Πολιτική Προστασίας Δεδομένων του Ομίλου Diaverum

 

1. ΟΡΙΣΜΟΙ

 

ΚΥΡΙΟΙ ΟΡΙΣΜΟΙ

«Υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο το οποίο, μόνο του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας. Για παράδειγμα, όταν μια Κλινική του Ομίλου Diaverum επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που αφορούν τους ασθενείς ή τους υπαλλήλους της, είναι ο «υπεύθυνος επεξεργασίας» των εν λόγω δεδομένων.

«Δεδομένα προσωπικού χαρακτήρα» είναι κάθε πληροφορία που αφορά άμεσα ή έμμεσα ένα αναγνωρίσιμο φυσικό πρόσωπο, όπως όνομα, τραπεζικά στοιχεία, αριθμός ταυτότητας, δεδομένα θέσης, ψηφιακό αναγνωριστικό, βιομετρικά δεδομένα ή οποιαδήποτε πληροφορία που αφορά τη φυσική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω προσώπου.

«Επεξεργασία»: κάθε πράξη που εκτελείται σε δεδομένα προσωπικού χαρακτήρα, χειροκίνητα ή αυτοματοποιημένα, όπως η συλλογή, η καταγραφή, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή, η χρήση, η κοινοποίηση με διαβίβαση ή διάδοση.

«Εκτελών την επεξεργασία»: φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας. Για παράδειγμα, εάν μια Κλινική του Ομίλου Diaverum επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό μιας άλλης Κλινικής του Ομίλου Diaverum, θα είναι η «εκτελούσα την επεξεργασία» όσον αφορά τα δεδομένα αυτά.

2. ΣΚΟΠΟΣ

Ο Όμιλος Diaverum («Diaverum») αναγνωρίζει τη σημασία της προστασίας της ιδιωτικής ζωής και της αξιοπρέπειας των ασθενών και των συναδέλφων και ότι όλα τα προσωπικά δεδομένα αντιμετωπίζονται ως εμπιστευτικά κατά τη συλλογή και την αποθήκευση τους. Για τον σκοπό αυτό, η Diaverum έχει υιοθετήσει την παρούσα Πολιτική Προστασίας Δεδομένων του Ομίλου (η «Πολιτική»).

Σκοπός της παρούσας Πολιτικής είναι να καθιερώσει βασικές γνώσεις και ευαισθητοποίηση σε ολόκληρη την Diaverum σχετικά με θέματα προστασίας δεδομένων και ιδιωτικότητας. Στόχος της Diaverum είναι να μειώσει τον κίνδυνο παραβιάσεων και να διασφαλίσει ότι όλα τα προσωπικά δεδομένα διατηρούνται και υποβάλλονται σε επεξεργασία με νόμιμο, δίκαιο και διαφανή τρόπο, καθώς και να διασφαλίσει τη διακυβέρνηση και τη λογοδοσία για τη διευκόλυνση της συμμόρφωσης με την προστασία των δεδομένων. Η Πολιτική προορίζεται να χρησιμεύσει ως έγγραφο-πλαίσιο, το οποίο καθορίζει τις βασικές αρχές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, και ισχύει για όλους εντός της Diaverum και των θυγατρικών της - όλους τους εργαζόμενους, συμπεριλαμβανομένων των μελών του Διοικητικού Συμβουλίου της Diaverum (οι οποίοι περιλαμβάνονται όλοι στον όρο «εργαζόμενοι» για τους σκοπούς της παρούσας Πολιτικής).

3. ΠΟΛΙΤΙΚΗ

 

• ΕΙΣΑΓΩΓΗ

Ο Όμιλος Diaverum («Diaverum») αναγνωρίζει τη σημασία της προστασίας της ιδιωτικής ζωής και της αξιοπρέπειας των ασθενών και των συναδέλφων και ότι όλα τα προσωπικά δεδομένα αντιμετωπίζονται ως εμπιστευτικά κατά τη συλλογή και την αποθήκευση τους. Για το σκοπό αυτό, η Diaverum έχει υιοθετήσει την παρούσα Πολιτική Προστασίας Δεδομένων του Ομίλου (η «Πολιτική»).

• Σκοπός της παρούσας πολιτικής είναι να καθιερώσει βασικές γνώσεις και ευαισθητοποίηση σε όλη την Diaverum σχετικά με θέματα προστασίας δεδομένων και ιδιωτικότητας. Στόχος της Diaverum είναι να μειώσει τον κίνδυνο παραβιάσεων και να διασφαλίσει ότι όλα τα δεδομένα προσωπικού χαρακτήρα διατηρούνται και υποβάλλονται σε επεξεργασία με νόμιμο, δίκαιο και διαφανή τρόπο, καθώς και να διασφαλίσει τη διακυβέρνηση και τη λογοδοσία για τη διευκόλυνση της συμμόρφωσης με την προστασία των δεδομένων. Η Πολιτική προορίζεται να χρησιμεύσει ως έγγραφο-πλαίσιο, το οποίο καθορίζει τις βασικές αρχές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, και ισχύει για όλους εντός της Diaverum και των θυγατρικών της - όλους τους εργαζόμενους, συμπεριλαμβανομένων των μελών του Διοικητικού Συμβουλίου της Diaverum (οι οποίοι περιλαμβάνονται όλοι στον όρο «εργαζόμενοι» για τους σκοπούς της παρούσας Πολιτικής).
• Η Πολιτική βασίζεται στον Γενικό Κανονισμό για την Προστασία Δεδομένων που ισχύει στην ΕΕ και τον ΕΟΧ («ΓΚΠΔ»). Ο ΓΚΠΔ θέτει υψηλά πρότυπα για την προστασία των δεδομένων και της ιδιωτικής ζωής, συνεπώς, μπορεί να αναμένεται ότι η συμμόρφωση με τον ΓΚΠΔ πληροί τις ουσιαστικές απαιτήσεις των αντίστοιχων κανονισμών προστασίας δεδομένων που ισχύουν σε άλλες δικαιοδοσίες. Κατά συνέπεια, η Diaverum αποφάσισε να βασίσει την παγκόσμια ισχύουσα πολιτική της στον GDPR. Ωστόσο, οι Κλινικές της Diaverum πρέπει πάντοτε να λαμβάνουν υπόψη ότι ενδέχεται να υπόκεινται σε πρόσθετη τοπική ή/και εθνική νομοθεσία περί προστασίας δεδομένων που ισχύει εκεί όπου δραστηριοποιούνται. Εάν η εν λόγω νομοθεσία συγκρούεται με την Πολιτική, υπερισχύει η αυστηρότερη απαίτηση. Για παράδειγμα, οι νόμοι και οι κανονισμοί που ισχύουν για τις επιχειρήσεις υγειονομικής περίθαλψης της Diaverum πρέπει πάντα να λαμβάνονται υπόψη κατά την εφαρμογή της παρούσας Πολιτικής. Κάθε Κλινική της Diaverum που ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων είναι υπεύθυνη για τη συμμόρφωση με τον ΓΚΠΔ και τη λοιπή ισχύουσα νομοθεσία και είναι σε θέση να αποδεικνύει τη συμμόρφωσή της.
• Όλοι οι εργαζόμενοι υποχρεούνται να διασφαλίζουν ότι είναι εξοικειωμένοι με το περιεχόμενο της Πολιτικής και κατανοούν τα δικαιώματα και τις ευθύνες τους βάσει της Πολιτικής. Τυχόν ερωτήσεις σχετικά με την Πολιτική πρέπει να απευθύνονται στο Κεντρικό Γραφείο Προστασίας Δεδομένων μέσω ηλεκτρονικού ταχυδρομείου SE.DPO@diaverum.com.

• ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΤΟΥ ΓΚΠΔ

Ο ΓΚΠΔ εφαρμόζεται σε δεδομένα προσωπικού χαρακτήρα, δηλαδή σε πληροφορίες που αφορούν άμεσα ή έμμεσα ένα ζωντανό φυσικό πρόσωπο. Τα δεδομένα που αφορούν μόνο ένα νομικό πρόσωπο δεν υπόκεινται γενικά στον ΓΚΠΔ.

• Ο ΓΚΠΔ ισχύει για:

α) Κλινικές με έδρα στην ΕΕ/ΕΟΧ, ακόμη και αν η επεξεργασία των δεδομένων πραγματοποιείται εκτός ΕΕ/ΕΟΧ- και

β) Κλινικές που βρίσκονται εκτός της ΕΕ/ΕΟΧ, όταν οι Κλινικές εμπορεύονται αγαθά ή υπηρεσίες σε άτομα στην ΕΕ/ΕΟΧ ή συμμετέχουν σε δραστηριότητες παρακολούθησης της συμπεριφοράς των ατόμων στην ΕΕ/ΕΟΧ (όπως δραστηριότητες κατάρτισης προφίλ).

• Ο ΓΚΠΔ δεν εφαρμόζεται σε πληροφορίες που είναι εντελώς ανώνυμες, δηλαδή πληροφορίες που δεν μπορούν να συσχετιστούν με ένα αναγνωρίσιμο άτομο. Εφαρμόζεται, ωστόσο, σε πληροφορίες που έχουν υποστεί τη λεγόμενη ψευδωνυμοποίηση, δηλαδή πληροφορίες που μπορούν να συνδεθούν με ένα άτομο με τη χρήση ενός άλλου συνόλου πληροφοριών (όπως ένα «κλειδί»). Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί κρυπτογράφηση και δεν μπορούν πλέον να συνδεθούν με φυσικό πρόσωπο χωρίς το κλειδί κρυπτογράφησης, μπορούν σε ορισμένες περιπτώσεις να θεωρηθούν ψευδωνυμοποιημένα.
• Οι Κλινικές του Ομίλου που δεν συμμορφώνονται με τις διατάξεις του ΓΚΠΔ μπορούν να εκτεθούν σε οικονομικούς κινδύνους και κινδύνους φήμης, καθώς και σε ποινικές κυρώσεις. Αυτό μπορεί κάλλιστα να έχει σημαντικό αντίκτυπο σε ολόκληρο τον όμιλο Diaverum. Επιπλέον, κάθε άτομο που έχει υποστεί ζημία (η οποία μπορεί να είναι μη οικονομική) έχει το δικαίωμα να ζητήσει αποζημίωση από τη μη συμμορφούμενη Κλινική.

• ΑΡΧΕΣ ΤΟΥ GDPR
  • Βασικές Αρχές

Ο ΓΚΠΔ ορίζει μια σειρά υποχρεώσεων βάσει αρχών που ισχύουν για τις Κλινικές που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα:

α) Νομιμότητα, αμεροληψία και διαφάνεια - Πρώτον, η αρχή αυτή συνεπάγεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα από μια Κλινική πρέπει να δικαιολογείται από νόμιμο λόγο (βλ. ενότητα 3.3.2 κατωτέρω). Δεύτερον, σημαίνει ότι πρέπει να είναι σαφές για το άτομο ότι γίνεται επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η ταυτότητα της Κλινικής που διενεργεί την εν λόγω επεξεργασία και για ποιο σκοπό.

β) Περιορισμός του σκοπού - Η υποχρέωση να διασφαλίζεται ότι ο σκοπός της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι καθορισμένος, ρητός και νόμιμος και ότι τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται σε επεξεργασία πέραν του σκοπού αυτού.

γ)Ελαχιστοποίηση των δεδομένων - Η υποχρέωση να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία είναι επαρκή, συναφή και περιορίζονται στα αναγκαία για τον σκοπό.

δ) Ακρίβεια - Η υποχρέωση να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία είναι ακριβή, ότι διατηρούνται επικαιροποιημένα και ότι λαμβάνεται κάθε εύλογο μέτρο για τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα ή τη διαγραφή τους.

ε)Περιορισμός της αποθήκευσης - Η υποχρέωση να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα δεν αποθηκεύονται για μεγαλύτερο χρονικό διάστημα από αυτό που είναι απαραίτητο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα, πράγμα που σημαίνει ότι οι Κλινικές που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πρέπει να έχουν γνώση των δραστηριοτήτων επεξεργασίας τους, των καθιερωμένων περιόδων διατήρησης ή/και των διαδικασιών περιοδικής αναθεώρησης. Για περισσότερες πληροφορίες σχετικά με τις περιόδους διατήρησης, ανατρέξτε στο αρχείο δραστηριοτήτων επεξεργασίας (ΑΔΕ - R.O.P.A.) στο intranet της Diaverum Dialogue, Legal and Compliance, Data Protection section.

στ) Ακεραιότητα και εμπιστευτικότητα - Η υποχρέωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα με τρόπο που να διασφαλίζει την κατάλληλη ασφάλεια και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα και να αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση (όπως κυβερνοεπιθέσεις) ή την τυχαία απώλεια δεδομένων.

ζ) Λογοδοσία - Οι Κλινικές που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πρέπει να είναι σε θέση να αποδείξουν ότι συμμορφώνονται με τις υποχρεώσεις που ορίζονται στις ενότητες (α)-(στ) ανωτέρω.

Βεβαιωθείτε ότι οι βασικές αρχές τηρούνται κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

• Νομικοί λόγοι για την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Μία από τις αρχές του ΓΚΠΔ, και κατά συνέπεια της παρούσας Πολιτικής, είναι ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πρέπει να είναι νόμιμη. Αυτό σημαίνει ότι πρέπει να βασίζεται σε έναν από τους νομικούς λόγους που ορίζονται στον ΓΚΠΔ. Στην πράξη, υπάρχουν τέσσερις πρωταρχικοί νομικοί λόγοι που αφορούν τη Diaverum και οι οποίοι θεμελιώνουν νόμιμους λόγους για την επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α) Εκτέλεση σύμβασης - Εάν είναι απαραίτητο για την εκτέλεση σύμβασης στην οποία το άτομο είναι συμβαλλόμενο μέρος.

β) Έννομο συμφέρον - Το έννομο συμφέρον μιας Κλινικής να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ενός ατόμου πρέπει να εξισορροπείται με τα θεμελιώδη δικαιώματα του ατόμου στην προστασία των προσωπικών του δεδομένων. Σε περιπτώσεις όπου το άτομο είναι υπάλληλος, πελάτης της Κλινικής ή επιχειρηματική επαφή, η Κλινική μπορεί να επεξεργάζεται τα προσωπικά του δεδομένα για σκοπούς επιχειρηματικής ανάπτυξης, γεγονός που συχνά ωφελεί τόσο το υποκείμενο των δεδομένων όσο και την Κλινική. Το συμφέρον της Κλινικής να αναπτύξει την επιχείρησή της με την επεξεργασία ορισμένων δεδομένων προσωπικού χαρακτήρα μπορεί σε ορισμένες περιπτώσεις να συνιστά έννομο συμφέρον. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άμεσου μάρκετινγκ μπορεί επίσης να αποτελεί έννομο συμφέρον, όπως και η επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι απαραίτητη για την πρόληψη της απάτης.

γ) Νομική υποχρέωση - Εάν είναι απαραίτητο προκειμένου να συμμορφωθεί με μια νομική υποχρέωση, για παράδειγμα εάν μια Κλινική στον τομέα της υγειονομικής περίθαλψης έχει νομική υποχρέωση να επεξεργάζεται και να διατηρεί πληροφορίες για τους ασθενείς, ή εάν μια Κλινική, ως εργοδότης, έχει νομική υποχρέωση να καταθέτει πληροφορίες για το φορολογικό εισόδημα στις φορολογικές αρχές.

δ) Συγκατάθεση - Εάν ένα άτομο έχει δώσει τη συγκατάθεσή του στην Κλινική για την επεξεργασία των προσωπικών του δεδομένων, η εν λόγω συγκατάθεση μπορεί να αποτελεί νομικό λόγο. Ο ΓΚΠΔ ορίζει ορισμένες προϋποθέσεις προκειμένου η συγκατάθεση να θεωρηθεί έγκυρη. Σύμφωνα με τον ΓΚΠΔ, μια έγκυρη συγκατάθεση:

• έχει δοθεί ελεύθερα,
• είναι κατανοητή και σαφής,
• διακρίνεται σαφώς από άλλες πληροφορίες,
• είναι ενεργή, δηλαδή να μην ισχύουν τα προτικαρισμένα κουτάκια,
• δίνεται για συγκεκριμένο σκοπό,
• τεκμηριώνεται- και
• μπορεί να ανακληθεί.

Όταν τα υποκείμενα των δεδομένων παρέχουν τη συγκατάθεσή τους για την επεξεργασία των προσωπικών τους δεδομένων, πρέπει επίσης να αναφέρονται και να κατονομάζονται οι παραλήπτες και οι κατηγορίες παραληπτών. Ο ΓΚΠΔ προβλέπει υψηλά πρότυπα διαφάνειας και σαφήνειας. Συνεπώς, το υποκείμενο των δεδομένων πρέπει να λαμβάνει σαφείς και επαρκείς πληροφορίες σε σχέση με τα τρίτα μέρη που ενδέχεται να λάβουν τα προσωπικά του δεδομένα. Εάν αυτό δεν είναι δυνατό, ο παραλήπτης ή η κατηγορία παραληπτών πρέπει να περιγράφεται έτσι ώστε το υποκείμενο των δεδομένων να μπορεί να κατανοήσει τι είδους παραλήπτες λαμβάνουν τα προσωπικά του δεδομένα. Διαβάστε περισσότερα για τις ειδικές απαιτήσεις σχετικά με τις συναινέσεις στον «Κατάλογο ελέγχου συναινέσεων της Diaverum». Επιπλέον, μια συγκατάθεση τις περισσότερες φορές δεν θεωρείται έγκυρη λόγω ανισορροπίας ισχύος για τον εργοδότη έναντι του εργαζομένου και τον πάροχο φροντίδας έναντι του ασθενούς. Πρέπει να χρησιμοποιηθεί ένας εναλλακτικός νομικός λόγος.

Βεβαιωθείτε ότι ο νομικός λόγος για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προσδιορίζεται και τεκμηριώνεται για κάθε σκοπό πριν από την επεξεργασία.

• Κατηγορίες δεδομένων προσωπικού χαρακτήρα που τυγχάνουν ειδικής προστασίας

α) Ορισμένες κατηγορίες δεδομένων προσωπικού χαρακτήρα έχουν λάβει ειδική προστασία βάσει του ΓΚΠΔ. Απαγορεύεται γενικά η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό τη μονοσήμαντη ταυτοποίηση φυσικού προσώπου, δεδομένων που αφορούν την υγεία ή τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου.

β) Η Diaverum επεξεργάζεται μεγάλο όγκο προσωπικών δεδομένων που τυγχάνουν ειδικής προστασίας βάσει του ΓΚΠΔ, όπως ιατρικές πληροφορίες, αποτελέσματα κλινικών μελετών, αρχεία ασθενών κ.λπ. Αυτός ο τύπος δεδομένων προσωπικού χαρακτήρα μπορεί να τύχει επεξεργασίας μόνο βάσει συγκεκριμένων νομικών λόγων. Οι ακόλουθοι νομικοί λόγοι είναι σχετικοί με την Diaverum:

• Συναίνεση. Εάν το υποκείμενο των δεδομένων έχει δώσει ρητή συγκατάθεση για την επεξεργασία. Παρακαλείστε να ανατρέξετε στην ενότητα 3.3.2 στοιχείο δ) σχετικά με τις απαιτήσεις για έγκυρη συγκατάθεση.
• Επεξεργασία που συνδέεται με την παροχή υγειονομικής περίθαλψης. Εάν η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ιατρικής, ιατρικής διάγνωσης, παροχής υγειονομικής περίθαλψης ή διαχείρισης συστημάτων και υπηρεσιών υγείας βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει σύμβασης με επαγγελματία υγείας, αυτό αποτελεί νομική βάση. Ωστόσο, ο λόγος αυτός ισχύει μόνο εφόσον τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από επαγγελματία ή άλλο πρόσωπο που υπόκειται σε απόρρητο σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους ή με κανόνες που θεσπίζονται από τους αρμόδιους εθνικούς φορείς ή υπό την ευθύνη επαγγελματία ή άλλου προσώπου που υπόκειται σε απόρρητο σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους ή με κανόνες που θεσπίζονται από τους αρμόδιους εθνικούς φορείς.

γ) Προκειμένου να διατηρηθεί η εμπιστευτικότητα και η ακεραιότητα των υποκειμένων των δεδομένων, η Diaverum πρέπει να διασφαλίζει ότι εφαρμόζονται τεχνικά και οργανωτικά μέτρα ασφαλείας κατάλληλα για τον κίνδυνο που συνδέεται με την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ή/και όπως προβλέπεται από τους ισχύοντες νόμους και κανονισμούς. Για περισσότερες πληροφορίες σχετικά με τα οργανωτικά και τεχνικά μέτρα ασφαλείας παραπέμπεται στην ενότητα 3.7.1. Βλέπε επίσης τους εθνικούς νόμους και κανονισμούς που ισχύουν για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ή/και επιχειρήσεων υγειονομικής περίθαλψης.

δ) Λάβετε υπόψη ότι τα κράτη μέλη της ΕΕ, καθώς και κάθε άλλη χώρα όπου δραστηριοποιείται η Diaverum, έχουν το δικαίωμα να διατηρούν ή να εισάγουν περαιτέρω όρους σε σχέση με την επεξεργασία δεδομένων υγείας, γενετικών δεδομένων και βιομετρικών δεδομένων, γεγονός που συνεπάγεται ότι οι κανονισμοί ενδέχεται να διαφέρουν από δικαιοδοσία σε δικαιοδοσία. Ως εκ τούτου, είναι εξαιρετικά σημαντικό κάθε Κλινική της Diaverum να έχει γνώση της εθνικής νομοθεσίας που ισχύει σε κάθε δικαιοδοσία.

• ΔΙΑΦΑΝΕΙΑ ΚΑΙ ΠΛΗΡΟΦΟΡΗΣΗ
  • Σύμφωνα με τον ΓΚΠΔ, οι υπεύθυνοι επεξεργασίας δεδομένων έχουν την υποχρέωση να παρέχουν στα υποκείμενα των δεδομένων ορισμένες πληροφορίες σχετικά με την επεξεργασία των προσωπικών τους δεδομένων. Αυτό εξυπηρετεί τη δημιουργία διαφάνειας και διασφαλίζει ότι τα υποκείμενα των δεδομένων γνωρίζουν και κατανοούν τα δικαιώματά τους και τους επιτρέπει να λαμβάνουν τεκμηριωμένες αποφάσεις σχετικά με το τι συμβαίνει με τα προσωπικά τους δεδομένα.
  • Προκειμένου να διασφαλιστεί η δίκαιη και διαφανής επεξεργασία, όλες οι Κλινικές του Ομίλου Diaverum, κατά τη συλλογή των προσωπικών δεδομένων, παρέχουν στο άτομο όλες τις απαραίτητες πληροφορίες για την προστασία της ιδιωτικής ζωής του ατόμου και τη διασφάλιση της διαφάνειας. Οι πληροφορίες θα μπορούσαν να παρέχονται, για παράδειγμα, στους υπαλλήλους της Diaverum (βλ. παράρτημα «Diaverum - Ειδοποίηση απορρήτου για τους υπαλλήλους - GR - CorpSE»), στους αιτούντες εργασία (βλ. παράρτημα «Diaverum - Ειδοποίηση απορρήτου για τους αιτούντες εργασία - GR - CorpSE»), στους ασθενείς (βλ. παράρτημα «Ενημέρωση των ασθενών σχετικά με την επεξεργασία προσωπικών δεδομένων») και μέσω των ιστοσελίδων της Diaverum που επισκέπτεται το άτομο (βλ. παράρτημα «Diaverum.com-Όροι χρήσης-Πολιτική απορρήτου-Πολιτική cookies») κ.λπ. Οι πληροφορίες αυτές πρέπει να παρέχονται σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα.
  • Όταν τα προσωπικά δεδομένα συλλέγονται απευθείας από το υποκείμενο των δεδομένων, η Κλινική Diaverum πρέπει να διασφαλίζει ότι το υποκείμενο των δεδομένων λαμβάνει τις ακόλουθες πληροφορίες:

α) Όνομα και στοιχεία επικοινωνίας. Η επωνυμία και τα στοιχεία επικοινωνίας της Κλινικής του Ομίλου Diaverum που ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων, καθώς και τα στοιχεία επικοινωνίας με τη λειτουργία που είναι υπεύθυνη για την προστασία των δεδομένων και την ιδιωτική ζωή στην αντίστοιχη Κλινική Diaverum.

β) Σκοπός. Ο σκοπός για τον οποίο γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων και σε ποια νομική βάση, που ορίζεται στο τμήμα 3.3.2, στηρίζεται η σχετική Κλινική του Ομίλου Diaverum για την επεξεργασία. Εάν η επεξεργασία πραγματοποιείται για την εκπλήρωση έννομου συμφέροντος, πρέπει επίσης να προσδιορίζεται το συμφέρον. Εάν η αρμόδια Κλινική Diaverum επιθυμεί αργότερα να χρησιμοποιήσει τα δεδομένα προσωπικού χαρακτήρα για σκοπό διαφορετικό από αυτόν που είχε αρχικά καθοριστεί, το υποκείμενο των δεδομένων πρέπει να ενημερωθεί σχετικά με τον νέο σκοπό πριν από την έναρξη της εν λόγω επεξεργασίας.

γ) Αποδέκτες. Οποιοιδήποτε αποδέκτες ή κατηγορίες αποδεκτών, με τους οποίους η σχετική Κλινική Diaverum θα μοιραστεί τα δεδομένα προσωπικού χαρακτήρα.

δ) Λεπτομέρειες σχετικά με τυχόν διαβιβάσεις σε τρίτες χώρες. Εάν η σχετική Κλινική του Ομίλου Diaverum προτίθεται να διαβιβάσει τα δεδομένα προσωπικού χαρακτήρα σε χώρα εκτός ΕΕ/ΕΟΧ, αυτό πρέπει να αναφέρεται μαζί με τη διασφάλιση που επικαλείται για τη διαβίβαση (π.χ. απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής ή «Πρότυπες ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες» που έχει υιοθετήσει η Ευρωπαϊκή Επιτροπή).

• Για να διασφαλιστεί η δίκαιη και διαφανής επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το υποκείμενο των δεδομένων πρέπει επίσης να ενημερώνεται για τα ακόλουθα, εφόσον είναι απαραίτητο.

α) Συμβατική ή νομική αναγκαιότητα. Εάν η παροχή των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη βάσει του νόμου ή για τη σύναψη/εκτέλεση σύμβασης, καθώς και οι πιθανές συνέπειες της μη παροχής των δεδομένων προσωπικού χαρακτήρα.

β) Χρόνος αποθήκευσης. Πληροφορίες σχετικά με τον χρόνο αποθήκευσης των δεδομένων προσωπικού χαρακτήρα. Εάν δεν είναι δυνατόν να παρασχεθεί ακριβής χρόνος διατήρησης, θα πρέπει να παρέχονται πληροφορίες σχετικά με τον τρόπο με τον οποίο θα καθοριστεί η διάρκεια του χρόνου αποθήκευσης.

γ) Χρήση αυτοματοποιημένης λήψης αποφάσεων. Εάν τα δεδομένα προσωπικού χαρακτήρα θα αποτελέσουν αντικείμενο αυτοματοποιημένης λήψης αποφάσεων (συμπεριλαμβανομένης της κατάρτισης προφίλ) και απαραίτητες πληροφορίες σχετικά με τη διαδικασία και τις πιθανές επιπτώσεις της στο υποκείμενο των δεδομένων.

δ) Δικαιώματα του υποκειμένου των δεδομένων. Τα δικαιώματα των υποκειμένων των δεδομένων, π.χ. να ζητήσουν πρόσβαση στα προσωπικά τους δεδομένα, να ζητήσουν τη διαγραφή, τη διόρθωση ή τον περιορισμό τους, να αντιταχθούν στην επεξεργασία τους, να ανακαλέσουν τη συγκατάθεσή τους για επεξεργασία, να ζητήσουν τη φορητότητα των δεδομένων και να υποβάλουν καταγγελία σε αρχή προστασίας δεδομένων.

• Ανατρέξτε στις διάφορες ανακοινώσεις απορρήτου της Diaverum, που αναφέρονται παραπάνω στην ενότητα 3.4.2, για περισσότερες πληροφορίες.
• Όταν συλλέγονται δεδομένα προσωπικού χαρακτήρα για ένα υποκείμενο των δεδομένων από άλλη πηγή εκτός από το υποκείμενο των δεδομένων, η σχετική Κλινική του Ομίλου Diaverum θα πρέπει να διασφαλίζει ότι το υποκείμενο των δεδομένων ενημερώνεται. Εάν είναι δυνατόν (χωρίς σοβαρά δυσανάλογη προσπάθεια σε σχέση με τα σχετικά δεδομένα προσωπικού χαρακτήρα), η Κλινική Diaverum πρέπει να παρέχει στο υποκείμενο των δεδομένων τις πληροφορίες που αναφέρονται παραπάνω, καθώς και τις ακόλουθες πρόσθετες πληροφορίες:

α) Φύση των συλλεγόμενων προσωπικών δεδομένων. Οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που έχουν συλλεχθεί,

β) Πηγή των συλλεχθέντων δεδομένων προσωπικού χαρακτήρα. Εάν είναι απαραίτητο για να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με δίκαιο και διαφανή τρόπο, από ποια πηγή προέρχονται τα δεδομένα προσωπικού χαρακτήρα (συμπεριλαμβανομένου του εάν προέρχονται από δημόσια προσβάσιμη πηγή).

• Οι πληροφορίες πρέπει να δίνονται στο υποκείμενο των δεδομένων το συντομότερο δυνατό. Πρέπει να παρέχονται το αργότερο μέχρι τη στιγμή που οι πληροφορίες χρησιμοποιούνται για την επικοινωνία με το υποκείμενο των δεδομένων ή γνωστοποιούνται σε τρίτους, κατά περίπτωση. Η συνολική μέγιστη προθεσμία για την παροχή των εν λόγω πληροφοριών στο υποκείμενο των δεδομένων είναι ένας μήνας από τη στιγμή που λαμβάνονται τα δεδομένα προσωπικού χαρακτήρα.

• ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΑΤΟΜΟΥ
  • Δικαίωμα πρόσβασης

Όταν η Κλινική Diaverum είναι ο υπεύθυνος επεξεργασίας, το άτομο έχει το δικαίωμα να λάβει επιβεβαίωση σχετικά με το αν υφίσταται ή όχι επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και, στην περίπτωση αυτή, να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα, λαμβάνοντας αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υφίστανται επεξεργασία.

• Δικαίωμα διόρθωσης, διαγραφής και περιορισμού

α) Λαμβάνεται κάθε εύλογο μέτρο για να διασφαλιστεί ότι τα ανακριβή δεδομένα προσωπικού χαρακτήρα διορθώνονται, συμπληρώνονται ή διαγράφονται χωρίς αδικαιολόγητη καθυστέρηση.

β) Κατόπιν αιτήματος ενός ατόμου, η αρμόδια Κλινική του Ομίλου Diaverum διαγράφει επίσης τα δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, όταν η διατήρηση των δεδομένων από την Κλινική Diaverum δεν είναι σύμφωνη με τις απαιτήσεις του ΓΚΠΔ.

γ) Τα υποκείμενα των δεδομένων μπορούν, υπό ορισμένες συνθήκες, να ζητήσουν τον περιορισμό της επεξεργασίας των προσωπικών τους δεδομένων. Αυτό σημαίνει ότι η σχετική Κλινική Diaverum μπορεί να διατηρήσει τα δεδομένα προσωπικού χαρακτήρα, αλλά να μην τα επεξεργαστεί περαιτέρω χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων.

δ) Εάν ένα υποκείμενο των δεδομένων ζητήσει διόρθωση, διαγραφή ή περιορισμό, το αίτημα αυτό πρέπει να διαβιβάζεται σε άλλους υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στους οποίους έχουν διαβιβαστεί τα δεδομένα προσωπικού χαρακτήρα, στο μέτρο που αυτό είναι δυνατό και πρακτικά εφικτό.

ε) Σε περίπτωση αμφιβολίας για το αν υπάρχει υποχρέωση διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, συμβουλευτείτε τον τοπικό ΥΠΔ ή τον κεντρικό ΥΠΔ (SE.DPO@diaverum.com), ανάλογα με την περίπτωση.

• Δικαίωμα εναντίωσης

α) Τα άτομα έχουν το δικαίωμα να αντιταχθούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από την Κλινική Diaverum, όταν η νομική βάση για την εν λόγω επεξεργασία είναι το έννομο συμφέρον της Κλινικής Diaverum. Σε περίπτωση αντίρρησης του ατόμου, η Κλινική Diaverum πρέπει να σταματήσει την επεξεργασία των προσωπικών δεδομένων του ατόμου, εκτός εάν έχει επιτακτικούς νόμιμους λόγους για την επεξεργασία που υπερισχύουν των συμφερόντων και των δικαιωμάτων του ατόμου. Εάν η επεξεργασία γίνεται για σκοπούς άμεσης εμπορικής προώθησης, η Κλινική Diaverum δεν θα είναι σε θέση να αποδείξει τους απαιτούμενους νόμιμους λόγους.

β) Όλες οι Κλινικές του Ομίλου Diaverum εφαρμόζουν κατάλληλα μέτρα για τη διασφάλιση των δικαιωμάτων και των έννομων συμφερόντων του ατόμου.

• Δικαίωμα στη φορητότητα των δεδομένων

α) Η Κλινική Ομίλου Diaverum παρέχει, εφόσον το ζητήσει ένα άτομο, στο άτομο τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία η Κλινική Diaverum έχει συλλέξει από το άτομο σε δομημένη, ευρέως χρησιμοποιούμενη και αναγνώσιμη από μηχανήματα μορφή, σύμφωνα με την υποχρέωση αυτή του ΓΚΠΔ.

β) Τα άτομα έχουν το δικαίωμα να λαμβάνουν και να επαναχρησιμοποιούν τα προσωπικά τους δεδομένα για τους δικούς τους σκοπούς σε διαφορετικές υπηρεσίες και μπορούν να ζητήσουν από την οικεία Κλινική του Ομίλου Diaverum να διαβιβάσει τα προσωπικά δεδομένα απευθείας σε νέο υπεύθυνο επεξεργασίας.

Διασφαλίζει ότι οι απαιτούμενες πληροφορίες είναι διαθέσιμες για τα άτομα των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, ότι τα δεδομένα προσωπικού χαρακτήρα είναι επικαιροποιημένα και ότι υπάρχουν οι κατάλληλες διασφαλίσεις.

• ΕΛΕΓΚΤΗΣ ΚΑΙ ΕΠΕΞΕΡΓΑΣΤΗΣ
  • Υπευθυνότητα

Κάθε φορά που μια Κλινική του Ομίλου Diaverum επεξεργάζεται προσωπικά δεδομένα θα το κάνει είτε ως υπεύθυνος επεξεργασίας είτε ως εκτελών την επεξεργασία. Οι Κλινικές του Ομίλου Diaverum έχουν άμεσες υποχρεώσεις και ενδέχεται να αντιμετωπίσουν άμεση επιβολή και κυρώσεις βάσει του ΓΚΠΔ ή άλλων εφαρμοστέων νόμων περί προστασίας δεδομένων και απορρήτου, ανεξάρτητα από το αν ενεργούν ως υπεύθυνοι επεξεργασίας ή ως εκτελούντες την επεξεργασία. Ωστόσο, οι ευθύνες των εταιρειών του Ομίλου Diaverum θα διαφέρουν ανάλογα με τον ρόλο. Ως εκ τούτου, είναι σημαντικό για όλες τις Κλινικές του Ομίλου Diaverum να προσδιορίσουν τα σενάρια (τόσο τα εξωτερικά όσο και τα ενδοομιλικά σενάρια) στα οποία ενεργούν ως υπεύθυνος επεξεργασίας και ως εκτελών την επεξεργασία, αντίστοιχα. Είναι σημαντικό να γίνει κατανοητό ότι οι Κλινικές και οι κεντρικές λειτουργίες εντός της Diaverum μπορούν να ενεργούν ως ελεγκτής και εκτελών την επεξεργασία σε σχέση μεταξύ τους. Π.χ. όταν προσωπικά δεδομένα που αφορούν εργαζόμενους μοιράζονται μεταξύ των εταιρειών του Ομίλου Diaverum.

1.6.2.  Προστασία δεδομένων εκ του σχεδιασμού και εξ ορισμού

α) Όταν ενεργεί ως υπεύθυνος επεξεργασίας, η σχετική Κλινική του Ομίλου Diaverum πρέπει, όσον αφορά κάθε τρέχουσα ή προτεινόμενη δραστηριότητα επεξεργασίας δεδομένων, να εφαρμόζει μέτρα για να διασφαλίζει τη συμμόρφωση με την προστασία των δεδομένων. Αυτό σημαίνει ότι για κάθε νέα ή υφιστάμενη υπηρεσία ή προϊόν που περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η Κλινική Diaverum πρέπει να διασφαλίζει ότι το σχετικό προϊόν ή υπηρεσία έχει σχεδιαστεί με γνώμονα τη συμμόρφωση προς την προστασία των δεδομένων. Για παράδειγμα, η Κλινική Diaverum θα πρέπει να εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα που έχουν σχεδιαστεί για την εφαρμογή των βασικών αρχών που περιγράφονται στην ενότητα 3.3.1 ανωτέρω, όπως η ελαχιστοποίηση των δεδομένων και ο περιορισμός του σκοπού («προστασία δεδομένων μέσω σχεδιασμού»).

β) Επιπλέον, όταν ενεργεί ως υπεύθυνος επεξεργασίας, η οικεία Κλινική Diaverum πρέπει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον σκοπό της επεξεργασίας («προστασία δεδομένων εξ ορισμού»). Για παράδειγμα, όσον αφορά τον όγκο των δεδομένων που συλλέγονται, την έκταση της επεξεργασίας, την περίοδο αποθήκευσης και τον περιορισμό της προσβασιμότητας των δεδομένων.

• Συμφωνίες εκτελούντος την επεξεργασία δεδομένων

α) Ανεξάρτητα από το αν η σχετική Κλινική του Ομίλου Diaverum ενεργεί ως υπεύθυνος επεξεργασίας και επιθυμεί να ορίσει εκτελούντα την επεξεργασία ή ενεργεί η ίδια ως εκτελών την επεξεργασία, η Κλινική Diaverum πρέπει να συνάψει γραπτή συμφωνία εκτελούντος την επεξεργασία δεδομένων με το αντισυμβαλλόμενο μέρος. Αυτό συμβαίνει για παράδειγμα όταν μια Κλινική Diaverum (ως υπεύθυνος επεξεργασίας) αναθέτει υπηρεσίες ΙΤ σε τρίτο προμηθευτή ή όταν μια Κλινική του Ομίλου Diaverum (ως εκτελών την επεξεργασία) παρέχει υπηρεσίες σε άλλο μέρος.

β) Σύμφωνα με τον ΓΚΠΔ, μια συμφωνία εκτελούντος την επεξεργασία δεδομένων πρέπει να πληροί ορισμένες υποχρεωτικές απαιτήσεις. Η Diaverum έχει υιοθετήσει ένα υπόδειγμα για το σκοπό αυτό, το οποίο μπορεί να χρησιμοποιηθεί σε περιπτώσεις όπου μια Κλινική του Ομίλου Diaverum ενεργεί ως υπεύθυνος επεξεργασίας. Το υπόδειγμα συμφωνίας εκτελούντος την επεξεργασία δεδομένων περιλαμβάνεται στο παράρτημα «Υπόδειγμα Diaverum - Συμφωνία εκτελούντος την επεξεργασία δεδομένων - Diaverum ως υπεύθυνος επεξεργασίας».

γ) Οι Κλινικές του Ομίλου Diaverum πρέπει επίσης να συνάπτουν συμφωνίες εκτελούντος την επεξεργασία δεδομένων όταν μια Κλινική του Ομίλου Diaverum επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό μιας άλλης Κλινικής της Diaverum. Ανατρέξτε στο παράρτημα «Υπόδειγμα Diaverum - Συμφωνία εκτελούντος την επεξεργασία δεδομένων - Ενδοομιλικές διαβιβάσεις».

Βεβαιωθείτε ότι η Diaverum (ή η σχετική Κλινική του Ομίλου Diaverum) συνάπτει γραπτή συμφωνία εκτελούντος την επεξεργασία δεδομένων όταν προσλαμβάνει ή ενεργεί ως εκτελών την επεξεργασία.

• Αρχεία δραστηριοτήτων επεξεργασίας (Α.Δ.Ε.)

Η Diaverum υποχρεούται εκ του νόμου να τηρεί αρχείο όλων των δραστηριοτήτων επεξεργασίας δεδομένων της, ανεξάρτητα από το αν ενεργεί ως υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία. Κάθε Κλινική του Ομίλου Diaverum διασφαλίζει ότι τηρείται τέτοιο αρχείο όλων των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα της αντίστοιχης Κλινικής και το κοινοποιεί στις αρχές προστασίας δεδομένων κατόπιν αιτήματος. Το αρχείο περιλαμβάνει πληροφορίες σχετικά με:

α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας/επεξεργαστή καθώς και το τμήμα που είναι υπεύθυνο για την προστασία των δεδομένων,

β) τους σκοπούς της επεξεργασίας,

γ) τις κατηγορίες των ενδιαφερόμενων υποκειμένων των δεδομένων και τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία,

δ) τις κατηγορίες επεξεργασίας που πραγματοποιούνται για λογαριασμό κάθε υπευθύνου επεξεργασίας (σε περίπτωση που μια Κλινική της Diaverum ενεργεί ως εκτελών την επεξεργασία),

ε) τις κατηγορίες αποδεκτών με τους οποίους μπορούν να κοινοποιηθούν τα δεδομένα προσωπικού χαρακτήρα,

στ) τις διασυνοριακές διαβιβάσεις δεδομένων (δηλαδή τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός ΕΕ/ΕΟΧ) και την τεκμηρίωση των κατάλληλων εγγυήσεων,

ζ) τις ισχύουσες περιόδους διατήρησης δεδομένων- και

η) τα μέτρα ασφαλείας που εφαρμόζονται για την προστασία των δεδομένων προσωπικού χαρακτήρα.

• Εξωτερική ανάθεση και υπηρεσίες που βασίζονται στο υπολογιστικό νέφος

α) Όταν μια Κλινική του Ομίλου Diaverum θέλει να αναθέσει υπηρεσίες σε τρίτους (όπως προμηθευτές υπηρεσιών πληροφορικής ή υπηρεσιών cloud) που συνεπάγονται την επεξεργασία προσωπικών δεδομένων, αυτό θα προκαλέσει ζητήματα προστασίας δεδομένων. Συνήθως, οι πάροχοι υπηρεσιών θα ενεργούν ως εκτελούντες την επεξεργασία και πρέπει να υπάρχει γραπτή συμφωνία εκτελούντος την επεξεργασία δεδομένων (βλ. ενότητα 3.6.3 ανωτέρω).

β) Για περαιτέρω κατευθυντήριες γραμμές σχετικά με την εξωτερική ανάθεση και τη χρήση υπηρεσιών που βασίζονται στο νέφος, συμβουλευτείτε τον τοπικό υπεύθυνο προστασίας δεδομένων ή το εταιρικό γραφείο προστασίας δεδομένων. Βλέπε επίσης το παράρτημα «Κατευθυντήριες γραμμές - Εξωτερική ανάθεση υπηρεσιών ή χρήση υπηρεσιών που βασίζονται στο νέφος».

• Ασφάλεια δεδομένων
  • Τεχνικά και οργανωτικά μέτρα ασφαλείας

Οι Κλινικές του Ομίλου Diaverum πρέπει πάντα να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζουν τη συνεχή εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα των δραστηριοτήτων επεξεργασίας. Κατά την εφαρμογή των εν λόγω τεχνικών και οργανωτικών μέτρων λαμβάνονται υπόψη οι κατάλληλες και σχετικές τεχνολογίες αιχμής, το κόστος εφαρμογής και η φύση, το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας. Ανάλογα με τη φύση της επεξεργασίας, τα μέτρα αυτά μπορεί να περιλαμβάνουν:

α) Ανωνυμοποίηση, ψευδωνυμοποίηση και κρυπτογράφηση των προσωπικών δεδομένων,

β) Την ικανότητα διασφάλισης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας,

γ) Την ικανότητα διατήρησης και αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα- και

δ) Διαδικασία για την τακτική δοκιμή, αξιολόγηση και εκτίμηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων.

• Παραβιάσεις προσωπικών δεδομένων

α) Παραβίαση δεδομένων προσωπικού χαρακτήρα είναι η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζει, αποθηκεύει ή επεξεργάζεται με άλλο τρόπο μια Κλινική του Ομίλου Diaverum (π.χ. κυβερνοεπίθεση). Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η σχετική Κλινική του Ομίλου Diaverum θα μπορούσε να υποχρεωθεί να αναφέρει την παραβίαση στην αρμόδια αρχή προστασίας δεδομένων σύμφωνα με τις ισχύουσες κανονιστικές απαιτήσεις.

β) Εάν ένας υπάλληλος της Diaverum αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα που ενδέχεται να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων, τότε η σχετική Κλινική του Ομίλου Diaverum οφείλει, χωρίς καθυστέρηση, να ενημερώσει την αρμόδια αρχή προστασίας δεδομένων και σε ορισμένες περιπτώσεις να ενημερώσει επίσης τα υποκείμενα των δεδομένων. Εφόσον είναι εφικτό, η παραβίαση δεδομένων προσωπικού χαρακτήρα πρέπει να αναφέρεται στην αρμόδια αρχή προστασίας δεδομένων το αργότερο 72 ώρες μετά τον εντοπισμό της παραβίασης.

γ) Εάν ένας υπάλληλος της Diaverum υποπτεύεται παραβίαση δεδομένων προσωπικού χαρακτήρα, θα πρέπει να ενημερώσει αμέσως τον άμεσο προϊστάμενο και τον τοπικό υπεύθυνο προστασίας δεδομένων. Εάν υπάρχει υποψία σοβαρής παραβίασης πρέπει να ειδοποιηθεί και το εταιρικό γραφείο προστασίας δεδομένων. Ανατρέξτε στο Παράρτημα «Διαδικασία διαχείρισης παραβίασης δεδομένων προσωπικού χαρακτήρα» για περαιτέρω οδηγίες σχετικά με το τι πρέπει να κάνετε σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα.

Διασφαλίστε ότι έχουν εφαρμοστεί επαρκή τεχνικά και οργανωτικά μέτρα καθώς και μια διαδικασία σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα.

• Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων

α) Όταν ένα είδος επεξεργασίας είναι πιθανό να οδηγήσει σε υψηλό βαθμό κινδύνου για τα άτομα (π.χ. όταν θα αναπτυχθούν νέες τεχνολογίες), η αρμόδια Κλινική του Ομίλου Diaverum πρέπει να διεξάγει εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων πριν από την έναρξη της επεξεργασίας. Η διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων αποτελεί σημαντικό εργαλείο συμμόρφωσης και θα επιτρέψει στην Κλινική Diaverum να αντιμετωπίσει και να μετριάσει τους κινδύνους για την προστασία των δεδομένων πριν από την έναρξη της επεξεργασίας.

β) Για περισσότερες πληροφορίες σχετικά με το πότε και πώς πρέπει να διενεργείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων, βλ. παράρτημα «Κατευθυντήριες γραμμές - DPIA».

• Ανάλυση δεδομένων και σκιαγράφηση προφίλ

Η ανάλυση δεδομένων μπορεί να αποτελέσει ένα σημαντικό εργαλείο που καθιστά δυνατή την ανακάλυψη πρόσθετων πληροφοριών σχετικά με τα υποκείμενα των δεδομένων, όπως οι πελάτες και οι εργαζόμενοι. Με την ανάλυση των υποκείμενων δεδομένων είναι δυνατόν να γίνουν συνδέσεις, να εντοπιστούν μοτίβα, να προβλεφθεί η συμπεριφορά και να εξατομικευτούν οι αλληλεπιδράσεις. Ωστόσο, όταν χρησιμοποιούνται δεδομένα προσωπικού χαρακτήρα για σκοπούς ανάλυσης δεδομένων ή κατάρτισης προφίλ, πρέπει να λαμβάνονται υπόψη οι πτυχές της προστασίας των δεδομένων. Αυτό περιλαμβάνει την εφαρμογή των βασικών αρχών του ΓΚΠΔ, βλ. ενότητα 3.3.1, καθώς και άλλα μέτρα, όπως η προστασία των δεδομένων από το σχεδιασμό και από προεπιλογή, βλ. ενότητα 3.6.2.

• Διεθνείς μεταφορές
  • Εξασφάλιση επαρκούς προστασίας

Η Diaverum είναι ένας παγκόσμιος οργανισμός και πρέπει να διαβιβάζει προσωπικά δεδομένα σε παγκόσμια κλίμακα. Σύμφωνα με τον ΓΚΠΔ, ο κύριος κανόνας είναι ότι τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβάζονται ελεύθερα εντός της ΕΕ/ΕΟΧ, χωρίς πρόσθετα μέτρα. Ωστόσο, απαγορεύεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ/ΕΟΧ, εκτός εάν υπάρχει νομική βάση που να δικαιολογεί τη διαβίβαση- όπως

α) απόφαση επάρκειας. Στήριξη σε απόφαση επάρκειας της Επιτροπής της ΕΕ, η οποία θεωρεί ότι μια χώρα παρέχει επαρκή προστασία βάσει της τοπικής της νομοθεσίας. Κατάλογος των αποφάσεων επάρκειας της Επιτροπής της ΕΕ βρίσκεται εδώ (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en), ή

β) κατάλληλες εγγυήσεις (π.χ. πρότυπες ρήτρες σύμβασης της ΕΕ). Σε περίπτωση που δεν υπάρχει απόφαση επάρκειας για τη σχετική χώρα, η Diaverum πρέπει να συνάψει ειδικά εγκεκριμένες πρότυπες συμβατικές ρήτρες επιπλέον μιας συμφωνίας επεξεργασίας δεδομένων ή μιας συμφωνίας μεταφοράς δεδομένων. Αντίγραφο αυτών των ρητρών μπορείτε να βρείτε εδώ (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en).

• Εξαιρέσεις

Παρ' όλα αυτά, μια Κλινική της Diaverum μπορεί να διαβιβάσει προσωπικά δεδομένα σε χώρα εκτός ΕΕ/ΕΟΧ χωρίς επαρκές επίπεδο προστασίας στις ακόλουθες περιπτώσεις:

α) Ρητή και ενημερωμένη συγκατάθεση. Το υποκείμενο των δεδομένων έχει ενημερωθεί για τους συναφείς κινδύνους μιας τέτοιας διαβίβασης χωρίς επαρκή προστασία ή εγγυήσεις και παρ' όλα αυτά συναινεί ρητά στη διαβίβαση,

β) Σύμβαση. Η διαβίβαση είναι απαραίτητη για την εκπλήρωση των υποχρεώσεων που απορρέουν από σύμβαση με το υποκείμενο των δεδομένων. Αυτό μπορεί επίσης να περιλαμβάνει προπαρασκευαστικά βήματα που μπορεί να κάνει η Diaverum πριν από τη σύναψη της σύμβασης, εάν γίνεται κατόπιν αιτήματος του υποκειμένου των δεδομένων,

γ) Νομικές αξιώσεις. Η διαβίβαση είναι απαραίτητη για την εκδίκαση νομικών αξιώσεων- ή

δ) Εφάπαξ περιορισμένη διαβίβαση για έννομα συμφέροντα. Η διαβίβαση είναι μια εφάπαξ διαβίβαση που:

• αφορά περιορισμένο αριθμό υποκειμένων των δεδομένων,
• είναι απαραίτητο για την επιδίωξη επιτακτικού έννομου συμφέροντος της αρμόδιας Κλινικής Diaverum, το οποίο δεν υπερισχύει των δικαιωμάτων ή συμφερόντων των υποκειμένων των δεδομένων,
• έγινε μετά από προσεκτική αξιολόγηση των περιστάσεων και με κατάλληλες εγγυήσεις, οι οποίες τεκμηριώνονται- και
• η σχετική Κλινική του Ομίλου Diaverum ενημερώνει την αρμόδια αρχή προστασίας δεδομένων για τη διαβίβαση και ενημερώνει επίσης το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση και το έννομο συμφέρον που επιδιώκεται.

Βεβαιωθείτε ότι η Diaverum διαθέτει επαρκή και κατάλληλη νομική βάση που δικαιολογεί οποιαδήποτε διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ/ΕΟΧ.

• Εκπαίδευση

Κάθε Κλινική του Ομίλου Diaverum παρέχει στους υπαλλήλους της την κατάλληλη εκπαίδευση, ανάλογα με τις ανάγκες, σχετικά με την Πολιτική και τους ισχύοντες νόμους. Τουλάχιστον, η εκπαίδευση πρέπει να περιλαμβάνει:

α) να παρέχει επαρκή γνώση της πολιτικής και των σχετικών προσαρτημάτων και της ισχύουσας νομοθεσίας,

β) να ευαισθητοποιεί για τις καταστάσεις στις οποίες πρέπει ή πρέπει να ζητείται η γνώμη ενός διευθυντή, του τοπικού υπευθύνου προστασίας δεδομένων ή του εταιρικού γραφείου προστασίας δεδομένων και πώς να γίνεται αυτό- και

γ) να παρέχεται σε όλους τους νέους υπαλλήλους και να επαναλαμβάνεται κάθε χρόνο.

4. ΡΟΛΟΙ ΚΑΙ ΑΡΜΟΔΙΟΤΗΤΕΣ
   • Είναι ευθύνη των αντίστοιχων διοικήσεων κάθε Κλινικής του Ομίλου Diaverum να διασφαλίζουν την έγκαιρη συμμόρφωση με την Πολιτική, όλους τους ισχύοντες κανονισμούς προστασίας δεδομένων και απορρήτου (συμπεριλαμβανομένου του ΓΚΠΔ) που αφορούν την εκάστοτε Κλινική του Ομίλου Diaverum. Η ευθύνη αυτή περιλαμβάνει την εξέταση των σχετικών νόμων και κανονισμών, την αξιολόγηση της έκτασης και του πεδίου εφαρμογής των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία εντός της Κλινικής Diaverum και τη λήψη κατάλληλων μέτρων για τη διασφάλιση της συμμόρφωσης εντός των εφαρμοστέων χρονικών πλαισίων.
   • Κάθε Κλινική του Ομίλου Diaverum διορίζει έναν υπεύθυνο προστασίας δεδομένων («ΥΠΔ») και εξοπλίζει τη λειτουργία αυτή με τους πόρους και την εξουσία που είναι εύλογα αναγκαίοι για να διασφαλίζεται η εφαρμογή και η συμμόρφωση με τον ισχύοντα κανονισμό προστασίας δεδομένων, καθώς και η παρακολούθηση, υποστήριξη και εκπαίδευσή του σε συνεχή βάση. Τα καθήκοντα και οι αρμοδιότητες της εν λόγω λειτουργίας περιγράφονται περαιτέρω στο παράρτημα «ΥΠΔ - καθήκοντα και αρμοδιότητες».
   • Κάθε Κλινική του Ομίλου Diaverum αναμένεται να διασφαλίζει ότι κάθε άτομο που έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, τα οποία συλλέγει ή επεξεργάζεται η Κλινική, ενεργεί σύμφωνα με την Πολιτική.
   • Οποιαδήποτε συμμετοχή σε παραβίαση της Πολιτικής ή της ισχύουσας νομοθεσίας, συμπεριλαμβανομένης της άσκησης αντιποίνων σε βάρος εργαζομένου που καλόπιστα ανέφερε πιθανή παραβίαση, θα αποτελεί λόγο για πειθαρχικά μέτρα έως και την απόλυση από την εργασία.

Οποιαδήποτε πραγματική ή πιθανή παραβίαση της πολιτικής ή της ισχύουσας νομοθεσίας για την προστασία των δεδομένων και της ιδιωτικής ζωής πρέπει να αναφέρεται αμέσως στην Κεντρική Υπηρεσία Προστασίας Δεδομένων μέσω του ηλεκτρονικού ταχυδρομείου SE.DPO@diaverum.com και στην τοπική διοίκηση, συμπεριλαμβανομένου του τοπικού ΥΠΔ.

5. ΚΑΝΟΝΙΣΜΟΙ ΚΑΙ ΝΟΜΟΘΕΣΙΕΣ

• ΓΚΠΔ - ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)
• Εθνικοί νόμοι και κανονισμοί που εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα