Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

  1. Αρχική
  2. Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Το πλαίσιο εφαρμογής της παρούσας Πολιτικής

H παρούσα Πολιτική ισχύει για όλα τα προσωπικά δεδομένα που επεξεργάζεται η Κλινική ATHENS EYE CLINIC A.E. (εφεξής αναφερόμενη ως «Athens Eye Clinic»), ανεξάρτητα από την τοποθεσία στην οποία αποθηκεύονται τα προσωπικά δεδομένα (π.χ.  PC, Server, IFA, RETcam, UBM, Multifocal ERG, SLO Microperimetry κτλ.) και ανεξάρτητα από το υποκείμενο των δεδομένων, είτε πρόκειται για τους υπαλλήλους και τους λοιπούς συνεργάτες της Κλινικής, είτε πρόκειται για τους ίδιους τους ασθενείς. Όσοι επεξεργάζονται προσωπικά δεδομένα που αφορούν εργαζόμενους και ασθενείς οφείλουν να μελετήσουν με προσοχή την παρούσα Πολιτική. Η μη συμμόρφωση με αυτή την Πολιτική μπορεί να οδηγήσει σε πειθαρχικές κυρώσεις.
Όλοι οι επικεφαλής των μονάδων είναι υπεύθυνοι για τη διασφάλιση της συμμόρφωσης όλου του προσωπικού της Κλινικής με την παρούσα Πολιτική και θα πρέπει να εφαρμόσει τις κατάλληλες πρακτικές, διαδικασίες και ελέγχους για να εξασφαλίσει αυτή τη συμμόρφωση.
O Υπεύθυνος  Προστασίας Προσωπικών Δεδομένων (DPO)  της Athens Eye Clinic είναι ο κ. Βολακάκης Γεώργιος.  στην οποία μπορείτε να απευθυνθείτε στο: [email protected]

Οι αρχές προστασίας των προσωπικών δεδομένων

Κάθε φορά που η Athens Eye Clinic επεξεργάζεται προσωπικά δεδομένα θα πρέπει να ακολουθεί τις παρακάτω αρχές, οι οποίες ορίζονται στον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων. Η Κλινική είναι υπεύθυνη  και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή της με τις αρχές προστασίας προσωπικών δεδομένων που αναφέρονται παρακάτω.
Οι αρχές αυτές απαιτούν τα προσωπικά δεδομένα:

  • Να επεξεργάζονται νόμιμα, δίκαια και με διαφάνεια (Νομιμότητα, δικαιοσύνη και διαφάνεια).
  • Να συλλέγονται μόνο για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο με τους σκοπούς αυτούς (περιορισμός του σκοπού).
  • Να είναι επαρκή, σχετικά και περιορισμένα σε ό, τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (ελαχιστοποίηση δεδομένων).
  • Να είναι ακριβή και, όπου χρειάζεται, ενημερωμένα (ακρίβεια).
  • Να μην τηρούνται υπό μορφή που επιτρέπει τον προσδιορισμό των προσώπων στα οποία αναφέρονται τα προσωπικά δεδομένα για μεγαλύτερο χρονικό διάστημα από αυτό που είναι αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται αυτά σε επεξεργασία (περιορισμός αποθήκευσης).
  • Να υποβάλλονται σε επεξεργασία με τρόπο που διασφαλίζει την ασφάλειά τους, χρησιμοποιώντας κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή ζημία (Ασφάλεια, ακεραιότητα και εμπιστευτικότητα).

Τα δικαιώματά των υποκειμένων των προσωπικών δεδομένων

Τα υποκείμενα των προσωπικών δεδομένων, είτε πρόκειται για τους εργαζόμενους της Κλινικής, είτε πρόκειται για τους ασθενείς-εξεταζόμενους που επισκέπτονται την Athens Eye Clinic, έχουν δικαίωμα :

  • Πρόσβασης στα δεδομένα τους: Αυτό σημαίνει ότι τα υποκείμενα δικαιούνται να υποβάλουν αίτημα πρόσβασης στα προσωπικά τους δεδομένα και να πληροφορηθούν τον τρόπο με τον οποίο τα χειρίζεται η Κλινική.
  • Διόρθωσης των δεδομένων τους σε περίπτωση ανακρίβειας: Αυτό σημαίνει ότι τα υποκείμενα δικαιούνται να προβούν σε διόρθωση ή συμπλήρωση των προσωπικών τους πληροφοριών, όταν αυτές είναι ανακριβείς ή ελλιπείς.
  • Διαγραφής των δεδομένων τους σε συγκεκριμένες περιπτώσεις: Αυτό σημαίνει ότι τα υποκείμενα μπορούν να ζητήσουν τη διαγραφή ορισμένων ή όλων των προσωπικών τους δεδομένων σε συγκεκριμένες περιστάσεις, εφόσον δεν υπάρχει νόμιμος λόγος συνέχισης της επεξεργασίας από την Athens Eye Clinic και υπό την προϋπόθεση ότι δεν θίγονται τα συμφέροντα της Κλινικής.
  • Περιορισμού της επεξεργασίας των δεδομένων τους: Αυτό σημαίνει ότι τα υποκείμενα μπορούν να ζητήσουν να περιοριστεί η επεξεργασία των προσωπικών τους δεδομένων. Πιο συγκεκριμένα, η Athens Eye Clinic δικαιούται να αποθηκεύει τα δεδομένα τους, χωρίς όμως να προχωράει σε περαιτέρω επεξεργασία.
  • Εναντίωσης στην επεξεργασία των δεδομένων τους: Αυτό σημαίνει ότι τα υποκείμενα μπορούν να εναντιωθούν στην κάθε είδους επεξεργασία των προσωπικών τους πληροφοριών.  
  • Διαβίβασης των δεδομένων τους σε άλλον πάροχο υπηρεσιών υγείας: Αυτό σημαίνει ότι τα υποκείμενα έχουν το δικαίωμα φορητότητας των δεδομένων τους, υπό την έννοια ότι δικαιούνται να λαμβάνουν και να μεταφέρουν ένα ηλεκτρονικό αντίγραφο των δεδομένων τους εύκολα και με τρόπο ασφαλή και να ζητούν από την Κλινική να τα μεταφέρει σε άλλον υπεύθυνο επεξεργασίας.
  • Καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) σε περίπτωση ατυχούς συμβάντος παραβίασης των δεδομένων τους

Η Athens Eye Clinic θα απαντήσει στα ως άνω αιτήματα των υποκειμένων εντός μηνός από την παραλαβή τους. Κατ’ εξαίρεση, αυτή η προθεσμία μπορεί να παραταθεί κατά 2 ακόμα μήνες, εφόσον απαιτείται επιπλέον χρόνος. 
Σε περίπτωση που τα υποκείμενα των δεδομένων χρειάζονται διευκρινίσεις ή περαιτέρω πληροφορίες σχετικά με τα ανωτέρω δικαιώματά τους, μπορούν να απευθύνονται στη Γραμματεία της Κλινικής ή να επικοινωνούν με τον Υπεύθυνο Προστασίας Δεδομένων του (στοιχεία επικοινωνίας παρακάτω).

Τα προσωπικά δεδομένα που επεξεργάζεται η Κλινική

Η Athens Eye Clinic συλλέγει και χρησιμοποιεί τα απλά και ευαίσθητα προσωπικά δεδομένα των εργαζομένων της κυρίως για τη διαχείριση της σύμβασης εργασίας τους και της σχέσης τους με αυτή. Η εν λόγω συλλογή και χρήση των δεδομένων των εργαζομένων από την Κλινική γίνεται για νόμιμους σκοπούς, όπως είναι η βελτίωση της αποδοτικότητας και αποτελεσματικότητας των εργασιών της Athens Eye Clinic, η διερεύνηση πιθανών παραβιάσεων νόμιμων ή συμβατικών υποχρεώσεων από τους εργαζόμενους ή από τα μέλη του προσωπικού του, καθώς επίσης και η αξιολόγηση της ικανότητας εργασίας των εργαζομένων.
Επίσης, η Κλινική συλλέγει τα προσωπικά δεδομένα των ασθενών (δημογραφικά στοιχεία, στοιχεία πληρωμής και ασφάλισης, ιατρικό ιστορικό) για να τους παρέχει τις ιατρικές υπηρεσίες που επιθυμούν. Στο πλαίσιο αυτό, η Κλινική μπορεί να επεξεργαστεί, για σκοπούς ιατρικής διάγνωσης, στοιχεία προηγούμενων εξετάσεων και παθήσεων που παρέχουν οι ασθενείς - εξεταζόμενοι, εφόσον βέβαια το επιθυμούν. Περαιτέρω, η Κλινική αποθηκεύει, κατόπιν ρητής συναίνεσης των ανωτέρω ασθενών-εξεταζόμενων, στοιχεία επικοινωνίας οικείων τους, τα οποία και θα χρησιμοποιηθούν μόνο σε περίπτωση έκτακτης ανάγκης. Σε περίπτωση που οι ασθενείς επισκέπτονται την Κλινική κατόπιν παραπομπής Ιδιώτη Ιατρού, η Κλινική ενημερώνει τον τελευταίο για τα αποτελέσματα των εξετάσεων των ασθενών, μόνο εφόσον αυτό κρίνεται απαραίτητο για σκοπούς ορθής ιατρικής γνωμάτευσης.

Εκτέλεση των ιατρικών πράξεων

ΚΑΤΗΓΟΡΙΑ

ΕΙΔΟΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΝΟΜΙΚΗ ΒΑΣΗ

Εξεταζόμενοι

Ονοματεπώνυμο, πατρώνυμο, επάγγελμα, διεύθυνση,  τηλέφωνο, email, ΑΦΜ, ΑΜΚΑ, ΑΔΤ, αποτελέσματα εξετάσεων, στοιχεία ασφαλίσεως, στοιχεία οικείων

νόμιμη υποχρέωση

Ιατροί/ Μέλη της επιστημονικής ομάδας

Ονοματεπώνυμο, θέση, τηλέφωνο, email, ΑΦΜ, AMKA, ΑΔΤ, φωτοτυπία ΑΤ, άδεια ασκήσεως επαγγέλματος, ιατρική ειδικότητα, στοιχεία ασφαλιστικού φορέα, στοιχεία οικογενειακής καταστάσεως

νόμιμη υποχρέωση

Η νομική βάση για την επεξεργασία των προσωπικών δεδομένων

Η Athens Eye Clinic θα επεξεργάζεται τα προσωπικά δεδομένα των εργαζόμενών της εφόσον αυτό είναι απαραίτητο για την εκτέλεση της σύμβασής τους και για λόγους συμμόρφωσης με τις νόμιμες υποχρεώσεις της Κλινικής. Επιπλέον, η Κλινική θα λαμβάνει και θα αποθηκεύει στοιχειώδη προσωπικά δεδομένα των ασθενών (π.χ. δημογραφικά στοιχεία) για τον προγραμματισμό της επίσκεψής τους στην Κλινική, καθώς και όσα προσωπικά δεδομένα κρίνονται απαραίτητα για την παροχή των ιατρικών υπηρεσιών που επιθυμούν. Ως εκ τούτου, η συμφωνία παροχής ιατρικών υπηρεσιών αποτελεί τη νομική βάση για την επεξεργασία των δεδομένων τους.

Η ευθύνη της Κλινικής

Η Athens Eye Clinic πρέπει να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα με αποτελεσματικό τρόπο για να εξασφαλίσει την τήρηση των αρχών προστασίας προσωπικών δεδομένων. Η Κλινική είναι υπεύθυνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή της με τις αρχές προστασίας αυτών των δεδομένων.
Επομένως η Κλινική πρέπει να εφαρμόζει επαρκείς ελέγχους και μέτρα για την τεκμηρίωση και την εξασφάλιση της συμμόρφωσης με το GDPR, συμπεριλαμβανομένων των εξής:
1. διορισμός ενός Υπεύθυνου Προστασίας Προσωπικών Δεδομένων με τα κατάλληλα προσόντα.
2. εφαρμογή της Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά την επεξεργασία αυτών των δεδομένων και ολοκλήρωση μιας αξιολόγησης αντικτύπου προστασίας δεδομένων (DPIA), καθώς η Κλινική επεξεργάζεται προσωπικά δεδομένα υγείας και συνεπώς η επεξεργασία παρουσιάζει υψηλό κίνδυνο για την ιδιωτική ζωή των υποκειμένων των δεδομένων.
3. ενσωμάτωση της προστασίας των προσωπικών δεδομένων στις πολιτικές και τις διαδικασίες της Κλινικής, χειρισμός των προσωπικών δεδομένων από την Κλινική και παραγωγή απαιτούμενων εγγράφων, όπως ειδοποιήσεις περί απορρήτου, αρχεία επεξεργασίας και καταγραφές παραβιάσεων προσωπικών δεδομένων.
4. εκπαίδευση του προσωπικού σχετικά με την τήρηση του νόμου περί προστασίας δεδομένων και τήρηση αναλόγως του μητρώου.
5. τακτικός έλεγχος των μέτρων προστασίας της ιδιωτικής ζωής και διενέργεια περιοδικών αναθεωρήσεων και ελέγχων για την αξιολόγηση της συμμόρφωσης, συμπεριλαμβανομένης της χρήσης αποτελεσμάτων δοκιμών για την απόδειξη της προσπάθειας βελτίωσης της συμμόρφωσης, για την πλήρη εναρμόνιση με τον Νέο Κανονισμό.

Οι αρμοδιότητες της Διοίκησης

Η Διοίκηση της Athens Eye Clinic είναι αρμόδια να λαμβάνει τα απαραίτητα μέτρα προκειμένου να διασφαλίσει πλήρως την ιδιωτικότητα των υποκειμένων και την ασφάλεια των προσωπικών τους δεδομένων σύμφωνα με την ευρωπαϊκή νομοθεσία.

Οι αρμοδιότητες του Υπευθύνου Προστασίας Προσωπικών Δεδομένων

Ο Υπεύθυνος Προστασίας Δεδομένων της Athens Eye Clinic έχει τα εξής καθήκοντα:

  • προώθηση μιας κουλτούρας προστασίας των δεδομένων σε όλα τα επίπεδα της Κλινικής και αρωγή κατά την υλοποίηση των θεμελιωδών στοιχείων του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR)?
  • παροχή συμβουλευτικής καθοδήγησης στη Διοίκηση σε σχέση με :
  • την υποχρέωση για την εκπόνηση Εκτίμησης Αντικτύπου ως προς την Προστασία των Δεδομένων (DPIA) για κάποια συγκεκριμένη δραστηριότητα της Κλινικής
  • την μεθοδολογία που ενδείκνυται να ακολουθείται κατά τη διενέργεια της Εκτίμησης Αντικτύπου ως προς την Προστασία των Δεδομένων (DPIA)
  • την διενέργεια DPIA ενδοεταιρικά ή την ανάθεσή της σε εξωτερικούς συνεργάτες
  • την επιτυχή και σωστή πραγματοποίηση της DPIA και την διαπίστωση ότι τα συμπεράσματά της τελούν σε συμμόρφωση με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR)
  • προσδιορισμός των μέτρων προστασίας (που περιλαμβάνουν τεχνικά και οργανωτικά μέτρα) τα οποία είναι ενδεδειγμένο να εφαρμόζονται, ώστε να μετριάζονται οι ενδεχόμενοι κίνδυνοι για τα δικαιώματα και τα συμφέροντα που έχουν τα υποκείμενα των δεδομένων
  • τεκμηρίωση και συλλογή δεδομένων για τις τρέχουσες διοικητικές πρακτικές από όλες τις λειτουργίες, τις διεργασίες, τους ρόλους, τις αρμοδιότητες και την υλοποίησή τους τόσο στα ψηφιακά συστήματα όσο και εγγράφως
  • παροχή υποστηρικτικών υπηρεσιών κατά τη λειτουργία της Κλινικής στην πρακτική εφαρμογή των πολιτικών ιδιωτικότητας και της νομοθεσίας, εντός της οποίας λειτουργεί αυτό
  • επίλυση πρακτικών προβλημάτων
  • εκπαίδευση προσωπικού στις αλλαγές του νομοθετικού πλαισίου
  • εκπροσώπηση έναντι της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και επίλυση τυχόν ερωτημάτων, καθώς και παροχή γνωστοποιήσεων σε περίπτωση καταγγελίας/ έρευνας.

Οι αρμοδιότητες του προσωπικού (εργαζομένων/ συνεργατών)

Όλοι όσοι ανήκουν στο προσωπικό της Κλινικής και επεξεργάζονται προσωπικά δεδομένα ασθενών, εργαζομένων, αιτούντων θέση εργασίας ή οποιουδήποτε άλλου ατόμου, πρέπει να συμμορφώνονται με τις απαιτήσεις της παρούσας Πολιτικής. Το προσωπικό της Κλινικής εξασφαλίζει ότι:
(α) όλα τα δεδομένα προσωπικού χαρακτήρα φυλάσσονται με ασφάλεια
(β) καμία προσωπική πληροφορία δεν αποκαλύπτεται ούτε προφορικά ούτε γραπτώς, τυχαία ή με άλλο τρόπο, σε οποιοδήποτε τρίτο εξουσιοδοτημένο τρίτο πρόσωπο
(γ) τα προσωπικά δεδομένα τηρούνται σύμφωνα με το χρονοδιάγραμμα διατήρησης της Κλινικής
(δ) οποιεσδήποτε ερωτήσεις σχετικά με την προστασία των δεδομένων, συμπεριλαμβανομένων των αιτήσεων πρόσβασης και των καταγγελιών απευθύνονται αμελλητί στους αρμοδίους
(ε) οποιεσδήποτε παραβιάσεις προστασίας δεδομένων γνωστοποιούνται ταχέως στον Υπεύθυνο Προστασίας Δεδομένων, ο οποίος παρέχει κάθε διευκόλυνση για την επίλυση του ζητήματος
(στ) όταν υπάρχει αβεβαιότητα γύρω από ένα θέμα προστασίας δεδομένων, ζητείται συμβουλή από τον Υπεύθυνο Προστασίας Δεδομένων.
Το προσωπικό της Κλινικής, όταν διατηρεί αμφιβολία για την γνησιότητα της εξουσιοδότησης τρίτων στους οποίους μπορεί νόμιμα να αποκαλύψει προσωπικά δεδομένα, θα πρέπει να ζητήσει συμβουλές από τον Υπεύθυνο Προστασίας Δεδομένων.

Τρίτοι - Συνεργάτες

Όταν χρησιμοποιούνται εξωτερικές εταιρείες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό της Athens Eye Clinic (π.χ. υπεργολάβοι), η ευθύνη για την ασφάλεια και την κατάλληλη χρήση αυτών των δεδομένων παραμένει στην Athens Eye Clinic (η οποία είναι η ΥπεύθυνηΕπεξεργασίας).
Όταν χρησιμοποιείται τρίτος ως εκτελών την επεξεργασία:
(α) θα πρέπει να παρέχει επαρκείς εγγυήσεις όσον αφορά τα μέτρα ασφαλείας του για την προστασία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
(β) θα πρέπει να ληφθούν εύλογα μέτρα για την εφαρμογή μέτρων ασφαλείας.
(γ) θα πρέπει να έχει καταρτιστεί γραπτή σύμβαση που να καθορίζει συγκεκριμένα ποια δεδομένα προσωπικού χαρακτήρα θα αποτελέσουν αντικείμενο επεξεργασίας και για ποιο σκοπό.
(δ) θα πρέπει να έχει υπογραφεί μία «Σύμβαση Επεξεργασίας Δεδομένων» σύμφωνα με το πρότυπο της Athens Eye Clinic.

Το χρονικό διάστημα διατήρησης των προσωπικών δεδομένων

Ανάλογα με τον τύπο των δεδομένων, η Athens Eye Clinic διατηρεί τα δεδομένα των εργαζομένων του για μια περίοδο από 1 ημέρα έως 20 έτη. Σε εξαιρετικές περιπτώσεις αυτή η περίοδος διατήρησης μπορεί να καταστεί μεγαλύτερη, όταν απαιτείται ή επιτρέπεται από την κείμενη νομοθεσία. Όσον αφορά τους ασθενείς /εξεταζόμενους, η Κλινική διατηρεί τα προσωπικά τους δεδομένα για χρονικό διάστημα 20 ετών, όπως ορίζεται στην εθνική νομοθεσία. Μετά την πάροδο του ανωτέρω χρονικού διαστήματος η Κλινική προβαίνει σε ασφαλή διαγραφή των προσωπικών δεδομένων των ασθενών / εξεταζόμενων. Κατ’ εξαίρεση, η Κλινική διατηρεί τα προσωπικά δεδομένα των τελευταίων για χρονικό διάστημα μεγαλύτερο των 20 ετών μόνο στην περίπτωση που αυτό είναι απαραίτητο για την εξυπηρέτηση των εννόμων συμφερόντων του. Στην τελευταία αυτή περίπτωση οι ενδιαφερόμενοι θα λάβουν σχετική ενημέρωση.

Οι αποδέκτες των προσωπικών δεδομένων

1. Η Athens Eye Clinic επιτρέπει την πρόσβαση στα προσωπικά δεδομένα των εργαζομένων της μόνο σε όσους είναι απολύτως αναγκαίο να έχουν τέτοια πρόσβαση προκειμένου να εκτελέσουν τα καθήκοντά τους, καθώς και σε τρίτους, εφόσον έχουν νόμιμο λόγο για να αποκτήσουν πρόσβαση σε αυτά. Κάθε φορά που η Κλινική επιτρέπει σε τρίτο να έχει πρόσβαση στα προσωπικά δεδομένα των εργαζομένων της, η Κλινική θα εφαρμόζει τα κατάλληλα μέτρα για να διασφαλίζει ότι αυτά τα δεδομένα χρησιμοποιούνται κατόπιν γνωστοποίησης και ότι διατηρείται η εμπιστευτικότητα και η ακεραιότητα των δεδομένων.
Η Κλινική μπορεί να χρειαστεί να παρέχει ορισμένα προσωπικά δεδομένα των εργαζομένων της σε τρίτους που παρέχουν υπηρεσίες σε αυτήν, σε μια «βάση απόλυτης αναγκαιότητας γνώσης» και σύμφωνα με τον ισχύοντα νόμο περί προστασίας προσωπικών δεδομένων. Για παράδειγμα, ορισμένα προσωπικά στοιχεία θα είναι διαθέσιμα σε εταιρείες τρίτων που παρέχουν υπηρεσίες στην Athens Eye Clinic, όπως πχ. υποστήριξη μισθοδοσίας, ιατρικές, νομικές οικονομικές και άλλες συμβουλές, διαχείριση ταξιδιών των εργαζομένων, κλπ. Επιπρόσθετα, η Κλινική μπορεί να αποκαλύψει προσωπικά δεδομένα σε άλλα τρίτα μέρη για άλλους νόμιμους λόγους όπως:
(α) προς συμμόρφωση με τις νόμιμες υποχρεώσεις της Κλινικής, συμπεριλαμβανομένης της συμμόρφωσης σε νόμο, Κανονισμό ή σύμβαση, προς συμμόρφωση με δικαστική απόφαση ή ανταπόκριση σε διοικητική ή δικαστική διαδικασία, προς ανταπόκριση σε αιτήματα επιβολής του νόμου συμπεριλαμβανομένων δικαστικής απόφασης ή ένταλμα έρευνας.
(β) όπου είναι απαραίτητο για την προστασία των συμφερόντων των εργαζομένων ή άλλου προσώπου (πχ. δικαστικές διαμάχες στις οποίες μετέχουν οι εργαζόμενοι) και
(γ) σε σχέση με την πώληση, ανάθεση ή άλλη μεταφορά του συνόλου ή μέρους της επιχείρησης της Κλινικής.

2. Όσον αφορά τους ασθενείς, η Athens Eye Clinic μπορεί να κοινολογεί τα προσωπικά τους δεδομένα σε τρεις διαφορετικές κατηγορίες αποδεκτών:

i) Σε παρόχους ιατρικών υπηρεσιών - συνεργάτες της Κλινικής:

Η Athens Eye Clinic διατηρεί εξωτερικές συνεργασίες με τρίτους (μηχανικούς πληροφορικής, ιατρούς, παρόχους υπηρεσιών υγείας - εργαστήρια αναφοράς) οι οποίοι προβαίνουν σε επεξεργασία προσωπικών δεδομένων στο όνομα και για λογαριασμό της Κλινικής, δυνάμει ισχυρών συμβατικών δεσμεύσεων και οι οποίοι έχουν επιλεγεί με κριτήριο την ουσιαστική εφαρμογή υψηλού επιπέδου μέτρων ασφάλειας σχετικά με την προστασία των προσωπικών δεδομένων.

ii) Σε τρίτους παρόχους υπηρεσιών υγείας.

Η Athens Eye Clinic κοινοποιεί τα προσωπικά δεδομένα των ασθενών της σε τρίτους αποδέκτες (με τους οποίους δεν διατηρεί συνεργασία) μόνο στις ακόλουθες περιπτώσεις:

  • Σε περίπτωση που η κοινολόγηση απαιτείται στο πλαίσιο ασφαλιστικής σύμβασης που διατηρούν οι ασθενείς με συγκεκριμένη ασφαλιστική εταιρεία
  • Για λόγους διαφύλαξης ζωτικών συμφερόντων των ασθενών
  • Εφόσον απαιτείται από συγκεκριμένη νομοθετική διάταξη

iii) Σε τρίτους παρόχους κατόπιν αιτήματος των ασθενών

Η Athens Eye Clinic κοινολογεί τα προσωπικά δεδομένα των ασθενών σε τρίτους παρόχους υπηρεσιών υγείας μόνο κατόπιν υποβολής δικού τους σχετικού γραπτού αιτήματος. Για περισσότερες πληροφορίες σχετικά με τον τρόπο διαβίβασης των προσωπικών δεδομένων των ασθενών σε τρίτους, οι τελευταίοι μπορούν να συμβουλευθούν την ιστοσελίδα ή τη γραμματεία της Κλινικής.
Διευκρινίζεται ότι η Κλινική δε φέρει ουδεμία ευθύνη για τη διαχείριση των προσωπικών δεδομένων των ασθενών από τρίτους.

Η καταγραφή ενεργειών ή πράξεων των εργαζομένων ή των ασθενών

1. Η Athens Eye Clinic πραγματοποιεί αυτοματοποιημένη παρακολούθηση των δικτύων της, των συστημάτων πληροφορικής και επικοινωνιών και των κινητών και άλλων συσκευών μέσω αυτοματοποιημένων εργαλείων, όπως το λογισμικό προστασίας από κακόβουλο λογισμικό, το φιλτράρισμα ιστότοπων και το φιλτράρισμα ανεπιθύμητων μηνυμάτων. Παρακολουθεί επίσης τις φυσικές της εγκαταστάσεις, για παράδειγμα μέσω της χρήσης συστημάτων καμερών παρακολούθησης CCTV και ελέγχου πρόσβασης.
Η Κλινική μπορεί ωστόσο να διεξάγει ορισμένες μη αυτοματοποιημένες δραστηριότητες παρακολούθησης ή μερικής αυτόματης παρακολούθησης, όπως για παράδειγμα επισκοπήσεις ηλεκτρονικού ταχυδρομείου και άλλων επικοινωνιών. Αυτά τα δεδομένα θα διατηρηθούν σύμφωνα με το χρονοδιάγραμμα διατήρησης.
Λόγω αυτού του ελέγχου παρακολούθησης, όλοι οι υπάλληλοι και εργαζόμενοι της Κλινικής θα πρέπει να είναι ιδιαίτερα προσεκτικοί κάθε φορά που κάνουν χρήση των περιουσιακών στοιχείων της Κλινικής για προσωπικούς λόγους, ιδιαίτερα όσον αφορά τα συστήματα ηλεκτρονικού ταχυδρομείου.
Ο πρωταρχικός σκοπός αυτής της καταγραφής είναι η προστασία της Κλινικής, των εργαζομένων και των λοιπών συνεργατών της, όπως για παράδειγμα η γενική λειτουργία και ασφάλεια του δικτύου, η αξιολόγηση και παρακολούθηση των επιδόσεων των υπαλλήλων, συνεργατών και λοιπών απασχολουμένων, η φυσική ασφάλεια των χώρων, οχημάτων και περιουσιακών στοιχείων της Κλινικής κλπ. Οι δραστηριότητες παρακολούθησης είναι πιθανόν να είναι συνεχείς και σε εξέλιξη. Ωστόσο, η Athens Eye Clinic δεσμεύεται να διασφαλίσει ότι θα σέβεται σε κάθε περίπτωση την αρχή της αναλογικότητας.
Οι εργαζόμενοι της Athens Eye Clinic πρέπει να γνωρίζουν ότι οποιοδήποτε μήνυμα ηλεκτρονικού ταχυδρομείου, αρχείο, δεδομένο, έγγραφο, τηλεομοιοτυπία, τηλεφωνική συνομιλία, κλπ. που μεταδίδεται προς ή από αυτή, λαμβάνεται ή εκτυπώνεται από ή καταγράφεται στα συστήματα πληροφορικής ή στις συσκευές της, θεωρείται ότι σχετίζεται με τη λειτουργία της και μπορεί να παρακολουθείται από την Κλινική, σύμφωνα με την ισχύουσα νομοθεσία. 

2. Η Athens Eye Clinic είναι δυνατόν να καταγράφει και να τηρεί τις συνομιλίες που έχει ο ασθενής με την Κλινική - συμπεριλαμβανομένων επιστολών, μηνυμάτων ηλεκτρονικού ταχυδρομείου, ζωντανών συζητήσεων μέσω μηνυμάτων (live chats) ή και οποιωνδήποτε άλλων μορφών επικοινωνίας. Οι καταγραφές αυτές αξιοποιούνται από την Κλινική για να αξιολογήσει, αναλύσει και βελτιώσει τις υπηρεσίες της, να εκπαιδεύσει το προσωπικό της, να διαχειριστεί ή να προλάβει ενδεχόμενους κινδύνους και να εντοπίσει απάτη και άλλες εγκληματικές πράξεις. Ενδέχεται να συλλέξει επιπρόσθετες πληροφορίες σχετικά με αυτές τις επικοινωνίες, π.χ. τηλεφωνικούς αριθμούς από τους οποίους οι ασθενείς καλούν και πληροφορίες για τις συσκευές ή το λογισμικό που χρησιμοποιούν οι τελευταίοι, μόνο εφόσον αυτό κρίνεται αναγκαίο για τους παραπάνω σκοπούς.

Η προστασία των ανήλικων

H Athens Eye Clinic λαμβάνει ιδιαίτερα μέτρα για την προστασία των ανηλίκων και την ιδιωτικότητα των προσωπικών δεδομένων υγείας του. Ειδικότερα, η παρουσία των γονέων/κηδεμόνων κατά τη διάρκεια ιατρικής εξέτασης ή διενέργειας απλών ιατρικών πράξεων (λ.χ. οφθαλμολογική εξέταση) στα ανήλικα παιδιά τους επιτρέπεται και ενθαρρύνεται από τους επαγγελματίες υγείας της Κλινικής. Ζητείται η συγκατάθεση του κηδεμόνα για κάθε ιατρική πράξη, καθώς και για την κοινοποίηση των αποτελεσμάτων των εξετάσεων, η οποία αποδεικνύεται μόνο εγγράφως. Εάν πρόκειται για κρίσιμη περίπτωση, όπου η υγεία του βρίσκεται σε άμεσο κίνδυνο, η εξέταση εκτελείται και χωρίς τη συγκατάθεση. Οι γονείς νομιμοποιούνται βάσει των διατάξεων του ΑΚ να παραλάβουν τα αποτελέσματα των εξετάσεων των ανήλικων τέκνων τους.

Η ασφάλεια των προσωπικών δεδομένων

Προτεραιότητα της Athens Eye Clinic είναι η διατήρηση των προσωπικών δεδομένων ασφαλών. Η Κλινική έχει λάβει και εφαρμόζει μία σειρά μέτρων για να τηρεί τα προσωπικά δεδομένα των εργαζομένων και των ασθενών ασφαλή και προστατευμένα. Τα μέτρα αυτά ανά περίπτωση περιλαμβάνουν έλεγχο προσβασιμότητας στα δεδομένα (role based access control), καθώς και ψευδωνυμοποίηση, κρυπτογράφηση  ή άλλα τεχνικά και οργανωτικά μέτρα, όπως  ασφαλή φύλαξη του φυσικού αρχείου. Τα μέτρα ασφαλείας θα επικαιροποιούνται διαρκώς, ανάλογα με τις τεχνολογικές εξελίξεις και τις οργανωτικές της ανάγκες.

Η αναφορά συμβάντος παραβίασης προσωπικών δεδομένων

Ο GDPR απαιτεί από την Κλινική να αναφέρει στην ΑΠΔΠΧ οποιαδήποτε παραβίαση των προσωπικών δεδομένων όταν εμφανιστεί κίνδυνος για τα δικαιώματα και τις ελευθερίες οποιουδήποτε υποκειμένου των δεδομένων. Όταν η παραβίαση προσωπικών δεδομένων υπέχει υψηλό κίνδυνο για το υποκείμενο των δεδομένων, πρέπει αυτό να ειδοποιηθεί, εκτός εάν έχουν ληφθεί μεταγενέστερα μέτρα για να εξασφαλιστεί ότι ο κίνδυνος δεν είναι πιθανόν να επέλθει ή εφαρμόστηκαν μέτρα ασφαλείας για την αποσαφήνιση των προσωπικών δεδομένων (π.χ. κρυπτογράφηση) ή υπάρχει δυσανάλογη προσπάθεια άμεσης ενημέρωσης του υποκειμένου των δεδομένων. Στις τελευταίες αυτές περιπτώσεις, πρέπει να γίνει δημόσια ανακοίνωση ή να θεσπιστεί ένα εξίσου αποτελεσματικό εναλλακτικό μέτρο για την ενημέρωση των υποκειμένων των δεδομένων, ούτως ώστε οι ίδιοι να λάβουν οποιαδήποτε διορθωτική ενέργεια.
Η Athens Eye Clinic έχει υιοθετήσει συγκεκριμένη διαδικασία για την αντιμετώπιση τυχόν παραβιάσεων προσωπικών δεδομένων.
Εργαζόμενοι της Κλινικής ή ασθενείς / εξεταζόμενοι που γνωρίζουν ή υποψιάζονται ότι έχει σημειωθεί παραβίαση προσωπικών δεδομένων, πρέπει να επικοινωνήσουν αμέσως με τον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων και να ακολουθήσουν τις οδηγίες που ορίζονται στη σχετική διαδικασία, συμπληρώνοντας τη σχετική φόρμα αναφοράς. Πρέπει, εξάλλου τα ανωτέρω υποκείμενα να διατηρούν όλα τα αποδεικτικά στοιχεία που αφορούν παραβιάσεις προσωπικών δεδομένων, ιδίως επιτρέποντας στην Κλινική να τηρεί αρχείο των παραβιάσεων αυτών, όπως απαιτείται από τον GDPR.

Η τήρηση αρχείων

Ο GDPR απαιτεί τη διατήρηση πλήρων και ακριβών αρχείων για όλες τις δραστηριότητες επεξεργασίας προσωπικών δεδομένων. Τα υποκείμενα πρέπει να διατηρούν ακριβή εταιρικά αρχεία που αντικατοπτρίζουν την επεξεργασία της Κλινικής, συμπεριλαμβανομένων των αρχείων που περιέχουν την συγκατάθεση των υποκειμένων των δεδομένων και των διαδικασιών για την απόκτηση συγκατάθεσης, στις περιπτώσεις για τις οποίες η συγκατάθεση είναι η νομική βάση της επεξεργασίας.
Αυτά τα αρχεία πρέπει να περιλαμβάνουν τουλάχιστον το όνομα και τα στοιχεία επικοινωνίας της Athens Eye Clinic ως Υπεύθυνης Επεξεργασίας και το όνομα του ΥΠΔ, σαφείς περιγραφές των τύπων προσωπικών δεδομένων, τους τύπους των δεδομένων, τις δραστηριότητες επεξεργασίας, τους σκοπούς επεξεργασίας, τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα τρίτων, τις τοποθεσίες αποθήκευσης προσωπικών δεδομένων, την πιθανότητα μεταφοράς δεδομένων προσωπικού χαρακτήρα, την περίοδο διατήρησης των προσωπικών δεδομένων και μία περιγραφή των μέτρων ασφαλείας που ισχύουν.
Πρέπει επίσης να τηρούνται αρχεία παραβιάσεων προσωπικών δεδομένων τα οποία ορίζουν:
1. τα γεγονότα
2. τα αποτελέσματα αυτών
3. τα διορθωτικά μέτρα που ελήφθησαν

Η εκπαίδευση και ο έλεγχος

Η Athens Eye Clinic οφείλει να διασφαλίσει ότι όλο το προσωπικό του θα εκπαιδευτεί κατάλληλα για να μπορέσει να συμμορφωθεί με τη νομοθεσία περί προστασίας προσωπικών δεδομένων. Πρέπει επίσης η Κλινική να δοκιμάζει τακτικά τα συστήματα και τις διαδικασίες της για την αξιολόγηση της συμμόρφωσης. Ο ΥΠΔ καταρτίζει σε τακτικά διαστήματα πρόγραμμα εξειδικευμένης εκπαίδευσης, αποστέλλει πληροφορίες μέσω e-mail και διενεργεί ενημερωτικές παρουσιάσεις.