ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ [ver. 1.0.0] (30-05-2021)

1. Εισαγωγή

 

1.1 Ιστορική διαδρομή του γενικού κανονισμού για την προστασία των δεδομένων («GDPR»)

Ο γενικός κανονισμός για την προστασία των δεδομένων του 2016 αντικαθιστά την οδηγία της ΕΕ για την προστασία των δεδομένων του 1995 και αντικαθιστά τις νομοθεσίες των επιμέρους κρατών μελών που αναπτύχθηκαν σύμφωνα με την οδηγία 95/46 / ΕΚ για την προστασία των δεδομένων. Σκοπός του είναι να προστατεύσει τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (δηλαδή τα εν ζωή άτομα) και να διασφαλίσει ότι τα προσωπικά δεδομένα τους δεν θα υποστούν επεξεργασία χωρίς να το γνωρίζουν και, όπου είναι δυνατόν, ότι αυτά θα επεξεργάζονται με τη συγκατάθεσή τους.

 

1.2 Ορισμοί που χρησιμοποιούνται από τον οργανισμό (σύμφωνα με τον κανονισμό GDPR)

Ουσιαστικό πεδίο εφαρμογής (άρθρο 2): ο GDPR εφαρμόζεται στην εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

 

Εδαφικό πεδίο εφαρμογής (άρθρο 3) : ο GDPR θα εφαρμόζεται σε όλους τους υπεύθυνους επεξεργασίας που είναι εγκατεστημένοι στην ΕΕ (Ευρωπαϊκή Ένωση) και επεξεργάζονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων στο πλαίσιο της ίδιας εγκατάστασης. Θα ισχύει επίσης για τους υπεύθυνους επεξεργασίας εκτός της ΕΕ που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα προκειμένου να προσφέρουν αγαθά και υπηρεσίες ή να παρακολουθούν τη συμπεριφορά των υποκειμένων των δεδομένων που διαμένουν στην ΕΕ.

 

 

1.3 Ορισμοί του άρθρου 4

Εγκατάσταση: η κύρια εγκατάσταση του υπεύθυνου επεξεργασίας στην ΕΕ  είναι ο τόπος στον οποίο ο υπεύθυνος της επεξεργασίας λαμβάνει τις βασικές αποφάσεις ως προς τον σκοπό και τα μέσα των δραστηριοτήτων επεξεργασίας δεδομένων. Η κύρια εγκατάσταση ενός μεταποιητή στην ΕΕ είναι το διοικητικό του κέντρο. Εάν ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος εκτός της ΕΕ, θα πρέπει να διορίσει έναν εκπρόσωπο με δικαιοδοσία να ενεργεί για λογαριασμό του εκτελούντος την επεξεργασία και να τον αντιπροσωπεύει στις εποπτικές αρχές. 

Προσωπικά δεδομένα: οποιαδήποτε πληροφορία σχετικά με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένα»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο, του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. 

Ειδικές κατηγορίες προσωπικών δεδομένων: προσωπικά δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε  συνδικαλιστικές οργανώσεις και επεξεργασία γενετικών δεδομένων, βιομετρικά δεδομένα για τον μοναδικό εντοπισμό φυσικού προσώπου, δεδομένα σχετικά με την υγεία ή δεδομένα σχετικά με τη σεξουαλική ζωή ή το γενετήσιο προσανατολισμό ενός φυσικού προσώπου.

Υπεύθυνος επεξεργασίας:  το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, ο οργανισμός ή άλλος φορέας ο οποίος, από μόνος του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα · όταν οι σκοποί και τα μέσα αυτής της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για το διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή των κρατών μελών.

Υποκείμενο των δεδομένων: κάθε εν ζωή άτομο που αποτελεί το αντικείμενο προσωπικών δεδομένων που κατέχει ο οργανισμός.

Επεξεργασία: κάθε εργασία ή σύνολο εργασιών που εκτελείται σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, είτε με τη χρήση αυτοματοποιημένων μέσων είτε όχι, όπως συλλογή, καταγραφή, οργάνωση, διαμόρφωση, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, κοινολόγηση με διαβίβαση, διάδοσης ή άλλης διάθεσης, ευθυγράμμισης ή συνδυασμού, περιορισμού, διαγραφής ή καταστροφής.

Κατάρτιση προφίλ: είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που αποσκοπεί στην αξιολόγηση ορισμένων προσωπικών στοιχείων που σχετίζονται με ένα φυσικό πρόσωπο ή στην ανάλυση ή την πρόβλεψη της απόδοσης του ατόμου στην εργασία, την οικονομική του κατάσταση, την τοποθεσία του, την υγεία του, τις προσωπικές του προτιμήσεις, την αξιοπιστία ή τη συμπεριφορά του. Ο ορισμός αυτός συνδέεται με το δικαίωμα του υποκειμένου των δεδομένων να αντιτίθεται στη διαμόρφωση προφίλ και το δικαίωμα ενημέρωσης σχετικά με την ύπαρξη χαρακτηριστικών στοιχείων ή  μέτρων που βασίζονται στον προσδιορισμό του προφίλ και των προβλεπόμενων επιπτώσεων της ανάλυσης του στο άτομο. 

Παραβίαση προσωπικών δεδομένων: παραβίαση της ασφάλειας που οδηγεί στην τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που μεταδίδονται, αποθηκεύονται ή τυγχάνουν άλλης επεξεργασίας. Ο υπεύθυνος επεξεργασίας υποχρεούται να αναφέρει τις παραβιάσεις προσωπικών δεδομένων στην εποπτική αρχή όταν η παραβίαση ενδέχεται να επηρεάσει αρνητικά τα προσωπικά δεδομένα ή το απόρρητο του υποκειμένου των δεδομένων.

Συγκατάθεση του υποκειμένου των δεδομένων: σημαίνει κάθε ελεύθερη, συγκεκριμένη, ενημερωμένη και σαφής ένδειξη των επιθυμιών του υποκειμένου των δεδομένων με την οποία αυτός, με δήλωση ή με σαφή καταφατική ενέργεια, συμφωνεί με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Παιδί : ο GDPR ορίζει ένα παιδί ως άτομο κάτω από την ηλικία των 16 ετών, αν και αυτό μπορεί να μειωθεί σε 13 από το δίκαιο των κρατών μελών. Η επεξεργασία των προσωπικών δεδομένων ενός παιδιού είναι νόμιμη μόνο αν έχει ληφθεί συναίνεση των γονέων ή των ασκούντων την γονική μέριμνα. Ο υπεύθυνος της επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει σε τέτοιες περιπτώσεις ότι ο κάτοχος γονικής μέριμνας σχετικά με το παιδί παρέχει ή επιτρέπει τη συγκατάθεσή του. Hελληνική νομοθεσία ορίζει ως ανήλικο, το παιδί μέχρι 15 ετών.

Τρίτος: φυσικό ή νομικό πρόσωπο, δημόσια αρχή, οργανισμός ή φορέας εκτός από το υποκείμενο των δεδομένων τον υπεύθυνο επεξεργασίας, τον εκτελών την επεξεργασία και πρόσωπα τα οποία υπό την άμεση εξουσία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία έχουν εξουσιοδοτηθεί να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. 

Σύστημα αρχειοθέτησης:  κάθε δομημένο σύνολο προσωπικών δεδομένων, τα οποία είναι προσβάσιμα σύμφωνα με συγκεκριμένα κριτήρια, κεντρικά, αποκεντρωμένα ή διασκορπισμένα σε λειτουργική ή γεωγραφική βάση. 

 

2. Δήλωση πολιτικής

  • 2.1 Η εφαρμογή του «evivliario», μέσω του Διαχειριστή της, δεσμεύεται να συμμορφώνεται με όλους τους σχετικούς νόμους της ΕΕ και των κρατών μελών όσον αφορά τα προσωπικά δεδομένα και την προστασία των δικαιωμάτων και ελευθεριών και όλες οι διεργασίες της εταιρίας να συμμορφώνονται με τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR).
  • 2.2 Η συμμόρφωση με το GDPR περιγράφεται στην παρούσα πολιτική  μαζί με τις σχετικές διαδικασίες του συστήματος διαχείρισης προσωπικών πληροφοριών που εφαρμόζει ο οργανισμός.
  • 2.3 Τα όσα προβλέπει ο GDPR και η παρούσα πολιτική ισχύουν για όλες τις λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα της Εταιρίας, συμπεριλαμβανομένων εκείνων που εκτελούνται σε προσωπικά δεδομένα πελατών, εργαζομένων, προμηθευτών, υπεργολάβων και συνεργατών και οποιωνδήποτε άλλων προσωπικών δεδομένων που επεξεργάζεται ο οργανισμός από οποιαδήποτε πηγή.
  • 2.4 Η Εταιρία έχει καθορίσει στόχους για την προστασία των δεδομένων προσωπικού χαρακτήρα και την εξασφάλιση της ιδιωτικότητας οι οποίοι περιλαμβάνονται στην αντίστοιχη διαδικασία.
  • 2.5 Ο Διαχειριστής είναι υπεύθυνος για την επανεξέταση του αρχείου επεξεργασίας ετησίως υπό το πρίσμα οποιωνδήποτε αλλαγών στις δραστηριότητες της Εταιρίας και σε οποιεσδήποτε πρόσθετες απαιτήσεις προσδιορίζονται μέσω της αξιολόγηση των επιπτώσεων στην προστασία των δεδομένων προσωπικού χαρακτήρα. Το αρχείο αυτό είναι διαθέσιμο κατόπιν αιτήματος της εποπτικής αρχής.
  • 2.6 Η πολιτική αυτή ισχύει για όλους τους εργαζομένους καθώς και όλα τα υπόλοιπα ενδιαφερόμενα μέρη της  Εταιρίας, όπως τους πελάτες, τους προμηθευτές, τους συνεργάτες και τους υπεργολάβους. Οποιαδήποτε παραβίαση του GDPR θα αντιμετωπιστεί σύμφωνα με τις συμβάσεις που έχουν συνταχθεί ανάμεσα στην Εταιρία και τα τρίτα ενδιαφερόμενα μέρη και μπορεί επίσης να αποτελεί ποινικό αδίκημα, οπότε το θέμα θα αναφερθεί το συντομότερο δυνατόν στις αρμόδιες αρχές.
  • 2.7 Οι Συνεργάτες και τυχόν τρίτα μέρη που συνεργάζονται με την Εταιρία και που έχουν ή ενδέχεται να έχουν πρόσβαση σε προσωπικά δεδομένα, αναμένεται να έχουν διαβάσει, κατανοήσει και συμμορφωθεί με αυτήν την πολιτική. Κανένα τρίτο μέρος δεν μπορεί να έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που κατέχονται από την Εταιρία, χωρίς να έχει αρχικά συνάψει συμφωνία εμπιστευτικότητας δεδομένων. Η Εταιρία έχει δικαίωμα να ελέγχει τη συμμόρφωση με τη συμφωνία. 

 

Δήλωση Πολιτικής

Για να υποστηρίξει τη συμμόρφωση με τον GDPR, η Διοίκηση ενέκρινε και υποστήριξε την ανάπτυξη, υλοποίηση, συντήρηση και συνεχή βελτίωση ενός τεκμηριωμένου συστήματος διαχείρισης προσωπικών πληροφοριών (ΣΔΠΠ) για την Εταιρία.

Όλοι οι εργαζόμενοι της Εταιρίας καθώς και οι εξωτερικοί συνεργάτες που έχουν πρόσβαση στα προσωπικά δεδομένα που επεξεργάζονται από την Εταιρία αναμένεται να συμμορφωθούν με αυτήν την πολιτική και με το ΣΔΠΠ που εφαρμόζει αυτήν την πολιτική. Όλοι οι εργαζόμενοι της Εταιρίας θα λάβουν την κατάλληλη εκπαίδευση. Οι συνέπειες της παραβίασης αυτής της πολιτικής ορίζονται στις συμβάσεις εργασίας και σε συμβάσεις και συμφωνίες με τρίτους.Κατά τον προσδιορισμό του πεδίου εφαρμογής της για τη συμμόρφωση με το τον GDPR, η Εταιρία λαμβάνει υπόψη:

  • οποιαδήποτε εξωτερικά και εσωτερικά ζητήματα που σχετίζονται με τον σκοπό της Εταιρίας και επηρεάζουν την ικανότητά της να επιτύχει τα επιδιωκόμενα αποτελέσματα του ΣΔΠΠ της.
  • Ειδικές ανάγκες και προσδοκίες των ενδιαφερομένων μερών που σχετίζονται με την εφαρμογή του ΣΔΠΠ.
  • Οργανωτικούς στόχους και υποχρεώσεις.
  • Τα αποδεκτά επίπεδα κινδύνου της Εταιρίας και
  • Τις τυχόν ισχύουσες κανονιστικές  ή/και συμβατικές υποχρεώσεις. 

Οι στόχοι της Εταιρίας ως προς τη συμμόρφωση με τον GDPR είναι οι εξής:

  1. Να είναι συνεπείς με αυτήν την πολιτική
  2. Να  είναι μετρήσιμοι
  3. Να λαμβάνουν υπόψη τις απαιτήσεις του GDPR  και τα αποτελέσματα από την αξιολόγηση και αντιμετώπιση των κινδύνων
  4. Να παρακολουθούνται
  5. Να ενημερώνονται κατά περίπτωση
  6. Να κοινοποιούνται

Προκειμένου να επιτευχθούν αυτοί οι στόχοι, η Εταιρία έχει καθορίσει:

  • τι θα γίνει
  • ποιοι πόροι θα απαιτηθούν
  • ποιος θα είναι υπεύθυνος υλοποίησης
  • πότε θα ολοκληρωθεί η υλοποίηση
  • πώς θα αξιολογηθούν τα αποτελέσματα 

 

3. Ευθύνες και ρόλοι στο πλαίσιο του κανονισμού για την προστασία των δεδομένων

  • 3.1 Η ανώτατη διοίκηση και όλοι όσοι διαδραματίζουν διευθυντικό ή εποπτικό ρόλο στο σύνολο των διεργασιών της εταιρίας, όπως επίσης και οι εξωτερικοί συνεργάτες που παρέχουν υπηρεσίες τεχνικής υποστήριξης ή/και αναβάθμισης του λογισμικού που παρέχει η εταιρία  είναι υπεύθυνοι για την ανάπτυξη και την ενθάρρυνση πρακτικών ορθής διαχείρισης πληροφοριών σε αυτήν . Οι ευθύνες καθορίζονται στις ατομικές περιγραφές θέσεων εργασίας και στις συμβάσεις και συμφωνίες με τρίτους.
  • 3.2 Ο διαχειριστής των δεδομένων αναλαμβάνει τη διαχείριση των προσωπικών δεδομένων στην Εταιρία και διασφαλίζει ότι μπορεί να αποδειχθεί η συμμόρφωση με τη νομοθεσία για την προστασία των δεδομένων και τις ορθές πρακτικές. Αυτή η λογοδοσία περιλαμβάνει:
    • 3.2.1 Ανάπτυξη και εφαρμογή του GDPR όπως απαιτείται από αυτήν την πολιτική  και
    • 3.2.2 Διαχείριση της ασφάλειας και της επικινδυνότητας σε σχέση με τη συμμόρφωση με την πολιτική. 
  • 3.3 Ο Υπεύθυνος Προστασίας Δεδομένων, ο οποίος έχει επιλεχθεί από τον Διαχειριστή, ως κατάλληλα ειδικευμένος και έμπειρος, έχει οριστεί να αναλαμβάνει καθημερινά την ευθύνη για την συμμόρφωση της Εταιρίας  με την πολιτική αυτή και, ειδικότερα, έχει την  άμεση ευθύνη να διασφαλίζει ότι η Εταιρία συμμορφώνεται με τον GDPR, στο σύνολο των διεργασιών της.
  • 3.4 Ο Διαχειριστής αποτελεί το πρόσωπο στο οποίο πρέπει να απευθύνονται τόσο οι εργαζόμενοι όσο και τα τρίτα μέρη που ζητούν διευκρινίσεις σχετικά με οποιαδήποτε πτυχή της συμμόρφωσης με την προστασία δεδομένων προσωπικού χαρακτήρα.
  • 3.5 Η συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων είναι ευθύνη όλων των εργαζομένων της εταιρίας που επεξεργάζονται τα προσωπικά δεδομένα

 

4. Αρχές προστασίας δεδομένων

Όλες οι επεξεργασίες δεδομένων προσωπικού χαρακτήρα διεξάγονται σύμφωνα με τις αρχές προστασίας δεδομένων που ορίζονται στο άρθρο 5 του GDPR. Οι πολιτικές και οι διαδικασίες της Εταιρίας έχουν σχεδιαστεί για να διασφαλίζουν τη συμμόρφωση με τις αρχές αυτές.

  • 4.1 Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (νομιμότητα, αντικειμενικότητα και διαφάνεια).Σύννομη επεξεργασία: πρέπει να προσδιοριστεί  μια νόμιμη βάση πριν την επεξεργασία των προσωπικών δεδομένων, όπως για παράδειγμα η συγκατάθεση.Ακριβώς  για να είναι δίκαιη η επεξεργασία, ο υπεύθυνος επεξεργασίας διαθέτει συγκεκριμένα στοιχεία στα υποκείμενα των δεδομένων, εφ όσον είναι εφικτό. Αυτό ισχύει είτε τα προσωπικά δεδομένα αποκτήθηκαν απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα είτε από άλλες πηγές.Ο GDPR έχει αυξήσει τις απαιτήσεις σχετικά με τις πληροφορίες που πρέπει να είναι διαθέσιμες στα υποκείμενα των δεδομένων, τα οποία καλύπτονται από την απαίτηση «Διαφάνεια».
  • Διαφάνεια: ο GDPR περιλαμβάνει κανόνες για την παροχή πληροφοριών σχετικά με τα προσωπικά δεδομένα στα υποκείμενα των δεδομένων στα άρθρα 12, 13 και 14. Αυτοί είναι λεπτομερείς και συγκεκριμένοι, δίνοντας έμφαση στην κατανόηση και την πρόσβαση στις ανακοινώσεις περί απορρήτου. Οι πληροφορίες κοινοποιούνται στο υποκείμενο των δεδομένων σε κατανοητή μορφή με σαφή και απλή γλώσσα.Οι συγκεκριμένες πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων περιλαμβάνουν τουλάχιστον: 
    • 4.1.1 Τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, ενδεχομένως, του εκτελούντος την επεξεργασία.- dpo@evivliario.gr
    • 4.1.2 Τα στοιχεία επικοινωνίας της εταιρίας.- info@eviviliario.gr
    • 4.1.3 Τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα προσωπικά δεδομένα καθώς και τη νομική βάση για την επεξεργασία.Η εφαρμογή «evivliario» δεν αντικαθιστά, αλλά συμπληρώνει το έντυπο βιβλιάριο των υποκειμένων των δεδομένων, δίνοντας το δικαίωμα πρόσβασης στους ίδιους, σε εξουσιοδοτημένες από το νόμο επαφές τους και στους θεράποντες ιατρούς τους, στο ιατρικό ιστορικό και τις ιατρικές πράξεις τους. Η νομική βάση της επεξεργασίας είναι η συγκατάθεση που δίνεται ρητά από τον χρήστη ή/και από τις εξουσιοδοτημένες επαφές του, μέσω της αποδοχής των όρων χρήσης και της παρούσας πολιτικής. Η συγκατάθεση αυτή διασταυρώνεται με τη χρήση του κωδικού που αποστέλλεται από το «evivliario».
    • 4.1.4 Την περίοδο για την οποία αποθηκεύονται τα προσωπικά δεδομέναΗ εφαρμογή κρατάει τα προσωπικά δεδομένα των χρηστών μέχρι να ζητηθεί από τους ίδιους να τα διαγράψει ή/ και να τα μεταφέρει σε κάποιον άλλο πάροχο των συγκεκριμένων υπηρεσιών.  
    • 4.1.5 Την ύπαρξη δικαιωμάτων πρόσβασης, διόρθωσης, διαγραφής ή διαμαρτυρίας στην επεξεργασία και των όρων (ή έλλειψης) σχετικά με την άσκηση αυτών των δικαιωμάτων, όπως το αν θα επηρεαστεί η νομιμότητα της προηγούμενης επεξεργασίας.Ο χρήστης έχει το δικαίωμα πρόσβασης στα προσωπικά του δεδομένα, μέσω της χρήσης της εφαρμογής. Είναι ο μόνος που έχει πλήρη πρόσβαση σε όλα του τα δεδομένα και αυτός που αποφασίζει την πρόσβαση των θεράποντων ιατρών στο σύνολο ή σε επιμέρους τμήματα τους. Μέσω της παρούσας πολιτικής, ο χρήστης ενημερώνεται για τα δικαιώματά του σε ότι αφορά την πρόσβαση, διόρθωση, διαγραφή ή διαμαρτυρία στην επεξεργασία των προσωπικών του δεδομένων.
    • 4.1.6 Τις κατηγορίες των σχετικών δεδομένων προσωπικού χαρακτήρα.- Τα προσωπικά δεδομένα που δίνονται στην εφαρμογή αφορούν τα δημογραφικά στοιχεία και το ιατρικό ιστορικό, ιατρικές εξετάσεις, αποτελέσματα και ιατρικές πράξεις του υποκειμένου των δεδομένων.
    • 4.1.7 Τους παραλήπτες ή τις κατηγορίες αποδεκτών των προσωπικών δεδομένων, κατά περίπτωσηΟι παραλήπτες είναι οι θεράποντες ιατροί και τα ίδια τα υποκείμενα των δεδομένων. Σε περίπτωση που οι ιατροί δίνουν πρόσβαση σε μέλη του προσωπικού τους ή/και σε εξωτερικούς συνεργάτες τους στον ιατρικό φάκελο του ασθενή ή σε πληροφορίες που συλλέγουν από τον ίδιο τον ασθενή μέσω της εφαρμογής, φέρουν την αποκλειστική ευθύνη για τη λήψη συγκατάθεσης από το υποκείμενο των δεδομένων για αυτές τους τις ενέργειες.
    • 4.1.8 Οποιεσδήποτε περαιτέρω πληροφορίες είναι απαραίτητες για την εξασφάλιση της δίκαιης επεξεργασίας. 
  • 4.2 Τα προσωπικά δεδομένα συλλέγονται μόνο για συγκεκριμένους, σαφείς και νόμιμους σκοπούς.Τα δεδομένα που λαμβάνονται για καθορισμένους σκοπούς δεν χρησιμοποιούνται για σκοπούς διαφορετικούς από εκείνους που κοινοποιούνται επίσημα στον χρήστη της εφαρμογής, μέσω των όρων χρήσης.  
  • 4.3 Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε όσα είναι απαραίτητα για την επεξεργασία.
    • 4.3.1 Ο Διαχειριστής είναι υπεύθυνος για τη διασφάλιση ότι η Εταιρία δεν συλλέγει πληροφορίες που δεν είναι απολύτως απαραίτητες για τον σκοπό για τον οποίο αποκτήθηκαν.
    • 4.3.2 Όλα τα έντυπα συλλογής δεδομένων (ηλεκτρονικά ή έντυπα), συμπεριλαμβανομένων των απαιτήσεων συλλογής δεδομένων σε νέα συστήματα πληροφοριών, περιλαμβάνουν μια δήλωση δίκαιης επεξεργασίας ή σύνδεση με τη δήλωση προστασίας απορρήτου και να έχουν εγκριθεί από τον υπεύθυνο προστασίας δεδομένων.
    • 4.3.3 Ο Διαχειριστής θα μεριμνήσει ώστε, σε ετήσια βάση, όλες οι μέθοδοι συλλογής δεδομένων θα επανεξεταστούν από τον εσωτερικό ελεγκτή ή/και εξωτερικούς εμπειρογνώμονες, προκειμένου να διασφαλιστεί ότι τα συλλεγόμενα δεδομένα εξακολουθούν να είναι επαρκή, συναφή και όχι υπερβολικά. 
  • 4.4 Τα προσωπικά δεδομένα είναι ακριβή και ενημερώνονται και κάθε προσπάθεια να διαγραφούν ή να διορθωθούν γίνεται χωρίς καθυστέρηση. Ο τρόπος με τον οποίο διορθώνονται ή/και διαγράφονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων από την εφαρμογή, αναλύεται στους όρους χρήσης που αποτελούν αναπόσπαστο κομμάτι της παρούσας πολιτικής.
    • 4.4.1 Τα δεδομένα που αποθηκεύονται επανεξετάζονται και να ενημερώνονται όπως απαιτείται. Δεν διατηρούνται δεδομένα εκτός αν είναι εύλογο να υποτεθεί ότι είναι ακριβή. Η εξασφάλιση της ακρίβειας των δεδομένων γίνεται μέσω του ίδιου του υποκειμένου των δεδομένων.
    • 4.4.2 Ο Διαχειριστής είναι υπεύθυνος για την εξασφάλιση ότι όλο το προσωπικό εκπαιδεύεται στη σημασία της συλλογής συγκεκριμένων δεδομένων και της διατήρησής τους.
    • 4.4.3 Είναι επίσης ευθύνη του υποκειμένου των δεδομένων να διασφαλίσει ότι τα δεδομένα που κατέχει η Εταιρία είναι ακριβή και ενημερωμένα. Το υποκείμενο των δεδομένων. Αποδεχόμενο τους όρους χρήσης και συναινώντας στη χρήση της εφαρμογής επιβεβαιώνει ότι τα δεδομένα που δηλώνει για την εγγραφή στην εφαρμογή είναι ακριβή κατά την ημερομηνία υποβολής.
    • 4.4.4 Οι εργαζόμενοι και όλα τα τρίτα μέρη υποχρεώνονται να κοινοποιούν στην  Εταιρία  οποιεσδήποτε αλλαγές στις περιστάσεις ώστε να είναι δυνατή η ενημέρωση των προσωπικών τους αρχείων. Είναι ευθύνη της Εταιρίας να διασφαλίζει ότι καταγράφεται οποιαδήποτε κοινοποίηση σχετικά με την αλλαγή περιστάσεων και τις ενέργειες που ακολουθούνται.
    • 4.4.5 Ο Διαχειριστής είναι υπεύθυνος για τη διασφάλιση της ύπαρξης κατάλληλων διαδικασιών και πολιτικών για την ακριβή και ενημερωμένη ενημέρωση των προσωπικών δεδομένων, λαμβάνοντας υπόψη τον όγκο των δεδομένων που συλλέγονται, την ταχύτητα με την οποία μπορεί να αλλάξουν  και οποιουσδήποτε άλλους συναφείς παράγοντες.
    • 4.4.6  Τουλάχιστον μία φορά το χρόνο, ο Διαχειριστής εξετάζει τις ημερομηνίες διατήρησης όλων των προσωπικών δεδομένων που επεξεργάζονται από την Εταιρία, με αναφορά στην απογραφή δεδομένων και θα προσδιορίζει τυχόν δεδομένα που δεν απαιτούνται πλέον στο πλαίσιο του εγγεγραμμένου σκοπού. Αυτά τα δεδομένα θα διαγράφονται / καταστρέφονται με ασφάλεια σύμφωνα με την αντίστοιχη Διαδικασία.
    • 4.4.7 Ο Διαχειριστής είναι υπεύθυνος για την απάντηση σε αιτήματα για διόρθωση από τα υποκείμενα των δεδομένων εντός ενός μηνός. Αυτό μπορεί να επεκταθεί σε δύο επιπλέον μήνες για περίπλοκα αιτήματα. Εάν η Εταιρία αποφασίσει να μην συμμορφωθεί με την αίτηση, ο Διαχειριστής πρέπει να απαντήσει στο υποκείμενο των δεδομένων για να εξηγήσει τη συλλογιστική του και να το ενημερώσει για το δικαίωμά του να υποβάλει καταγγελία στην εποπτική αρχή και να ζητήσει ένδικα μέσα. 
  • 4.5 Τα δεδομένα προσωπικού χαρακτήρα φυλάσσονται κατά τρόπο ώστε το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μπορεί να ταυτοποιηθεί μόνο εφόσον είναι αναγκαίο για την επεξεργασία.
    • 4.5.1 Όταν τα προσωπικά δεδομένα διατηρούνται πέρα ​​από την ημερομηνία επεξεργασίας, ελαχιστοποιούνται / κρυπτογραφούνται / ψευδοανωνυμοποιούνται προκειμένου να προστατευθεί η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα σε περίπτωση παραβίασης των δεδομένων.
    • 4.5.2 Τα προσωπικά δεδομένα διατηρούνται σύμφωνα με την αντίστοιχη Διαδικασία (Διατήρησης των Αρχείων) και, μόλις περατωθεί η ημερομηνία κράτησής τους, καταστρέφονται με ασφάλεια σύμφωνα με τη διαδικασία αυτή.
    • 4.5.3 Ο Διαχειριστής εγκρίνει συγκεκριμένα κάθε διατήρηση δεδομένων που υπερβαίνει τις περιόδους διατήρησης που ορίζονται στη Διαδικασία Διατήρησης Αρχείων και διασφαλίζει ότι η αιτιολόγηση είναι σαφώς προσδιορισμένη και ανταποκρίνεται στις απαιτήσεις της νομοθεσία για την προστασία των δεδομένων. Η έγκριση αυτή είναι γραπτά τεκμηριωμένη. 
  • 4.6 Τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εξασφαλίζει την κατάλληλη ασφάλεια.Ο Διαχειριστής έχει προβεί σε εκτίμηση επικινδυνότητας λαμβάνοντας υπόψη όλες τις περιστάσεις των πράξεων ελέγχου ή επεξεργασίας της Εταιρίας.

Για τον προσδιορισμό της καταλληλότητας, ο Διαχειριστής έχει εξετάσει την έκταση της πιθανής ζημίας ή απώλειας που μπορεί να προκληθεί σε άτομα (π.χ. προσωπικό ή πελάτες) σε περίπτωση παραβίασης της ασφάλειας, καθώς και τυχόν ζημιές για τη φήμη της Εταιρίας, συμπεριλαμβανομένης της πιθανής απώλειας εμπιστοσύνης των πελατών.

Κατά την αξιολόγηση των κατάλληλων τεχνικών μέτρων, ο Διαχειριστής έχει εξετάσει τα ακόλουθα:

  • Προστασία με κωδικό πρόσβασης
  • Αυτόματο κλείδωμα υπολογιστών.
  • Αφαίρεση δικαιωμάτων πρόσβασης για USB και άλλα μέσα μνήμης.
  • Λογισμικό ελέγχου ιών και τείχη προστασίας.
  • Δικαιώματα πρόσβασης βασισμένα σε ρόλους, συμπεριλαμβανομένων εκείνων που εκχωρούνται σε έκτακτο προσωπικό.
  • Κρυπτογράφηση συσκευών που εγκαταλείπουν τις εγκαταστάσεις των οργανισμών, όπως φορητοί υπολογιστές.
  • Ασφάλεια τοπικών και ευρύτερων δικτύων
  • Τεχνολογίες για την προστασία της ιδιωτικής ζωής όπως η ψευδωνυμοποίηση και η ανωνυμία.
  • Ειδικές συμφωνίες με τρίτους που επεξεργάζονται για λογαριασμό της εταιρίας τα προσωπικά δεδομένα των πελατών, μέσω των οποίων εξασφαλίζονται και από αυτούς όλα τα παραπάνω. 

Κατά την αξιολόγηση κατάλληλων οργανωτικών μέτρων, ο Διαχειριστής έχει εξετάσει τα ακόλουθα

  • Τα κατάλληλα επίπεδα εκπαίδευσης σε όλο τον οργανισμό.
  • Μέτρα που λαμβάνουν υπόψη την αξιοπιστία των εργαζομένων (όπως οι αναφορές κλπ.).
  • Τη συμπερίληψη της προστασίας δεδομένων στις συμβάσεις εργασίας.
  • Τον εντοπισμό μέτρων πειθαρχικής δράσης για παραβιάσεις δεδομένων.
  • Την παρακολούθηση του προσωπικού για τη συμμόρφωση με τα σχετικά πρότυπα ασφαλείας.
  • Του ελέγχους φυσικής πρόσβασης σε ηλεκτρονικά και έντυπα μέσα.
  • Την αποθήκευση των έντυπων δεδομένων σε ντουλάπια που να μπορούν να κλειδωθούν.
  • Τον περιορισμό της χρήσης φορητών ηλεκτρονικών συσκευών εκτός του χώρου εργασίας.
  • Τον περιορισμό της χρήσης των προσωπικών συσκευών των εργαζομένων που χρησιμοποιούνται στο χώρο εργασίας.
  • Την υιοθέτηση σαφών κανόνων σχετικά με τους κωδικούς πρόσβασης.
  • Τη δημιουργία τακτικών αντιγράφων ασφαλείας των προσωπικών δεδομένων και αποθήκευση των μέσων μαζικής επικοινωνίας εκτός δικτύου.

Αυτοί οι έλεγχοι έχουν επιλεγεί με βάση τους προσδιορισμένους κινδύνους για τα προσωπικά δεδομένα και τις πιθανότητες βλάβης ή κινδύνου σε άτομα τα δεδομένα των οποίων υπόκεινται σε επεξεργασία.Η συμμόρφωση της Εταιρίας με αυτή την αρχή περιέχεται στο Σύστημα Διαχείρισης Προσωπικών Πληροφοριών (ΣΔΠΠ).

  • 4.7 Ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει τη συμμόρφωση και με τις άλλες αρχές του GDPR (λογοδοσία).

Ο GDPR περιλαμβάνει διατάξεις που προωθούν την υπευθυνότητα και τη διακυβέρνηση. Αυτά συμπληρώνουν τις απαιτήσεις διαφάνειας του GDPR. Η αρχή της λογοδοσίας στο άρθρο 5 παράγραφος 2 απαιτεί από την Εταιρία να αποδείξει ότι συμμορφώνεται με τις αρχές του GDPR, με αποκλειστικά δική της ευθύνη.Η Εταιρία επιδεικνύει συμμόρφωση με τις αρχές προστασίας δεδομένων, εφαρμόζοντας πολιτικές προστασίας δεδομένων, εφαρμόζοντας κώδικες δεοντολογίας, εφαρμόζοντας τεχνικά και οργανωτικά μέτρα, καθώς και υιοθετώντας τεχνικές όπως η προστασία δεδομένων από σχεδιασμό, οι διαδικασίες γνωστοποίησης παραβίασης και τα σχέδια αντιμετώπισης περιστατικών.  

5. Δικαιώματα των υποκειμένων των δεδομένων

 

  • 5.1 Τα υποκείμενα των δεδομένων έχουν τα ακόλουθα δικαιώματα όσον αφορά την επεξεργασία δεδομένων και τα δεδομένα που έχουν καταγραφεί για αυτά:
    • 5.1.1 Να υποβάλλουν αιτήσεις πρόσβασης σε θέματα σχετικά με τη φύση των πληροφοριών που κατέχονται και το σε οποίους έχουν αποκαλυφθεί
    • 5.1.2 Να ζητούν να αποφευχθεί η επεξεργασία που ενδέχεται να τους προκαλέσει ζημιά.
    • 5.1.3 Να ζητούν να εμποδίζεται η επεξεργασία για σκοπούς μάρκετινγκ.
    • 5.1.4 Να ζητούν να ενημερωθούν για τη μηχανική της αυτοματοποιημένης διαδικασίας λήψης αποφάσεων που θα τους επηρεάσει σημαντικά.
    • 5.1.5 Να ζητούν να μην παίρνονται σημαντικές αποφάσεις που θα τους επηρεάσουν μόνο με αυτοματοποιημένη διαδικασία.
    • 5.1.6 Να διεκδικήσουν αποζημίωση εάν υποστούν ζημία από οποιαδήποτε παράβαση του GDPR.
    • 5.1.7 Να λαμβάνουν μέτρα για τη διόρθωση, την απαγόρευση, τη διαγραφή, συμπεριλαμβανομένου του δικαιώματος λήθης ή καταστροφής των ανακριβών δεδομένων.
    • 5.1.8 Να ζητούν από την εποπτική αρχή να εκτιμήσει εάν έχει παραβιαστεί οποιαδήποτε διάταξη του GDPR.
    • 5.1.9 Να ζητούν να τους παρασχεθούν προσωπικά δεδομένα με διαρθρωμένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή και να έχουν το δικαίωμα να διαβιβάζονται αυτά τα δεδομένα σε άλλον επεξεργαστή δεδομένων.
    • 5.1.10 Να μπορούν να αντιταχθούν σε οποιοδήποτε αυτοματοποιημένο προφίλ που εμφανίζεται χωρίς τη συγκατάθεση τους. 

 

  • 5.2 Η Εταιρία εξασφαλίζει ότι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μπορούν να ασκούν τα δικαιώματα αυτά.
    • 5.2.1 Τα υποκείμενα των δεδομένων μπορούν να υποβάλλουν αιτήματα πρόσβασης δεδομένων και η εταιρία θα εξασφαλίσει ότι η απόκριση στην αίτηση πρόσβασης δεδομένων θα συμμορφώνεται με τις απαιτήσεις του GDPR. Όλα τα παραπάνω αιτήματα καθώς και  τα παράπονα που τυχόν έχει ο κάθε χρήστης της εφαρμογής από τον τρόπο διαχείρισης των προσωπικών του δεδομένων από την Εταιρία, μπορούν να υποβληθούν από τα υποκείμενα των δεδομένων μέσω μηνύματος ηλεκτρονικού ταχυδρομείου στην ηλεκτρονική διεύθυνση «dpo@evivliario.gr».
    • 5.2.2 Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να υποβάλλουν καταγγελίες στην Εταιρία σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, τη διεκπεραίωση ενός αιτήματος από ένα υποκείμενο των δεδομένων και τις προσφυγές από ένα υποκείμενο των δεδομένων σχετικά με τον τρόπο με τον οποίο διεκπεραιώθηκαν οι καταγγελίες. 

6. Συναίνεση

  • 6.1 Η Εταιρία κατανοεί την έννοια της «συγκατάθεσης», που σημαίνει ότι έχει δοθεί ρητά και ελεύθερα μια συγκεκριμένη, ενημερωμένη και σαφής ένδειξη για τις επιθυμίες του υποκειμένου των δεδομένων. Η σαφής αυτή ένδειξη έχει γίνει γνωστή με δήλωση ή με σαφή καταφατική ενέργεια και δείχνει τη συμφωνία του υποκειμένου για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικά με αυτό. Το υποκείμενο των δεδομένων μπορεί να ανακαλέσει τη συναίνεσή του ανά πάσα στιγμή.
  • 6.2 Η Εταιρία κατανοεί την έννοια της «συγκατάθεσης», που σημαίνει ότι το υποκείμενο των δεδομένων έχει ενημερωθεί πλήρως για την προβλεπόμενη επεξεργασία και έχει υποδείξει τη συμφωνία του,  χωρίς να του έχουν ασκηθεί πιέσεις. Η συναίνεση που αποκτάται υπό πίεση ή βάσει παραπλανητικών πληροφοριών δεν αποτελεί έγκυρη βάση για την επεξεργασία.
  • 6.3 Πρέπει να υπάρξει κάποια ενεργή επικοινωνία μεταξύ των μερών για να αποδειχθεί η ενεργός συναίνεση. Η συναίνεση δεν μπορεί να συναχθεί χωρίς επικοινωνία. Ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι έχει ληφθεί συναίνεση για τη διαδικασία επεξεργασίας. Η συναίνεση στην περίπτωση της εφαρμογής λαμβάνεται με την αποδοχή των όρων χρήσης της η οποία επιβεβαιώνεται με τη χρήση του κωδικού που λαμβάνει το υποκείμενο των δεδομένων ή κάποιο τρίτο πρόσωπο που νομικά αποδεικνύεται πως μπορεί να ενεργεί αντί αυτού από την εφαρμογή. Τα αποδεικτικά της νομιμότητας, σε περίπτωση που κάποιος άλλος ενεργεί για λογαριασμό του υποκειμένου των δεδομένων, συλλέγονται και διατηρούνται από τον θεράποντα ιατρό, με δική του ευθύνη. Η εφαρμογή δεν φέρει ευθύνη για την εγκυρότητα και την ορθότητα των νομιμοποιητικών αυτών εγγράφων.Τα προσωπικά δεδομένα που συλλέγει η Εταιρία για τη λειτουργία της εφαρμογής από τους χρήστες και τις επαφές τους, είναι τα εξής: Στοιχεία Ταυτότητας, στοιχεία επικοινωνίας, Αριθμό φορολογικού μητρώου,  Διεύθυνση Κατοικίας, ΑΜΚΑ, σωματομετρικά στοιχεία,  Ιατρικό Ιστορικό, Ιατρικές Πράξεις, Ιατρικές Εξετάσεις. Με την αποδοχή των όρων χρήσης της εφαρμογής, ο Χρήστης αποδέχεται τη συλλογή και διατήρηση των παραπάνω στοιχείων του από την εταιρία. Ο χρήστης έχει το δικαίωμα να ανακαλέσει την συναίνεση του για την επεξεργασία των προσωπικών δεδομένων που αναφέρονται παραπάνω, μέσω γραπτής αίτησης του στο ηλεκτρονικό ταχυδρομείο της Εταιρίας, στη διεύθυνση : «dpo@evivliario.gr».

 7. Ασφάλεια δεδομένων

  • 7.1 Όλοι οι εργαζόμενοι είναι υπεύθυνοι για τη διασφάλιση ότι τα προσωπικά δεδομένα που κατέχει η Εταιρία και για τα οποία είναι υπεύθυνοι, φυλάσσονται με ασφάλεια και δεν αποκαλύπτονται σε καμία περίπτωση σε τρίτους, εκτός εάν ο τρίτος έχει εξουσιοδότηση να λάβει αυτές τις πληροφορίες, πχ σε περίπτωση που έχει συνάψει συμφωνία εμπιστευτικότητας.
  • 7.2 Όλα τα προσωπικά δεδομένα είναι προσβάσιμα μόνο σε όσους τα χρειάζονται για την εργασία τους και η πρόσβαση επιτρέπεται μόνο σύμφωνα με συμφωνία μεμονωμένου χρήστη που έχει υπογράψει ο κάθε εργαζόμενος με την εταιρία. Όλα τα προσωπικά δεδομένα αντιμετωπίζονται με την υψηλότερη ασφάλεια και πρέπει τηρούνται:
    • σε κλειδωμένο δωμάτιο με ελεγχόμενη πρόσβαση
    • και / ήσε ένα συρτάρι ή σε ένα ερμάριο αρχειοθέτησης
    • και / ή εάν είναι μηχανογραφημένα, προστατευμένα με κωδικό πρόσβασης σύμφωνα με τις εταιρικές απαιτήσεις
    • και/ ή αποθηκευμένα σε (αφαιρούμενα) μέσα υπολογιστή που είναι κρυπτογραφημένα σύμφωνα με την Ασφαλής Απόρριψη μέσων αποθήκευσης.Όλα τα παραπάνω τηρούνται και από τους συνεργάτες της εταιρίας που έχουν πρόσβαση στα δεδομένα της εφαρμογής για λόγους διεκπεραίωσης της εργασίας τους, σύμφωνα με τη μεταξύ τους σύμβαση. 
  • 7.3 Λαμβάνεται μέριμνα ώστε οι οθόνες και οι τερματικοί σταθμοί υπολογιστών να μην είναι ορατοί σε τρίτους πέρα από τους εξουσιοδοτημένους υπαλλήλους του Οργανισμού. Όλοι οι εργαζόμενοι καλούνται να υπογράψουν σύμβαση προτού τους δοθεί πρόσβαση σε οργανωτικές πληροφορίες οποιουδήποτε είδους, οι οποίες περιγράφουν λεπτομερώς τους κανόνες σχετικά με τις υπευθυνότητες τους σε ότι αφορά την προστασία των προσωπικών δεδομένων. 
  • 7.4 Τα μη αυτόματα αρχεία δεν επιτρέπεται να παραμένουν σε θέσεις όπου ενδέχεται να έχει πρόσβαση μη εξουσιοδοτημένο προσωπικό και δεν επιτρέπεται να αφαιρεθούν από τις εγκαταστάσεις χωρίς ρητή [γραπτή] εξουσιοδότηση.  
  • 7.5 Τα προσωπικά δεδομένα μπορούν να διαγραφούν ή να διατεθούν μόνο σύμφωνα με τη διαδικασία διατήρησης αρχείων.
  • 7.6 Η ​​επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός των χώρων της Εταιρίας παρουσιάζει δυνητικά μεγαλύτερο κίνδυνο απώλειας, κλοπής ή ζημίας σε δεδομένα προσωπικού χαρακτήρα. Το προσωπικό είναι εξουσιοδοτημένο ειδικά ώστε να επεξεργάζεται δεδομένα εκτός του χώρου. 
  • 7.7 Ο serverπου χρησιμοποιεί η Εταιρία για την εφαρμογή είναι της εταιρίας «Think.gr», με την οποία έχει συνάψει σύμβαση συντήρησης και ανάπτυξης όλης της εφαρμογής. 

8. Γνωστοποίηση δεδομένων

  • 8.1 Η Εταιρία διασφαλίζει ότι τα προσωπικά δεδομένα δεν αποκαλύπτονται σε τρίτα μη εξουσιοδοτημένα πρόσωπα, συμπεριλαμβανομένων μελών της οικογένειας, φίλων, κυβερνητικών οργάνων και, υπό ορισμένες συνθήκες, της Αστυνομίας. Όλοι οι εργαζόμενοι είναι προσεκτικοί όταν καλούνται να αποκαλύψουν προσωπικά δεδομένα σε τρίτα πρόσωπα και θα πρέπει να παρακολουθήσουν ειδική εκπαίδευση που τους επιτρέπει να αντιμετωπίσουν αποτελεσματικά τον εν λόγω κίνδυνο. Είναι σημαντικό να υπάρχει κατά νου το κατά πόσον η αποκάλυψη των πληροφοριών είναι σχετική και αναγκαία για τη διεξαγωγή των δραστηριοτήτων του Οργανισμού. 

9. Συλλογή, διατήρηση και διάθεση δεδομένων

  • 9.1 Η Εταιρία δύναται να συλλέξει προσωπικά δεδομένα με τους εξής τρόπους (ενδεικτικοί):Εγγραφή στην ΕφαρμογήΕπικοινωνία με εκπρόσωπο της ΕταιρίαςΕγγραφή σε ενημερωτικό δελτίο της ΕταιρίαςCookies που αποθηκεύονται στον υπολογιστή του χρήστη.Η Εταιρία αναγνωρίζει τη σημασία της ασφάλειας των Προσωπικών δεδομένων του χρήστη της εφαρμογής και λαμβάνει όλα τα απαραίτητα μέτρα με τις πιο σύγχρονές και προηγμένες μεθόδους, ώστε να διασφαλίζεται η μέγιστη δυνατή ασφάλεια του χρήστη.Για την είσοδο στην εφαρμογή απαιτούνται όνομα χρήστη και ο προσωπικός κωδικός, οι οποίοι κάθε φορά που καταχωρούνται παρέχουν πρόσβαση με απόλυτη ασφάλεια στο λογαριασμό του χρήστη. Ο χρήστης είναι ο μόνος που έχει πρόσβαση στα στοιχεία του μέσω του προσωπικού κωδικού του και είναι αποκλειστικά υπεύθυνος για τη διατήρηση της μυστικότητας του και την απόκρυψή του από τρίτα πρόσωπα. Σε περίπτωση χρήστη-ασθενή ή επαφής ενός ασθενή, η πρόσβαση στο φάκελο του, μέσω εφαρμογής για κινητά, γίνεται με τη χρήση του κινητού του και ενός κωδικού μίας χρήσης, που αποστέλλεται με SMS κατά την πρώτη είσοδο στην εφαρμογή. Μετά την ταυτοποίηση και επιβεβαίωση του κινητού του, είναι υπεύθυνος ο ίδιος να ορίσει ένα κωδικό PIN ή άλλο τρόπο ταυτοποίησης (faceID, TouchID) προκειμένου να διασφαλίσει την ασφάλεια του φακέλου του, μέσω της εφαρμογής στο κινητό. Μέσω της webεφαρμογής, η είσοδος γίνεται με τη χρήση του κινητού του και ενός κωδικού μίας χρήσης, που αποστέλλεται με SMS η με κωδικό που παράγεται στην ήδη εγκατεστημένη και επιβεβαιωμένη εφαρμογή στο κινητό του.Η Εταιρία δεν φυλάσσει τα προσωπικά δεδομένα σε μορφή που να επιτρέπει τον προσδιορισμό των προσώπων στα οποία αναφέρονται τα δεδομένα για μεγαλύτερο χρονικό διάστημα από αυτό που είναι αναγκαίο, σε σχέση με τον σκοπό για τον οποίο συλλέχθηκαν αρχικά τα δεδομένα.
  • 9.2 Η Εταιρία μπορεί να αποθηκεύει δεδομένα για μεγαλύτερα χρονικά διαστήματα εάν τα προσωπικά δεδομένα υποβληθούν σε επεξεργασία αποκλειστικά για λόγους αρχειοθέτησης, για λόγους δημόσιου συμφέροντος, επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, με την επιφύλαξη της εφαρμογής των κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.
  • 9.3 Η περίοδος διατήρησης για κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα καθορίζεται στη Διαδικασία Διατήρησης των Δεδομένων μαζί με τα κριτήρια που χρησιμοποιούνται για τον προσδιορισμό αυτής της περιόδου.
  • 9.4 Τα προσωπικά δεδομένα διατίθενται με ασφάλεια σύμφωνα με την έκτη αρχή του GDPR - επεξεργάζονται κατά τον κατάλληλο τρόπο για να διατηρούν την ασφάλεια τους, προστατεύοντας έτσι τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.  

10. Μεταφορές δεδομένων 

Όλες οι εξαγωγές δεδομένων από τον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) προς χώρες εκτός του Ευρωπαϊκού Οικονομικού Χώρου (που αναφέρονται ως «τρίτες χώρες») είναι παράνομες, εκτός εάν υπάρχει κατάλληλο «επίπεδο προστασίας των θεμελιωδών δικαιωμάτων των υποκείμενα δεδομένων .Η διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός του ΕΟΧ απαγορεύεται εκτός εάν ισχύουν μία ή περισσότερες από τις καθορισμένες διασφαλίσεις ή εξαιρέσεις, όπως αυτές ορίζονται στον GDPR.Η Εταιρία δεν πραγματοποιεί μεταφορές προσωπικών δεδομένων  προς «τρίτες χώρες».   

11. Απογραφή δεδομένων

  • 11.1 Η Εταιρία έχει καθιερώσει μια διαδικασία απογραφής δεδομένων και ροής δεδομένων ως μέρος της προσέγγισής της για την αντιμετώπιση των κινδύνων και των ευκαιριών στο σύνολο του έργου συμμόρφωσης με τον GDPR. Η απογραφή δεδομένων περιλαμβάνει:
    • Τις επιχειρηματικές διαδικασίες που χρησιμοποιούν προσωπικά δεδομένα.
    • Τις πηγές των προσωπικών δεδομένων.
    • Τον όγκο των προσώπων στα οποία αναφέρονται τα δεδομένα.
    • Την περιγραφή κάθε στοιχείου προσωπικών δεδομένων.
    • Τη δραστηριότητα της επεξεργασίας. 
  • Η Εταιρία:
    • διατηρεί την απογραφή των κατηγοριών δεδομένων των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα,
    • τεκμηριώνει τον σκοπό για τον οποίο χρησιμοποιείται κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα,
    • προσδιορίζει τους παραλήπτες και τους δυνητικούς παραλήπτες των προσωπικών δεδομένων,
    • προσδιορίζει τον δικό της ρόλο σε όλη τη ροή δεδομένωνv  παραθέτει τα βασικά συστήματα και αποθετήρια που χρησιμοποιείv  εξασφαλίζει όλες τις απαιτήσεις διατήρησης και διάθεσης των δεδομένων. 
  • 11.2 Η Εταιρία έχει επίγνωση των κινδύνων που συνδέονται με την επεξεργασία των συγκεκριμένων τύπων προσωπικών δεδομένων.
    • 11.2.1 Η Εταιρία αξιολογεί το επίπεδο κινδύνου για τα άτομα που σχετίζονται με την επεξεργασία των προσωπικών τους δεδομένων.
    • 11.2.2 Η Εταιρία διαχειρίζεται τους κινδύνους που εντοπίζονται από την εκτίμηση κινδύνου, προκειμένου να μειωθεί η πιθανότητα μη συμμόρφωσης με την παρούσα πολιτική.
    • 11.2.3 Όταν ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και λαμβανομένης υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, πριν από τη διεξαγωγή της επεξεργασίας, προβαίνει σε αξιολόγηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία των προσωπικών δεδομένων.
    • 11.2.4 Όταν είναι σαφές ότι η εταιρία πρόκειται να αρχίσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που θα μπορούσαν να προκαλέσουν ζημία ή / και αγωνία στα υποκείμενα των δεδομένων, η απόφαση για το αν πρέπει να προχωρήσει η εταιρία προωθείται για έλεγχο στον υπεύθυνο προστασίας δεδομένων.
    • 11.2.5 Ο υπεύθυνος προστασίας δεδομένων, αν υπάρχουν σημαντικές ανησυχίες, είτε για την ενδεχόμενη ζημία ή αγωνία είτε για την ποσότητα των δεδομένων, προωθεί το ζήτημα στην εποπτική αρχή.  

Ο υπεύθυνος προστασίας δεδομένων είναι υπεύθυνος για το παρόν έγγραφο και για την εξασφάλιση της αναθεώρησης αυτού σύμφωνα με τις απαιτήσεις αναθεώρησης που αναφέρονται παραπάνω. Μια τρέχουσα έκδοση αυτού του εγγράφου είναι διαθέσιμη σε όλα τα μέλη του προσωπικού.