία των τεχνολογία. Εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία, υπό την προϋπόθεση ότι τα δεδομένα οργανώνονται βάσει προκαθορισμένων κριτηρίων (π.χ. αλφαβητική σειρά). Επίσης, δεν έχει σημασία ο τρόπος αποθήκευσης των δεδομένων (π.χ. σε ηλεκτρονική, έγχαρτη ή άλλη μορφή). Σε κάθε περίπτωση τα δεδομένα προσωπικού χαρακτήρα υπόκεινται στις απαιτήσεις προστασίας του ΓΚΠΔ.

«Υπεύθυνος Επεξεργασίας»: Το φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία, εν προκειμένω δε η Εταιρία, ο οποίος καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

«Εκτελών την Επεξεργασία»: Το φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία, ο οποίος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπευθύνου Επεξεργασίας.

«Υποκείμενο Δεδομένων»: Κάθε ταυτοποιήσιμο φυσικό πρόσωπο, το οποίο διαμένει εντός της Ευρωπαϊκής Ένωσης, για το οποίο ο Υπεύθυνος Επεξεργασίας τηρεί προσωπικά δεδομένα.

«Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία, στον οποίο κοινολογούνται δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτο είτε όχι. Διευκρινίζεται ότι όταν δημόσιες αρχές λαμβάνουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης ή Κράτους Μέλους δεν θεωρούνται μεν ως αποδέκτες, όμως η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.

«Κατάρτιση προφίλ»: Οιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών σχετικών με την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.

«Αρχείο δεδομένων»: Κάθε απόθεμα προσωπικών δεδομένων διαρθρωμένο κατά τρόπο ο οποίος επιτρέπει την ταυτοποίηση του εν λόγω προσώπου από τα εν λόγω δεδομένα.

«Διαβίβαση»: Η καθ’ οιονδήποτε τρόπο παροχή πρόσβασης στα προσωπικά δεδομένα (π.χ. μετάδοση ή δημοσίευση).

«Εκτίμηση αντικτύπου στα προσωπικά δεδομένα»: Η συστηματική διαδικασία για τον εντοπισμό, την αξιολόγηση και την τεκμηρίωση των κινδύνων και των επιπτώσεων των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

«Τρίτη Χώρα»: Κάθε κράτος το οποίο δεν παρέχει επαρκή προστασία των δεδομένων προσωπικού χαρακτήρα, όπως αυτή προβλέπεται στον ΓΚΠΔ.

2.3. Γενικές Υποχρεώσεις κατά την Επεξεργασία Προσωπικών Δεδομένων

2.3.1. Αρχές της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα

Η Εταιρία διασφαλίζει ότι κάθε πρόσωπο το οποίο επεξεργάζεται για λογαριασμό της δεδομένα προσωπικού χαρακτήρα συμμορφώνεται με τις εξής αρχές:

  • Τις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας: Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αντικειμενικότητα προς τα υποκείμενα των δεδομένων.
  • Την αρχή του περιορισμού του σκοπού: Υπάρχουν συγκεκριμένοι και σαφείς σκοποί για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τους οποίους η Εταιρία υποδεικνύει στα υποκείμενα των δεδομένων κατά τη συλλογή. Δεν συλλέγονται δεδομένα προσωπικού χαρακτήρα για απροσδιόριστους σκοπούς.
  • Την αρχή της ελαχιστοποίησης των δεδομένων: Η Εταιρία συλλέγει και επεξεργάζεται μόνο όσα δεδομένα προσωπικού χαρακτήρα είναι απαραίτητα για την επίτευξη των ρητά δηλωθέντων σκοπών. Η Εταιρία δεν προβαίνει σε περαιτέρω χρήση δεδομένων προσωπικού χαρακτήρα για σκοπούς μη συμβατούς προς τον αρχικό σκοπό.
  • Την αρχή της ακρίβειας: Η Εταιρία διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους συλλέχθηκαν, προβαίνοντας στις αναγκαίες διορθώσεις σε αντίθετη περίπτωση.
  • Την αρχή του περιορισμού της περιόδου αποθήκευσης: Η Εταιρία διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα δεν αποθηκεύονται για διάστημα μεγαλύτερο του απαιτούμενου για τους σκοπούς για τους οποίους συλλέχθηκαν, και πάντως για όσο χρόνο επιτρέπεται ή επιβάλλεται από την εκάστοτε ισχύουσα νομοθεσία και το εκάστοτε ισχύον κανονιστικό πλαίσιο, ανάλογα και με τη φύση της σκοπούμενης επεξεργασίας, λαμβανομένου υπόψη και του προβλεπόμενου κατά περίπτωση χρόνου παραγραφής.
  • Τις αρχές της ακεραιότητας και εμπιστευτικότητας: Η Εταιρία υλοποιεί όσες κατάλληλες τεχνικές και οργανωτικές εγγυήσεις εξασφαλίζουν την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλη τεχνολογία.

Αναλυτικότερα:

2.3.1.1. Νόμιμη Επεξεργασία

Η Εταιρία, ως Υπεύθυνος Επεξεργασίας, συλλέγει και υποβάλει τα προσωπικά δεδομένα σε επεξεργασία αποκλειστικά με νόμιμο τρόπο. Εάν η επεξεργασία γίνεται από τρίτο Εκτελούντα την Επεξεργασία, αυτός υποχρεούται να διασφαλίζει τη συμμόρφωση με την παρούσα πολιτική και τους σχετικούς νόμους και κανονισμούς. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις (νομικές βάσεις):

α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για ένα ή περισσότερους συγκεκριμένους σκοπούς,

β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του Υπευθύνου Επεξεργασίας (σύμφωνα με την ευρωπαϊκή ή την εθνική νομοθεσία),

δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,

ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος το οποίο εκτελείται προς χάριν του δημόσιου συμφέροντος ή κατά την άσκηση δημόσιας εξουσίας ανατεθείσας στον Υπεύθυνο Επεξεργασίας (σύμφωνα με την ευρωπαϊκή ή την εθνική νομοθεσία),

στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων τα οποία επιδιώκει ο Υπεύθυνος Επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, τα οποία επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι ανήλικο.

2.3.1.2. Συναίνεση – Συγκατάθεση

Η Εταιρία διασφαλίζει ότι, πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων ενημερώνεται και δίνει τη συγκατάθεσή του ελευθέρως και οικειοθελώς. Προς απόδειξη της συναίνεση, η Εταιρία κατά κανόνα χρησιμοποιεί έγγραφο συγκατάθεσης. Το υποκείμενο των δεδομένων δύναται να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή.

Δεν απαιτείται συγκατάθεση στις εξής περιπτώσεις:

α) για την εκτέλεση σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος,

β) προκειμένου να ληφθούν μέτρα σχετικά με το αίτημα του υποκειμένου των δεδομένων πριν από τη σύναψη της σύμβασης,

γ) για τη συμμόρφωση του Υπεύθυνου Επεξεργασίας με τις νομικές υποχρεώσεις του,

δ) για την προστασία των ζωτικών συμφερόντων ατόμου (του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου),

ε) εφόσον τα νόμιμα συμφέροντα τα οποία επιδιώκει η Εταιρία ή τρίτος υπερισχύουν των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.

Στις περιπτώσεις αυτές, η συναίνεση δεν αποτελεί μέρος της νόμιμης επεξεργασίας. Σε περίπτωση αμφιβολίας, επικοινωνείστε με τον Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) της Εταιρίας, είτε μέσω ηλεκτρονικού ταχυδρομείου στην ηλεκτρονική διεύθυνση [email protected], είτε με επιστολή στη διεύθυνση επικοινωνίας «Υπεύθυνο Προστασίας Δεδομένων, ISTOLOGIC ΑΕ, Ψαρρών 54, 15343 Αγία Παρασκευή Αττικής», ρητώς αποκλειόμενων οιωνδήποτε άλλων μέσων επικοινωνίας, όπως μέσω τηλεμοιοτυπίας (fax) ή τηλεφώνου.

2.3.1.3. Επεξεργασία Ειδικών Κατηγοριών Προσωπικών Δεδομένων

Στο πλαίσιο της συναλλακτικής της δραστηριότητας και ιδιαίτερα της παροχής υπηρεσιών πρωτοβάθμιας φροντίδας υγείας σύμφωνα με το ΠΔ 84/2001, η Εταιρία συλλέγει και επεξεργάζεται δεδομένα ειδικών κατηγοριών (ευαίσθητα προσωπικά δεδομένα), και ιδιαίτερα δεδομένα αναφερόμενα στην υγεία των υποκειμένων των δεδομένων, τα οποία εξετάζονται στα ιδιωτικά διαγνωστικά κέντρα πελάτες της Εταιρίας. Για την επεξεργασία τέτοιων δεδομένων ειδικών κατηγοριών, η Εταιρία εξασφαλίζει τη ρητή συγκατάθεση των υποκειμένων των δεδομένων, η οποία κατ’ εξαίρεση δεν απαιτείται στις εξής περιπτώσεις:

α) όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων της εταιρία ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από την ευρωπαϊκή ή την εθνική νομοθεσία ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο, παρέχοντας πάντα τις κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων,

β) όταν η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί,

γ) όταν η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων,

δ) όταν η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,

ε) όταν η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος βάσει της ευρωπαϊκής ή της εθνικής νομοθεσίας, εφόσον τούτο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων,

στ) όταν η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει της ευρωπαϊκής ή της εθνικής νομοθεσίας ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και μόνο όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία ο οποίος υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει της ευρωπαϊκής ή της εθνικής νομοθεσίας ή βάσει κανόνων θεσπισμένων από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει της ευρωπαϊκής ή της εθνικής νομοθεσίας ή βάσει κανόνων θεσπισμένων από αρμόδιους εθνικούς φορείς,

ζ) όταν η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει της ευρωπαϊκής ή της εθνικής νομοθεσίας, η οποία προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου, ή

η) όταν η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 του ΓΚΠΔ, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

2.3.1.4. Υποχρέωση Πληροφόρησης

Δεδομένου ότι το υποκείμενο δεδομένων πρέπει, πριν δώσει τη συγκατάθεσή του, να γνωρίζει επαρκώς τα προσωπικά δεδομένα του τα οποία θα συλλεχθούν και τους σκοπούς της επεξεργασίας των, η Εταιρία φροντίζει να ενημερώνει το υποκείμενο των δεδομένων τουλάχιστον για τα εξής:

  • τα στοιχεία του Υπευθύνου Επεξεργασίας, εν προκειμένω της Εταιρίας,
  • τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer) της Εταιρίας,
  • το είδος των επεξεργαζόμενων προσωπικών δεδομένων του,
  • τον σκοπό της επεξεργασίας,
  • το έννομο συμφέρον της Εταιρίας για την επεξεργασία των προσωπικών του δεδομένων, κατά περίπτωση,
  • τις κατηγορίες του αποδέκτη των προσωπικών του δεδομένων, εάν έχει προγραμματιστεί αποκάλυψη,
  • τις λεπτομέρειες τυχόν σχεδιαζόμενης διασυνοριακής μεταφοράς,
  • την περίοδο διατήρησης των προσωπικών του δεδομένων ή των κριτηρίων τα οποία χρησιμοποιήθηκαν για τον καθορισμό της,
  • εάν συντρέχει αυτοματοποιημένη λήψη αποφάσεων, τη σημασία της επεξεργασίας για το υποκείμενο των δεδομένων,
  • τα δικαιώματα του υποκειμένου των δεδομένων και τον τρόπο άσκησής τους.

2.3.1.5. Σκοπός Επεξεργασίας

Η Εταιρία διασφαλίζει ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία μόνο για τον σκοπό ο οποίος υποδεικνύεται κατά τη στιγμή της συλλογής των, ή για όσους σκοπούς προβλέπονται από το νόμο. Η επεξεργασία των προσωπικών δεδομένων γίνεται με καλή πίστη και όσα προσωπικά δεδομένα συλλέγονται και αποθηκεύονται είναι απαραίτητα για την εκπλήρωση του σκοπού της επεξεργασίας τους. Κάθε πρόσωπο το οποίο επεξεργάζεται προσωπικά δεδομένα έχει αναλάβει τη δέσμευση να διασφαλίσει ότι η επεξεργασία είναι νόμιμη και συνεπής με το σκοπό για τον οποίο συλλέχθηκαν τα προσωπικά δεδομένα.

2.3.1.6. Αρχεία Προσωπικού

Η Εταιρία συλλέγει και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα του ιατρικού, επιστημονικού και λοιπού προσωπικού αυτής, καθώς και των μελών του Διοικητικού Συμβουλίου και της διοίκησής του. Ο σχετικός φάκελος προσωπικού με όσα προσωπικά δεδομένα περιέχει ταξινομούνται ως «εμπιστευτικές πληροφορίες». Το ιατρικό, επιστημονικό και λοιπό προσωπικό της Εταιρίας καθώς και τα μέλη του Διοικητικού Συμβουλίου και της διοίκησης αυτής έχουν ενημερωθεί εγγράφως σχετικά με τον τρόπο επεξεργασίας των προσωπικών τους δεδομένων, καθώς και σχετικά με τα δικαιώματά τους αλλά και τον τρόπο άσκησής τους.

2.3.1.7. Ποιότητα Δεδομένων

Η Εταιρία έχει ενημερώσει τα μέλη του προσωπικού της, τα οποία ασχολούνται με την επεξεργασία προσωπικών δεδομένων για την υποχρέωση να διασφαλίζουν ότι τα δεδομένα είναι ακριβή (ορθά και πλήρη) και, οσάκις καθίσταται αναγκαίο, να προβαίνουν σε επικαιροποίηση αυτών. Η Εταιρία λαμβάνει κάθε εύλογο μέτρο (τεχνικό και οργανωτικό) προκειμένου να διασφαλίσει ότι λανθασμένα ή ελλιπή, σε σχέση με τους σκοπούς της εκάστοτε επεξεργασίας, προσωπικά δεδομένα διορθώνονται ή καταστρέφονται.

2.3.1.8. Εκτίμηση Αντίκτυπου στα Προσωπικά Δεδομένα

Η Εταιρία διεξάγει εκτίμηση αντικτύπου στα προσωπικά δεδομένα, με τη δέουσα τεκμηρίωση και με τη βοήθεια του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer), όταν εκτιμά ότι η προγραμματισμένη δραστηριότητα επεξεργασίας ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Ο σκοπός της εκτίμησης του αντικτύπου είναι να αξιολογηθούν και να μετριασθούν οι κίνδυνοι για το απόρρητο των προσωπικών δεδομένων. Η αξιολόγηση διενεργείται πριν ξεκινήσουν οι εργασίες επεξεργασίας υψηλού κινδύνου.

Οι δραστηριότητες επεξεργασίας υψηλού κινδύνου περιλαμβάνουν:

  • συστηματική και εκτενή αξιολόγηση των προσωπικών πτυχών της προσωπικότητας του υποκειμένου των δεδομένων, με αυτοματοποιημένη επεξεργασία, εάν οι αποφάσεις οι οποίες επηρεάζουν τα δικαιώματα και τις υποχρεώσεις του υποκειμένου των δεδομένων βασίζονται στην αξιολόγηση αυτή,
  • επεξεργασία ευαίσθητων προσωπικών δεδομένων σε μεγάλη κλίμακα,
  • συστηματική και ευρείας κλίμακας παρακολούθηση μίας προσβάσιμης στο κοινό περιοχής.

Εφόσον η εκτίμηση του αντικτύπου στα προσωπικά δεδομένα οδηγεί στο συμπέρασμα ότι υπάρχει υψηλός κίνδυνος για τα υποκείμενα των δεδομένων, η Εταιρία προβαίνει σε επανεξέταση της συγκεκριμένης επεξεργασίας.

2.3.1.9. Διαβίβαση προς Τρίτους

Δεδομένα προσωπικού χαρακτήρα αποκαλύπτονται σε τρίτους μόνον εφόσον είναι αναγκαίο, οπότε η Εταιρία γνωστοποιεί στα υποκείμενα των δεδομένων τις κατηγορίες πιθανών αποδεκτών των προσωπικών τους δεδομένων. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να παρέχονται ανωνύμως ή ψευδωνυμοποιημένα, εφόσον κρίνεται σκόπιμο και είναι εφικτό. Τρίτοι Εκτελούντες την Επεξεργασία για λογαριασμό της Εταιρίας (π.χ. εξωτερικοί συνεργάτες ή πάροχοι υπηρεσιών) συμφωνούν συμβατικά για την επεξεργασία προσωπικών δεδομένων σύμφωνα με την παρούσα πολιτική και λαμβάνουν όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των προσωπικών δεδομένων των υποκειμένων των δεδομένων σύμφωνα με τον ΓΚΠΔ. Οι όροι αυτής της πολιτικής συμπεριλαμβάνονται με παραπομπή στις σχετικές συμβάσεις.

2.3.1.10. Διασυνοριακή Διαβίβαση Προσωπικών Δεδομένων

Δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα μόνο εάν η νομοθεσία της προβλέπει επαρκές επίπεδο προστασίας των δεδομένων. Σε αντίθετη περίπτωση, τα δεδομένα προσωπικού χαρακτήρα δύναται να μεταφερθούν σε αυτή τη χώρα μόνον εάν ο Υπεύθυνος Επεξεργασίας ή ο Εκτελών την Επεξεργασία προς τον οποίο πραγματοποιείται η διαβίβαση έχει παράσχει κατάλληλες εγγυήσεις κατά την έννοια του άρθρου 46 του ΓΚΠΔ. Η Εταιρία ενδέχεται πάντως να διαβιβάσει προσωπικά δεδομένα σε αρμόδιες εθνικές αρχές προκειμένου να προωθηθούν μέσω αυτών σε αντίστοιχες αρχές τρίτων χωρών στο πλαίσιο εκπλήρωσης νόμιμων υποχρεώσεών της.

Σε περίπτωση τέτοιας διαβίβασης, η Εταιρία λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας προσωπικών δεδομένων, με τη λήψη επαρκών διασφαλίσεων για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση και επεξεργασία, λαμβάνοντας υπόψη τις τεχνολογικές καινοτομίες και τις ιδιαιτερότητες της εκάστοτε επεξεργασίας.

2.3.1.11. Ασφάλεια Δεδομένων

Η Εταιρία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για την ελαχιστοποίηση του κινδύνου ακούσιας ή σκόπιμης παραβίασης, καταστροφής ή απώλειας δεδομένων προσωπικού χαρακτήρα, καθώς και για την αποτροπή μη εξουσιοδοτημένης πρόσβασης και επεξεργασίας. Για τον σκοπό αυτό, λαμβάνονται υπόψη οι τεχνολογικές καινοτομίες και καθορίζονται διαδικασίες ασφαλείας προσαρμοσμένες στις ιδιαιτερότητες της εκάστοτε επεξεργασίας

2.3.1.12. Αποθήκευση και Διατήρηση Δεδομένων

Η Εταιρία διατηρεί τα δεδομένα προσωπικού χαρακτήρα αποκλειστικά για το χρονικό διάστημα, το οποίο είναι απολύτως απαραίτητο για την εξυπηρέτηση των σκοπών, για τους οποίους έχουν συλλεχθεί. Ενδέχεται να διατηρήσει προσωπικά δεδομένα ακόμη και πέραν της εικοσαετίας, εφόσον από αυτά ενδέχεται να προκύψουν δικαιώματα και υποχρεώσεις έναντι αρχών ή ιδιωτών και πέραν του διαστήματος αυτού. Η διατήρηση των δεδομένων και εγγράφων τελεί σε συμμόρφωση με την ισχύουσα νομοθεσία, καθώς και με τη νομοθεσία περί προσωπικών δεδομένων. Οι περίοδοι διατήρησης έχουν οριστεί σύμφωνα με: (α) τις εκ του νόμου απορρέουσες υποχρεώσεις για τη διατήρηση δεδομένων για συγκεκριμένο χρονικό διάστημα, (β) τα χρονικά όρια της παραγραφής σύμφωνα με την εκάστοτε ισχύουσα νομοθεσία, (γ) πιθανές αντιδικίες, καθώς και (δ) κατευθυντήριες γραμμές της Αρχής Προστασίας Προσωπικών Δεδομένων ή άλλων τυχόν αρμόδιων εποπτικών αρχών. Η Εταιρία καταστρέφει ή διαγράφει όσα δεδομένα δεν χρειάζεται πλέον να τηρεί, σύμφωνα με τα καθορισμένα χρονικά όρια, με ασφάλεια. Εάν η Εταιρία χρησιμοποιεί δεδομένα για στατιστικούς ή ερευνητικούς σκοπούς, διασφαλίζει ότι αυτά τηρούνται σε ανώνυμη ή κωδικοποιημένη μορφή, κατά τρόπο ώστε το υποκείμενο των δεδομένων να μην είναι δυνατό να προσδιορισθεί με ή από αυτά καθ΄ οιονδήποτε τρόπο.

2.3.2. Δικαιώματα Υποκειμένων των Δεδομένων

Τα υποκείμενα των δεδομένων έχουν τα κατωτέρω δικαιώματα σύμφωνα με τον ΓΚΠΔ και με όσες προϋποθέσεις και περιορισμούς τίθενται σε αυτόν:

  • δικαίωμα ενημέρωσης,
  • δικαίωμα πρόσβασης,
  • δικαίωμα διόρθωσης,
  • δικαίωμα διαγραφής («δικαίωμα στη λήθη»),
  • δικαίωμα περιορισμού της επεξεργασίας,
  • δικαίωμα στη φορητότητα δεδομένων,
  • δικαίωμα εναντίωσης στην επεξεργασία, και
  • δικαίωμα να μην υπόκεινται σε αποφάσεις οι οποίες λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας.

Η Εταιρία διασφαλίζει ότι το προσωπικό της σέβεται τα σχετικά αιτήματα των υποκειμένων των δεδομένων, τηρεί τις προβλεπόμενες διαδικασίες και, εφόσον απαιτείται, ζητά τη συμβουλή του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer), για την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων και για τον χειρισμό αιτημάτων τους.

Αιτήματα των υποκειμένων των δεδομένων υποβάλλονται προς τον Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) της Εταιρίας, είτε μέσω ηλεκτρονικού ταχυδρομείου στην ηλεκτρονική διεύθυνση [email protected], είτε με επιστολή στη διεύθυνση επικοινωνίας «Υπεύθυνο Προστασίας Δεδομένων, ISTOLOGIC ΑΕ, Ψαρρών 54, 15343 Αγία Παρασκευή Αττικής», ρητώς αποκλειόμενων οιωνδήποτε άλλων τρόπων υποβολής, όπως μέσω τηλεμοιοτυπίας (fax) ή τηλεφώνου.

2.3.3. Καταγραφή Παραβίασης Προσωπικών Δεδομένων

Κάθε παράβαση αυτής της πολιτικής, του ΓΚΠΔ και της λοιπής σχετικής νομοθεσίας συνιστά παραβίαση προσωπικών δεδομένων. Ενδεικτικά συμβάντα είναι η παράνομη καταστροφή, η απώλεια, η αλλοίωση, η μη εξουσιοδοτημένη αποκάλυψη, καθώς και η επεξεργασία δεδομένων χωρίς συναίνεση ή για σκοπούς άλλους εκείνων οι οποίοι υποδεικνύονται κατά τη στιγμή της συλλογής.

Όποιο πρόσωπο ανακαλύπτει την παραβίαση προσωπικών δεδομένων, αφενός λαμβάνει τα κατάλληλα μέτρα και εφαρμόζει τις ανάλογες διαδικασίες για την προστασία των προσωπικών δεδομένων από περαιτέρω επιπτώσεις και αφετέρου αναφέρει την παραβίαση προς τον Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) της Εταιρίας χωρίς καθυστέρηση. Ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer) της Εταιρίας DPO συστηματικά καταγράφει τις αποκαλυφθείσες παραβιάσεις και αξιολογεί τους λόγους αυτών. Επιπλέον, σε συνεννόηση με την Εταιρία, λαμβάνει τυχόν περαιτέρω απαιτούμενα μέτρα για την αποκατάσταση της παραβίασης και την αποτροπή της επανάληψης των παραβιάσεων.

2.3.4. Ειδοποίηση για την Παραβίαση Προσωπικών Δεδομένων

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η Εταιρία γνωστοποιεί αμελλητί και, εφόσον είναι δυνατό εντός 72 ωρών από τη στιγμή όπου αποκτά γνώση του γεγονότος, την παραβίαση των δεδομένων προσωπικού χαρακτήρα προς την αρμόδια εποπτική αρχή, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση. Επιπλέον, ο Εταιρία οφείλει να ενημερώσει χωρίς καθυστέρηση το υποκείμενο των δεδομένων, εάν η παραβίαση των προσωπικών δεδομένων είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του.

2.3.5. Τήρηση Αρχείου Δραστηριοτήτων Επεξεργασίας

Η Εταιρία τηρεί αρχείο-κατάλογο όλων των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων τις οποίες διενεργεί. Ο κατάλογος περιλαμβάνει, κατ’ ελάχιστο, τις εξής πληροφορίες:

α) την επωνυμία και τα στοιχεία επικοινωνίας του Υπεύθυνου Επεξεργασίας, καθώς και του Εκτελούντος την Επεξεργασία, εάν υφίσταται,

β) το ονοματεπώνυμο και τα στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer) της Εταιρίας,

γ) την περιγραφή των τηρούμενων δεδομένων και της κατηγορίας στην οποία ανήκουν,

δ) τον σκοπό και τη νομική βάση της επεξεργασίας,

ε) την περιγραφή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα,

στ) τις κατηγορίες των αποδεκτών δεδομένων, στους οποίους έχουν διαβιβασθεί ή πρόκειται να γνωστοποιηθούν τα προσωπικά δεδομένα, συμπεριλαμβανομένων και τυχόν αποδεκτών σε τρίτες χώρες,

ζ) τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων, όπου είναι δυνατό,

η) μια γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας, όπου είναι δυνατό,

θ) τη διενέργεια εκτίμησης αντικτύπου, εάν προβλέπεται,

ι) την προηγούμενη ενημέρωση των υποκειμένων των δεδομένων.

Τα τηρούμενα δεδομένα ταξινομούνται ανάλογα με την ανάγκη προστασίας τους. Τα αρχεία δεδομένων με ειδική ανάγκη προστασίας, όπως συλλογές με ευαίσθητα προσωπικά δεδομένα ή προφίλ προσωπικότητας, καταχωρούνται σε χωριστούς φακέλους, σημαίνονται αντίστοιχα και υπόκεινται σε διαβάθμιση εμπιστευτικότητας.

2.3.6. Κατάρτιση και Ευαισθητοποίηση

Η Εταιρία μεριμνά για την εκπαίδευση και ενημέρωση του προσωπικού της επί θεμάτων προστασίας και ασφάλειας δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον ΓΚΠΔ, το ισχύον νομοθετικό και κανονιστικό πλαίσιο καθώς και την παρούσα πολιτική. Προς τούτο, ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer) της Εταιρίας διανέμει ενημερωτικό υλικό, πραγματοποιεί εκπαιδευτικές συναντήσεις με το προσωπικό και απαντά σε όσα συναφή ερωτήματα τίθενται.

2.4. Υποχρεώσεις κατά την Υιοθέτηση Νέων Δραστηριοτήτων Επεξεργασίας και Νέων Διαδικασιών

Η προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί αναπόσπαστο μέρος της ανάπτυξης και βελτίωσης της οργάνωσης της Εταιρίας. Κατά συνέπεια, σε περίπτωση υιοθέτησης νέων δραστηριοτήτων επεξεργασίας δεδομένων ή αξιολόγησης και επανασχεδιασμού των υφιστάμενων, εξ ορισμού και κυρίως λαμβάνεται υπόψη η ανάγκη της προστασίας των προσωπικών δεδομένων ενόψει της υιοθέτησης νέων διαδικασιών ή του επανασχεδιασμού των υφιστάμενων.

2.4.1. Προστασία Προσωπικών Δεδομένων από τον Σχεδιασμό

Όταν εισάγονται νέα συστήματα επεξεργασίας προσωπικών δεδομένων, η Εταιρία εξασφαλίζει υψηλό επίπεδο προστασίας αυτών. Ιδιαίτερα, κάθε νέο σύστημα και διαδικασία πρέπει να συμμορφώνεται με τις ακόλουθες αρχές:

α) Να λαμβάνονται τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της συστηματικής και ασφαλούς διαχείρισης του κύκλου ζωής των προσωπικών δεδομένων από τη συλλογή έως την επεξεργασία και τη διαγραφή των.

β) Τα συστήματα επεξεργασίας δεδομένων να αποσκοπούν στη συλλογή των κατά το δυνατό ολιγότερων προσωπικών δεδομένων για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν.

γ) Όταν η ανωνυμοποίηση των δεδομένων δεν παρεμποδίζει τον σκοπό της επεξεργασίας δεδομένων, τα προσωπικά δεδομένα να καταστούν ανώνυμα κατά τρόπο ώστε το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μη δύναται πλέον να ταυτοποιηθεί.

δ) Εφόσον τα προσωπικά δεδομένα δεν δύναται να καταστούν ανώνυμα, να λαμβάνονται μέτρα ασφαλείας ανάλογα με τη φύση των δεδομένων, όπως η ψευδωνυμοποίηση, η κωδικοποίηση, η κρυπτογράφηση ή ο περιορισμός πρόσβασης.

ε) Η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα να χορηγείται σύμφωνα με την αρχή της αναγκαιότητας, ήτοι τα προσωπικά δεδομένα να καθίστανται προσβάσιμα μόνο σε όσα πρόσωπα απαιτείται για την εκτέλεση καθορισμένων ρόλων και ευθυνών.

στ) Ο συστηματικός έλεγχος ποιότητας των προσωπικών δεδομένων να αποτελεί μέρος της διαχείρισης του κύκλου ζωής των δεδομένων, ώστε να εξασφαλίζεται υψηλή ποιότητα δεδομένων. Ειδικότερα, να δημιουργούνται διαδικασίες για την ανίχνευση και διόρθωση ψευδών ή ελλιπών προσωπικών δεδομένων.

ζ) Τα συστήματα επεξεργασίας δεδομένων να προστατεύονται επαρκώς από μη εξουσιοδοτημένη πρόσβαση μέσω τεχνικών και οργανωτικών μέτρων.

η) Τα υποκείμενα των δεδομένων να διαθέτουν διαφανή, φιλικά προς το χρήστη και αποτελεσματικά μέσα ελέγχου σχετικά με τα προσωπικά δεδομένα τους.

2.4.2 Προστασίας Δεδομένων εξ Ορισμού

Η Εταιρία εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο όσα δεδομένα προσωπικού χαρακτήρα είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει ως προς το εύρος των δεδομένων προσωπικού χαρακτήρα τα οποία συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

Εκτενέστερη επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο εάν το υποκείμενο των δεδομένων επιλέξει ή συμφωνήσει σε χαμηλότερο επίπεδο προστασίας, π.χ. με χειροκίνητη αλλαγή των ρυθμίσεων απορρήτου σε ένα ιστότοπο, ένα εργαλείο πληροφορικής ή αντίστοιχο, με μια λιγότερο περιοριστική επιλογή και συνεπώς παρέχει ρητή συγκατάθεσή του στην εκτεταμένη επεξεργασία (“opt-in”).

2.5. Υπεύθυνος Επεξεργασίας

Η Εταιρία, ως Υπεύθυνος Επεξεργασίας των προσωπικών δεδομένων, καθορίζει με διαφανή τρόπο τους σκοπούς και τα μέσα της επεξεργασίας, φέρουσα την ευθύνη για την ορθή επεξεργασία των και για την τήρηση των απαιτήσεων προστασίας και ασφάλειας δεδομένων όπως ορίζεται στην παρούσα πολιτική και στον ΓΚΠΔ.

2.6. Εκτελών την Επεξεργασία

Τυχόν τρίτος, ως Εκτελών την Επεξεργασία, είναι υπεύθυνος για την επεξεργασία των προσωπικών δεδομένων σύμφωνα με τις οδηγίες του Υπεύθυνου Επεξεργασίας δεδομένων. Επιπλέον, ο Εκτελών την Επεξεργασία οφείλει να ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον Υπεύθυνο Επεξεργασίας δεδομένων σχετικά με διαπιστούμενη παραβίαση της προστασίας των προσωπικών δεδομένων.

Ο Εκτελών την Επεξεργασία πρέπει να δεσμεύει συμβατικά οιονδήποτε ενδεχόμενο υπεργολάβο λάβει εντολή να εκτελέσει επεξεργασία δεδομένων, αντί του Εκτελούντος, να συμμορφώνεται με τις ίδιες οδηγίες τις οποίες ο ίδιος έχει λάβει από τον Υπεύθυνο Επεξεργασίας.

2.7. Υπεύθυνος Προστασίας Δεδομένων

Ο Εταιρίας έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) (DPO), ο οποίος φέρει την ευθύνη του συντονισμό της προστασίας των συλλεγέντων προσωπικών δεδομένων. Ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer):

α) παρακολουθεί τη συμμόρφωση της Εταιρίας με τον ΓΚΠΔ και τους ισχύοντες νόμους και κανονισμούς περί προστασίας δεδομένων,

β) παρακολουθεί και εφαρμόζει επεξηγηματικά έγγραφα της Επιτροπής της Ευρωπαϊκής Ένωσης, και των εθνικών εποπτικών αρχών σχετικά με την εκτέλεση των διατάξεων του ΓΚΠΔ,

γ) υποστηρίζει τη διοίκηση της Εταιρίας στη διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ για την προστασία των προσωπικών δεδομένων,

δ) παρακολουθεί τακτικά την τήρηση της πολιτικής αυτής,

ε) φροντίζει για την ορθή τήρηση του αρχείου δραστηριοτήτων επεξεργασίας και κάθε άλλου αρχείου και καταλόγου περιλαμβάνει την τεκμηρίωση της συμμόρφωσης της Εταιρίας προς τον ΓΚΠΔ,

στ) παρακολουθεί και βοηθά στην εκτίμηση του αντικτύπου στα προσωπικά δεδομένα,

ζ) είναι υπεύθυνος για την απάντηση στα αιτήματα πληροφόρησης των υποκειμένων των δεδομένων,

η) είναι υπεύθυνος για την ευαισθητοποίηση του προσωπικού της Εταιρίας αναφορικά με την προστασία των προσωπικών δεδομένων και για την παροχή συμβουλών περί της επεξεργασίας των προσωπικών δεδομένων και των συναφών υποχρεώσεων,

θ) ενεργεί ως πρόσωπο επικοινωνίας των εποπτικών αρχών σε θέματα σχετικά με την επεξεργασία προσωπικών δεδομένων, συνεργαζόμενος με αυτές σε οποιοδήποτε άλλο θέμα.

2.8. Διοίκηση

Η Διοίκηση της Εταιρίας δεσμεύεται στην τήρηση και εφαρμογή της παρούσας πολιτικής, παρέχοντας το απαραίτητο προσωπικό και τους οικονομικούς πόρους. Η Διοίκηση διασφαλίζει ότι οι υπάλληλοι, τα στελέχη, οι συνεργάτες της Εταιρίας και οι οντότητες για τις οποίες αυτοί είναι υπεύθυνοι, γνωρίζουν, κατανοούν και τηρούν τις απαιτήσεις αυτής της πολιτικής και είναι κατάλληλα εκπαιδευμένοι για να εκπληρώσουν πλήρως αυτό το καθήκον τους.

2.9. Παραβίαση της Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Κάθε παραβίαση της παρούσας πολιτικής προστασίας προσωπικών δεδομένων συνεπάγεται σοβαρές ευθύνες για όποιον την παραβιάζει, οι οποίες ενδέχεται να επιφέρουν πειθαρχικές κυρώσεις έως και την απόλυση του υπαιτίου σε εξαιρετικά σοβαρές περιπτώσεις. Ανάλογα με το είδος και την έκταση της παραβίασης, ενδέχεται να υπάρχει η υποχρέωση αναφοράς της στην εποπτική αρχή και η επιβολή ποινικών, αστικών ή κανονιστικών κυρώσεων.

  1. Λεπτομέρειες – Παρατηρήσεις – Αναφορά προς τις Αρχές

Για περισσότερες πληροφορίες σε σχέση με την προστασία των προσωπικών δεδομένων, μπορείτε να ανατρέξετε στην ιστοσελίδα της Ευρωπαϊκής Επιτροπής (https://ec.europa.eu/info/law/law-topic/data-protection_el) ή στην ιστοσελίδα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL).

Για οποιαδήποτε παρατήρηση ή ερώτηση σχετικά με τα προσωπικά σας δεδομένα και την επεξεργασία τους από την Εταιρία, παρακαλείστε να επικοινωνήσετε μαζί μας στη διεύθυνση [email protected] .

Έχετε δικαίωμα να απευθύνεστε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Λεωφόρος Κηφισίας αριθ. 1-3, 115 23, Αθήνα, τηλέφωνο: 210.6475600, email: [email protected]).