ΓΕΝΙΚΗ ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

1. ΔΗΛΩΣΗ ΠΟΛΙΤΙΚΗΣ

Η LaserVision (εφεξής η «Εταιρεία» ή «LaserVision») λειτουργεί ως ένα σύγχρονο  διαγνωστικό, θεραπευτικό και ερευνητικό οφθαλμολογικό κέντρο που συλλέγει και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων δεδομένων που αφορούν την υγεία, ασθενών, υπαλλήλων και τρίτων συνεργατών στο πλαίσιο της παροχής ολοκληρωμένων πρωτοβάθμιων υπηρεσιών υγείας.

Δεδομένου ότι ο μεγαλύτερος όγκος των πληροφοριών που συλλέγονται αποτελούν δεδομένα υγείας ασθενών της LaserVision, υπάρχει ισχυρή δέσμευση επεξεργασίας αυτών σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ), την εκάστοτε ισχύουσα στην Ελλάδα νομοθεσία περί προστασίας προσωπικών δεδομένων, τον Κώδικα Ιατρικής Δεοντολογίας, τις εκδιδόμενες από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα οδηγίες, εγκυκλίους, αποφάσεις και πράξεις και οποιαδήποτε άλλη σχετική με την προστασία των προσωπικών δεδομένων νομοθεσία ή ρυθμιστικό και κανονιστικό πλαίσιο (στο εξής συλλογικά θα αναφέρονται ως «Νόμοι περί προστασίας Δεδομένων Προσωπικού Χαρακτήρα - ΔΠΧ»).

 

2. ΣΚΟΠΟΣ

Σκοπός αυτής της Πολιτικής είναι να διασφαλίσει ότι η Εταιρεία θα εκπληρώνει τις νομοθετικές και κανονιστικές απαιτήσεις προστασίας ΔΠΧ και θα διασφαλίζει ότι όλα τα δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των δεδομένων υγείας ασθενών, υποβάλλονται σε επεξεργασία σύμφωνα με το συμφέρον και τα δικαιώματα των υποκειμένων τους.

Οι νόμοι για την προστασία των ΔΠΧ περιλαμβάνουν διατάξεις που προωθούν την υπευθυνότητα και την λογοδοσία και ως εκ τούτου η Εταιρεία έχει θέσει σε εφαρμογή ολοκληρωμένα και αποτελεσματικά μέτρα διακυβέρνησης για την τήρηση αυτών των διατάξεων. Στόχος αυτών των μέτρων είναι η ελαχιστοποίηση του κινδύνου παραβίασης και της προστασίας των ΔΠΧ.

Η Πολιτική αυτή χρησιμεύει επίσης ως έγγραφο και σημείο αναφοράς για το σύνολο των υπαλλήλων και συνεργαζόμενων τρίτων σχετικά με τις ευθύνες χρήσης και πρόσβασης στα προσωπικά δεδομένα καθώς και τους μηχανισμούς διαχείρισης των αιτημάτων των υποκειμένων των δεδομένων.

Η Εταιρεία  ελέγχει, επανεξετάζει και επικαιροποιεί σε τακτά χρονικά διαστήματα και, σε κάθε περίπτωση, όποτε τούτο κρίνεται αναγκαίο, την παρούσα Πολιτική, λαμβάνοντας υπόψη το εκάστοτε ισχύον νομοθετικό και κανονιστικό πλαίσιο.

 

3. ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ

Η Πολιτική ισχύει για όλους τους ασθενείς, το προσωπικό της Εταιρείας (μόνιμο, ορισμένου χρόνου και προσωρινής απασχόλησης), τρίτους αντιπροσώπους, υπεργολάβους, εθελοντές, ασκούμενους που απασχολούνται στην Εταιρεία ή εν γένει συνεργαζόμενους με την Εταιρεία, και εμπλέκονται στην επεξεργασία ΔΠΧ ή των οποίων δεδομένα προσωπικού χαρακτήρα η Εταιρεία επεξεργάζεται. Η τήρηση αυτής της πολιτικής είναι υποχρεωτική και η μη συμμόρφωση μπορεί να οδηγήσει σε πειθαρχικές ενέργειες.

3.1 Ορισμοί

- «Συγκατάθεση» του υποκειμένου των δεδομένων νοείται κάθε ελεύθερη, συγκεκριμένη,  ρητή και εν πλήρει επιγνώσει ένδειξη της επιθυμίας του υποκειμένου των δεδομένων με την οποία αυτός ή αυτή, εκδηλώνει, με δήλωση ή με σαφή θετική ενέργεια, ότι συμφωνεί με την επεξεργασία των προσωπικών δεδομένων που τον αφορούν ή την αφορούν.

- «Διασυνοριακή Επεξεργασία» νοείται η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία:

                           Α) πραγματοποιείται σε περισσότερα του ενός Κράτη Μέλη ή

Β) επηρεάζει ουσιωδώς ή ενδέχεται να επηρεάσει τα υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη.

- «Υπεύθυνος επεξεργασίας» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για τους σκοπούς της παρούσας, ως Υπεύθυνος επεξεργασίας θεωρείται η LaserVision.

- «Εκτελών την επεξεργασία» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου της επεξεργασίας.

- «Νόμοι προστασίας δεδομένων» νοούνται, για τους σκοπούς της παρούσας Πολιτικής, η συλλογική περιγραφή του ΓΚΠΔ, η εκάστοτε ισχύουσα στην Ελλάδα νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα, οι εκδιδόμενες από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα οδηγίες, εγκύκλιοι, αποφάσεις και πράξεις και οποιαδήποτε άλλη σχετική με την προστασία των προσωπικών δεδομένων νομοθεσία ή ρυθμιστικό και κανονιστικό πλαίσιο, με τα οποία συμμορφώνεται η Εταιρεία.

- «Υποκείμενο Δεδομένων» νοείται το φυσικό πρόσωπο το οποίο αφορούν τα δεδομένα προσωπικού χαρακτήρα.

- «ΓΚΠΔ» νοείται ο Γενικός Κανονισμός Προστασίας Δεδομένων [Κανονισμός (ΕΕ) 2016/679].

- «Γενετικά δεδομένα» νοούνται τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου.

- «Δεδομένα Προσωπικού Χαρακτήρα» (καλούμενα για τους σκοπούς της παρούσας και «προσωπικά δεδομένα» ή «ΔΠΧ») κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε ηλεκτρονικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

- «Προσωπικά δεδομένα ειδικών κατηγοριών»  δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία, δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

- «Δεδομένα που αφορούν την υγεία» («Δεδομένα υγείας») νοούνται τα δεδομένα που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου και αποκαλύπτουν πληροφορίες σχετικά με την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της υγείας του.

- «Επεξεργασία» νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

- «Κατάρτιση προφίλ» νοείται οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.

- «Αποδέκτης» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.

- «Εποπτική Αρχή» νοείται ανεξάρτητη δημόσια αρχή που έχει συσταθεί από κράτος μέλος. Για τους σκοπούς της παρούσας ως Εποπτική Αρχή νοείται η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

- «Τρίτος» νοείται οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.

- «Παραβίαση δεδομένων προσωπικού χαρακτήρα» νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.

 

4. ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (ΓΕΝΙΚΑ)

Κατωτέρω περιγράφονται οι βασικές αρχές του ΓΚΠΔ που η Εταιρεία υιοθετεί και εφαρμόζει κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η λειτουργία της ως Υπεύθυνης επεξεργασίας, η εκ μέρους της εφαρμογή της ισχύουσας νομοθεσίας και η αρμόδια για την προστασία των δικαιωμάτων των φυσικών προσώπων δεδομένα των οποίων τυγχάνουν επεξεργασίας εποπτική αρχή.     

4.1 Αρχή Προστασίας Δεδομένων Προσοπικού Χαρακτήρα (ΑΠΔΠΧ)

Αρμόδια στην Ελλάδα εποπτική αρχή για την παρακολούθηση της εφαρμογής των Νόμων της προστασίας δεδομένων, συμπεριλαμβανομένου του ΓΚΠΔ, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα, είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

Η LaserVision είναι εγγεγραμμένη στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και εμφανίζεται στο Μητρώο Προστασίας Δεδομένων ως Υπεύθυνη Επεξεργασίας προσωπικών δεδομένων υπαλλήλων, ασθενών και συνεργατών.

Ο αριθμός εγγραφής μας για την προστασία δεδομένων προσωπικού χαρακτήρα είναι 955.

4.2 Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ)

Μεταξύ των Νόμων προστασίας δεδομένων, με τους οποίους η Εταιρεία συμμορφώνεται, περιλαμβάνεται και ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ), ο οποίος τέθηκε σε εφαρμογή την 25η Μαΐου 2018.

Δεδομένου ότι η LaserVision επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων (υποκείμενα των δεδομένων), λαμβάνει τα απαραίτητα μέτρα και φροντίζει σε διαρκή βάση να συλλέγει, να αποθηκεύει, να τηρεί, να καταστρέφει και εν γένει να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα των υποκειμένων,  μόνο σύμφωνα με τους Νόμους της προστασίας δεδομένων και τις αρχές του ΓΚΠΔ.

4.2.1 Προσωπικά Δεδομένα

  Η προστασία των προσωπικών δεδομένων αποτελεί βασική προτεραιότητα της Εταιρείας. Η Εταιρεία σέβεται την ιδιωτικότητα και δεσμεύεται να αντιμετωπίζει με απόλυτη προσοχή και εμπιστευτικότητα τα προσωπικά δεδομένα των ασθενών, εργαζομένων, συνεργατών και λοιπών τρίτων μερών τα οποία συλλέγει και επεξεργάζεται.

Η LaserVision διασφαλίζει ότι θεσπίζονται ισχυροί μηχανισμοί προστασίας των ΔΠΧ που εμπίπτουν στις «ειδικές κατηγορίες» του ΓΚΠΔ (δεδομένα υγείας), λόγω της παραδοχής ότι αυτή η κατηγορία πληροφοριών θα μπορούσε να χρησιμοποιηθεί με αρνητικό ή μεροληπτικό τρόπο και ότι είναι ευαίσθητης και προσωπικής φύσης, για τα σχετιζόμενα φυσικά πρόσωπα – υποκείμενα, δηλαδή τους ασθενείς.

4.2.2 Αρχές επεξεργασίας των προσωπικών δεδομένων βάσει του ΓΚΠΔ

Η παρούσα Πολιτική και η βασιζόμενη σε αυτή επεξεργασία προσωπικών δεδομένων στην οποία η Εταιρεία προβαίνει, στηρίζεται στις παρακάτω αρχές, σύμφωνα με τις οποίες τα προσωπικά δεδομένα:

Α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),

Β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· εξαίρεση αποτελεί η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς («περιορισμός του σκοπού»),

Γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),

Δ) είναι ακριβή και, όταν είναι εφικτό, επικαιροποιούνται. Λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),

Ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο ΓΚΠΔ για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),

ΣΤ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

Η LaserVision,  ως Υπεύθυνη της επεξεργασίας έχει την ευθύνη για την τήρηση των αρχών / κανόνων προστασίας των προσωπικών δεδομένων και είναι ανά πάσα στιγμή σε θέση να αποδεικνύει τη συμμόρφωσή της («Λογοδοσία»), περιγράφοντας λεπτομερώς και συνοψίζοντας τα μέτρα και τους ελέγχους που έχει θεσπίσει για την προστασία των δεδομένων και τον περιορισμό των κινδύνων της επεξεργασίας.

4.3 Μη συνδρομή των προϋποθέσεων ορισμού Υπέυθυνου Προστασίας Δεδομένων

Στο πλαίσιο εφαρμογής του ΓΚΠΔ και λαμβάνοντας υπόψη τόσο το μέγεθος της Εταιρείας όσο και την κλίμακα της επεξεργασίας προσωπικών δεδομένων στην οποία προβαίνει, σε συνδυασμό με τις Κατευθυντήριες Γραμμές σχετικά με τους Υπεύθυνους Προστασίας Δεδομένων της Ομάδας Προστασίας των Προσώπων έναντι της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα του άρθρου 29, η Εταιρεία, ως Υπεύθυνη επεξεργασίας, δεν είναι υποχρεωμένη να διαθέτει και γι’ αυτό δεν έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer – DPO). Διευκρινίζεται δε ότι η Εταιρεία δεν προβαίνει σε επεξεργασία δεδομένων υγείας σε μεγάλη κλίμακα ούτε σε πράξεις επεξεργασίας που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, κατά την έννοια του ΓΚΠΔ και των ανωτέρω Κατευθυντήριων Γραμμών.

 Εφόσον, ωστόσο, σε οποιοδήποτε χρονικό σημείο η εκ μέρους της επεξεργασία μπορεί να θεωρηθεί ότι εμπίπτει στην κατηγορία της «μεγάλης κλίμακας» ή της «τακτικής και συστηματικής παρακολούθησης» ή στην περίπτωση που η Εποπτική Αρχή ή το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) υιοθετήσει ή εκδώσει σχετικές οδηγίες/αποφάσεις/κατευθυντήριες γραμμές, η Εταιρεία δεσμεύεται ότι θα συμμορφωθεί χωρίς καθυστέρηση, προβαίνοντας στις απαραίτητες ενέργειες.

        

5. ΑΝΤΙΚΕΙΜΕΝΟ ΚΑΙ ΣΤΟΧΟΙ

Στη LaserVision δεσμευόμαστε να διασφαλίσουμε ότι όλα τα προσωπικά δεδομένα που βρίσκονται στην κατοχή μας, συλλέγονται και υπόκεινται σε επεξεργασία σύμφωνα με τους Νόμους περί προστασίας δεδομένων. Διασφαλίζουμε την ασφαλή, ηθική και ξεκάθαρη επεξεργασία όλων των προσωπικών δεδομένων και έχουμε ικανούς και αναγκαίους μηχανισμούς ώστε τα υποκείμενα των δεδομένων να μπορούν να ασκούν απρόσκοπτα τα δικαιώματά τους σχετικά με την προστασία των δεδομένων τους.

Η LaserVision έχει αναπτύξει τους παρακάτω στόχους για την εκπλήρωση των υποχρεώσεών της για την προστασία δεδομένων και για τη διασφάλιση της διαρκούς συμμόρφωσης με τις νομοθετικές και κανονιστικές απαιτήσεις.

Πιο συγκεκριμένα, στην LaserVision διασφαλίζουμε ότι:

- Προστατεύουμε τα δικαιώματα των φυσικών προσώπων (ασθενών, υπαλλήλων, στελεχών, συνεργατών) όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων

- Αναπτύσσουμε, εφαρμόζουμε και διατηρούμε πολιτική, διαδικασία, σχέδιο ελέγχου και πρόγραμμα κατάρτισης για την συμμόρφωση με την εκάστοτε ισχύουσα νομοθεσία προστασίας δεδομένων

- Κάθε επιχειρηματική πρακτική, λειτουργία και διαδικασία που διεξάγεται από την Εταιρεία αξιολογείται και παρακολουθείται ως προς την συμμόρφωση με την ισχύουσα νομοθεσία προστασίας προσωπικών δεδομένων

- Τα προσωπικά δεδομένα (συμπεριλαμβανομένων και των δεδομένων υγείας) υποβάλλονται σε επεξεργασία μόνο εφόσον πληρούν τη νομιμότητα και τα κανονιστικά κριτήρια επεξεργασίας του ΓΚΠΔ

- Σε περίπτωση που η επεξεργασία διενεργείται βάσει συγκατάθεσης, καταγράφουμε τη συγκατάθεση επεξεργασίας των δεδομένων των υποκειμένων (ασθενών, υπαλλήλων, στελεχών, συνεργατών) κατά τη στιγμή της συλλογής της, παρέχοντας στα υποκείμενα πλήρη ενημέρωση για τους σκοπούς και τους τρόπους επεξεργασίας των δεδομένων τους, καθώς και για τη δυνατότητα και τον τρόπο ανάκλησής της

- Όλοι οι εργαζόμενοι της LaserVision και οι συνεργαζόμενοι με αυτή (συμπεριλαμβανομένων των συνεργαζόμενων ιατρών) είναι πλήρως ενήμεροι και καταρτισμένοι ως προς τις υποχρεώσεις προστασίας της επεξεργασίας των προσωπικών δεδομένων και της ασφάλειας αυτών στο πλαίσιο των εργασιών τους

- Έχουμε θεσπίσει ένα συνεχές πρόγραμμα παρακολούθησης, επανεξέτασης και βελτίωσης των μηχανισμών προστασίας ΔΠΧ και της επεξεργασίας τους εντοπίζοντας πιθανά κενά ασφάλειας ή/και σημεία μη συμμόρφωσης

- Διατηρούμε πρόγραμμα παρακολούθησης και ενημέρωσης των δημοσιεύσεων, οδηγιών, αποφάσεων, πράξεων, εγκυκλίων και αναφορών της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), καθώς και των εκδιδόμενων από αρμόδιες αρχές και φορείς γνωμοδοτήσεων επί των σημείων και άρθρων του ΓΚΠΔ

- Έχουμε ισχυρούς και τεκμηριωμένους μηχανισμούς παρακολούθησης καταγγελιών παραβίασης και διαρροής δεδομένων καθώς και μηχανισμούς εντοπισμού, διερεύνησης, επίλυσης και ενημέρωσης της αρμόδιας αρχής και των υποκειμένων

- Παρέχουμε σαφείς γραμμές αναφοράς και εποπτείας όσον αφορά την προστασία δεδομένων

- Αποθηκεύουμε, διατηρούμε και καταστρέφουμε όλα τα ΔΠΧ και ιδιαίτερα τα δεδομένα υγείας των ασθενών, σύμφωνα με τους όρους και τις προϋποθέσεις που θέτουν οι Νόμοι περί προστασίας δεδομένων σε συνδυασμό με τον Κώδικα Ιατρικής Δεοντολογίας (ν.3418/2005, όπως εκάστοτε ισχύει)

- Οι εργαζόμενοι και τα στελέχη της LaserVision γνωρίζουν τα δικαιώματά τους βάσει της νομοθεσίας περί προστασίας δεδομένων και τους παρέχονται οι απαραίτητες πληροφορίες άσκησης των δικαιωμάτων τους βάσει του ΓΚΠΔ

- Προστατεύουμε τα προσωπικά δεδομένα και έχουμε αναπτύξει και τεκμηριώσει κατάλληλα τεχνικά και οργανωτικά μέτρα και ελέγχους για την ασφάλεια των προσωπικών δεδομένων

6. ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ

6.1 Λογοδοσία & Συμμόρφωση

Λόγω της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών επεξεργασίας προσωπικών δεδομένων, συμπεριλαμβανομένων των δεδομένων υγείας, που διενεργούμε στην LaserVision, πραγματοποιούμε αξιολογήσεις των συνδεόμενων με την επεξεργασία προσωπικών δεδομένων κινδύνων, όποτε αυτό κρίνεται σκόπιμο ή αναγκαίο, ώστε να είναι δυνατός ο έγκαιρος εντοπισμός των κατάλληλων μέτρων προστασίας και μείωσης των κινδύνων της ελευθερίας και δικαιωμάτων των φυσικών προσώπων. Εφαρμόζουμε επίσης κατάλληλα τεχνικά και οργανωτικά μέτρα για να προστατεύσουμε τα ΔΠΧ και να εξασφαλίσουμε συμμόρφωση με τους Νόμους περί προστασίας δεδομένων.

Στο πλαίσιο της εταιρικής μας ευθύνης και λογοδοσίας προσπαθούμε να διαθέτουμε τους κατάλληλους μηχανισμούς που αποδεικνύουν ότι όλες οι δραστηριότητες επεξεργασίας εκτελούνται σύμφωνα με τους Νόμους προστασίας δεδομένων και ότι εφαρμόζουμε ισχυρές πολιτικές, διαδικασίες, μέτρα και ελέγχους για την προστασία των δεδομένων.

Πιο συγκεκριμένα, η εταιρική μας ευθύνη και λογοδοσία περιλαμβάνει:

Α) Εκπαίδευση των στελεχών και των υπαλλήλων μας σχετικά με τις απαιτήσεις της νομοθεσίας περί προστασίας προσωπικών δεδομένων και τις πιθανές επιπτώσεις στο ενδεχόμενο μη συμμόρφωσης.

Β) Υιοθέτηση δομής διακυβέρνησης και προσδιορισμό κατευθυντηρίων γραμμών αναφοράς και υλοποίησης του πλάνου ενεργειών συμμόρφωσης με τον ΓΚΠΔ.

Τα τεχνικά και οργανωτικά μέτρα που έχει εφαρμόσει η LaserVision για τη διασφάλιση και την απόδειξη της συμμόρφωσης με τους Νόμους περί προστασίας δεδομένων περιγράφονται λεπτομερώς στο παρόν έγγραφο, καθώς και στις συναφείς πολιτικές/διαδικασίες.

6.1.1 Προστασία βάσει Σχεδιασμού

Στη LaserVision συλλέγουμε και επεξεργαζόμαστε ΔΠΧ στο πλαίσιο της αρχής της «προστασίας βάσει σχεδιασμού» που σημαίνει ελαχιστοποίηση των κινδύνων που συνεπάγεται η επεξεργασία μέσω υιοθέτησης διαδικασιών πρόληψης και σχεδιασμού προστασίας σε συστήματα, λειτουργίες και δραστηριότητες:

Ελαχιστοποίηση Δεδομένων

Λαμβάνουμε κάθε δυνατό και πρόσφορο μέτρο ώστε η επεξεργασία να περιλαμβάνει μόνο τα απολύτως αναγκαία ΔΠΧ. Συλλέγουμε, διατηρούμε, επεξεργαζόμαστε και διαβιβάζουμε μόνο τα δεδομένα που είναι απαραίτητα για την εκτέλεση των υπηρεσιών και των νομικών μας υποχρεώσεων και τα διατηρούμε μόνο για όσο διάστημα είναι απαραίτητο.

Τα συστήματα, οι υπάλληλοι, οι διαδικασίες και οι δραστηριότητες μας έχουν ως στόχο να περιορίσουν τη συλλογή προσωπικών δεδομένων στο βαθμό που είναι αναγκαία και για την επίτευξη του καθορισμένου κατά περίπτωση σκοπού. Η ελαχιστοποίηση της επεξεργασίας των προσωπικών δεδομένων μας επιτρέπει να μειώσουμε τους κινδύνους και τις παραβιάσεις της προστασίας δεδομένων και να υποστηρίξουμε τις διαδικασίες συμμόρφωσης με τους Νόμους προστασίας δεδομένων.

Ενδεικτικά μέτρα ελαχιστοποίησης επεξεργασίας ΔΠΧ περιλαμβάνουν:

- Κάθε ηλεκτρονική  και έντυπη συλλογή ΔΠΧ (π.χ. εταιρικό site, έντυπα, εσωτερικές φόρμες) διαθέτει μόνο τα απαραίτητα, προκαθορισμένα πεδία που σχετίζονται με τον σκοπό της συλλογής και της επακόλουθης επεξεργασίας και δεν περιλαμβάνει «προαιρετικά» πεδία

- Έχουμε υιοθετήσει διαδικασίες αντικατάστασης των ονομάτων και επωνύμων των ασθενών με τον μοναδικό αριθμό μητρώου σε εσωτερικές και εξωτερικές επεξεργασίες και ανταλλαγές δεδομένων

- Έχουμε σχεδιάσει διαδικασίες περιορισμού χρήσης έντυπων αρχείων δίνοντας προτεραιότητα σε διαδικασίες διαχείρισης ηλεκτρονικών αρχείων αλλά και καταστροφής εγγράφων για όλα τα τμήματα που επεξεργάζονται ΔΠΧ και σε πολλές περιπτώσεις δεδομένα υγείας.

Ψευδωνυμοποίηση

Χρησιμοποιούμε ψευδωνυμοποίηση, όπου είναι δυνατόν, για την καταγραφή και αποθήκευση προσωπικών δεδομένων με τρόπο που να εξασφαλίζει ότι η ταυτοποίηση των φυσικών προσώπων δεν είναι δυνατή χωρίς την χρήση ξεχωριστών πρόσθετων πληροφοριών (προσωπικών αναγνωριστικών). Η ψευδωνυμοποίηση σημαίνει ότι το υποκείμενο των δεδομένων παραμένει πιθανό να προσδιοριστεί έμμεσα και ως εκ τούτου χρησιμοποιούμε αυτήν την τεχνική σε συνδυασμό με άλλα τεχνικά και επιχειρησιακά μέτρα για τη μείωση του κινδύνου και την προστασία των δεδομένων.

Κρυπτογράφηση

Παρόλο που η κρυπτογράφηση αποτελεί μια μορφή ψευδωνυμοποίησης, τη χρησιμοποιούμε και ως δεύτερο μέτρο πρόληψης κινδύνου για την προστασία και ασφάλεια των προσωπικών δεδομένων που διατηρούμε. Η κρυπτογράφηση με τη χρήση ενός μυστικού κλειδιού χρησιμοποιείται για να ενισχύσει την εμπιστευτικότητα και καταστήσει τα δεδομένα αδιαίρετα εκτός εάν εκτελεστεί αποκρυπτογράφηση του συνόλου των δεδομένων χρησιμοποιώντας ένα καθορισμένο κλειδί αποκρυπτογράφησης.

Χρησιμοποιούμε κρυπτογράφηση για τη μεταφορά προσωπικών δεδομένων υγείας σε οποιοδήποτε εξωτερική οντότητα (εξωτερικοί συνεργάτες, τρίτα πρόσωπα/οργανισμοί, φυσικά πρόσωπα, υπάλληλοι) παρέχοντας το κλειδί αποκρυπτογράφησης με ξεχωριστό μέσο. 

Περιορισμός

Η προσέγγισή μας με βάση την αρχή της «προστασίας βάσει σχεδιασμού» σημαίνει ότι χρησιμοποιούμε μεθόδους περιορισμού χρήσης ΔΠΧ σε ολόκληρη την εταιρεία για όλες τις δραστηριότητες και επεξεργασίες. Η αρχή του περιορισμού της πρόσβασης ενσωματώνεται στην βάση κάθε σχετικής διαδικασίας, συστήματος και εταιρικής δομής  και διασφαλίζει ότι μόνο όσοι είναι εξουσιοδοτημένοι ή/και έχουν σχετική αρμοδιότητα, έχουν πρόσβαση σε προσωπικές πληροφορίες.

Δεδομένα σε έντυπη μορφή

Λόγω της φύσης των δραστηριοτήτων της Laser Vision, πολλές φορές είναι απαραίτητη η συλλογή και επεξεργασία ειδικής κατηγορίας δεδομένων (δεδομένων υγείας ασθενών) σε έντυπη μορφή με περιορισμένες δυνατότητες και επιλογές ψευδωνυμοποίησης  (π.χ. αντίγραφα αρχείων ασθενών, τιμολόγια νοσοκομείων ή πληροφορίες σχετικά με αξιώσεις). Όπου αυτό είναι εφικτό, υιοθετούμε στενευμένες πρακτικές προστασίας των προσωπικών δεδομένων που ενδεικτικά περιλαμβάνουν:

- Την απευθείας επικοινωνία και παράδοση πληροφοριών που εμπεριέχουν προσωπικά δεδομένα κατευθείαν στο υποκείμενο των δεδομένων και όχι σε οποιονδήποτε τρίτο

- Η παράδοση πληροφοριών που εμπεριέχουν προσωπικά δεδομένα σε τρίτο πρόσωπο επιτρέπεται μόνο εφόσον το υποκείμενο των δεδομένων έχει παράσχει έγγραφη, ρητή και ειδική εξουσιοδότηση στο συγκεκριμένο τρίτο πρόσωπο προς αυτόν τον σκοπό. Η σχετική εξουσιοδότηση μπορεί να περιλαμβάνεται στο έντυπο με τίτλο «Στοιχεία Εξεταζομένου» που το υποκείμενο των δεδομένων – ασθενής συμπληρώνει κατά την προσέλευσή/εισαγωγή του στη LaserVision

- Την κατάρτιση λίστας εξουσιοδοτημένων υπαλλήλων ανά τμήμα και Διεύθυνση που επιτρέπεται να έχουν πρόσβαση σε πληροφορίες προσωπικών δεδομένων και δεδομένων υγείας 

- Την αποφυγή αποστολής πληροφοριών προσωπικών δεδομένων μέσω φαξ και εφόσον αυτό κρίνεται απαραίτητο την επιβεβαίωση λήψης από τον εξουσιοδοτημένο παραλήπτη

- Την προτεραιότητα χρήσης ηλεκτρονικών μέσων (πχ e-mail) για την εξωτερική επικοινωνία όπου παρέχεται η δυνατότητα κρυπτογράφησης των προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων υγείας).

6.2 Νομική Βάση Επεξεργασίας (Νομιμότητα)

Βασικός πυρήνας όλων των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων που διενεργεί η Laser Vision είναι η διασφάλιση της νομιμότητας της επεξεργασίας των δεδομένων αυτών. Η νομική βάση επεξεργασίας τεκμηριώνεται στο αρχείο επεξεργασίας που είναι διαθέσιμο για έλεγχο προς την αρμόδια εποπτική αρχή (ΑΠΔΠΧ).

Στην Laser Vision συλλέγουμε και επεξεργαζόμαστε προσωπικά δεδομένα μόνο εφόσον ισχύουν ένα ή/και περισσότερα από τα παρακάτω κριτήρια νόμιμης επεξεργασίας:

- Το υποκείμενο των δεδομένων έχει δώσει ειδική, ρητή και έγγραφη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων για έναν ή περισσότερους συγκεκριμένους σκοπούς. Η ανάκληση διενεργείται με σχετικό έγγραφο που υποβάλλεται, εγγράφως ή ηλεκτρονικά, στην Εταιρεία και ισχύει από την ημερομηνία υποβολής του και εφεξής.

- Η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας σύμβασης στην οποία συμμετέχει το υποκείμενο στο οποίο αναφέρονται τα δεδομένα ή για τη λήψη μέτρων κατόπιν αιτήματος του υποκειμένου των δεδομένων πριν από τη σύναψη της σύμβασης

- Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με μια έννομη υποχρέωση μας

- Η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

- Η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή για την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στην Εταιρεία.

- Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει η Εταιρεία ή τρίτος (εκτός εάν τα συμφέροντα αυτά παραβιάζουν τα θεμελιώδη δικαιώματα και τις ελευθερίες του υποκειμένου στο οποίο αναφέρονται τα δεδομένα).

6.2.1 Επεξεργασία Ειδικής Κατηγορίας Δεδομένων (Δεδομένα Υγείας)

Η LaserVision ως Υπεύθυνη Επεξεργασίας επεξεργάζεται δεδομένα υγείας, μόνο εφόσον:

- Το υποκείμενο των δεδομένων έχει παράσχει ειδική, ρητή και έγγραφη συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς. Η ανάκληση διενεργείται με σχετικό έγγραφο που υποβάλλεται, εγγράφως ή ηλεκτρονικά, στην Εταιρεία και ισχύει από την ημερομηνία υποβολής του και εφεξής.

- H επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων της Εταιρείας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.

- H επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί.

- H επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα.

- H επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος.

- H επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή θεραπείας ή διαχείρισης υγειονομικών συστημάτων και υπηρεσιών.

  - H επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας.

- H επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς.

6.2.2 Αρχείο Επεξεργασίας Δεδομένων

Ως εταιρεία που συλλέγει και επεξεργάζεται ειδικής κατηγορίας δεδομένα (δεδομένα υγείας), η LaserVision τηρεί αρχείο όλων των δραστηριοτήτων επεξεργασίας, το οποίο είναι άμεσα διαθέσιμο προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, κατόπιν αιτήματος.

Ενεργώντας υπό την ιδιότητά μας ως Υπεύθυνης Επεξεργασίας το αρχείο σχετικά με τις δραστηριότητες επεξεργασίας που διεξάγονται υπό την ευθύνη μας, περιέχει τις ακόλουθες πληροφορίες:

- Το πλήρες όνομα και τα στοιχεία επικοινωνίας μας. Όπου ισχύει, καταγράφουμε επίσης κάθε από κοινού υπεύθυνο επεξεργασίας και / ή εκπρόσωπο του υπευθύνου επεξεργασίας.

- Τους σκοπούς της επεξεργασίας

- Την περιγραφή των κατηγοριών των υποκειμένων στα οποία αναφέρονται τα δεδομένα και των κατηγοριών προσωπικών δεδομένων

- Τις διαφορετικές κατηγορίες αποδεκτών στους οποίους έχουν ή θα γνωστοποιηθούν τα προσωπικά δεδομένα (συμπεριλαμβανομένων των αποδεκτών σε τρίτες χώρες ή σε διεθνείς οργανισμούς)

- Κατά περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό (συμπεριλαμβανομένης της αναγνώρισης αυτής της τρίτης χώρας ή διεθνούς οργανισμού και, κατά περίπτωση, της τεκμηρίωσης κατάλληλων διασφαλίσεων).

- Όπου είναι δυνατόν, τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων

- Τη γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας για τη επεξεργασία όπως περιγράφεται σύμφωνα με το άρθρο 32 παράγραφος 1 του ΓΚΠΔ.

6.3 Επεξεργασία Δεδομένων από Τρίτους

Η LaserVision στο πλαίσιο των δραστηριοτήτων της χρησιμοποιεί εξειδικευμένους εξωτερικούς παρόχους (εκτελούντες επεξεργασία) οι οποίοι, ενεργώντας για λογαριασμό της, επεξεργάζονται δεδομένα προσωπικού χαρακτήρα και κατά περίπτωση ανταλλάσσει και διακινεί πληροφορίες, μεταξύ αυτών και προσωπικά δεδομένα. Κάθε γνωστοποίηση ή/και διακίνηση προσωπικών δεδομένων σε εξωτερικό συνεργαζόμενο φορέα καταγράφεται σε ειδικό αρχείο και περιλαμβάνει:

- Τον σκοπό και την αναγκαιότητα της εξωτερικής επεξεργασίας

- Την ταυτότητα του εξωτερικού φορέα/παρόχου υπηρεσιών που εκτελεί χρέη εκτελούντα την επεξεργασία

- Την αναφορά του αριθμού συμβολαίου που διατηρούμε με τον εξωτερικό φορέα/πάροχο

- Το είδος, εύρος και συχνότητα των προσωπικών δεδομένων που διακινούμε

- Τα στοιχεία επικοινωνίας του εκπροσώπου του εξωτερικού φορέα/παρόχου

- Τις ημερομηνίες ενεργοποίησης και λήξης συνεργασίας

- Τον τρόπο και το μέσο διακίνηση πληροφοριών

Ως βασική Υπεύθυνη Επεξεργασίας έχουμε την αυστηρή και ρητή υποχρέωση ελέγχου και αξιολόγησης των εξωτερικών φορέων/παρόχων (εκτελούντων) πριν τη σύναψη συμβατικής σχέσης. Ειδικότερα ελέγχουμε:

- Την εμπειρία και εξειδίκευση του εξωτερικού παρόχου/συνεργάτη σε σχέση με την ανατεθείσα δραστηριότητα

- Τις υιοθετημένες, επίσημες διαδικασίες και μηχανισμούς προστασίας και ασφάλειας πληροφοριών

- Τις διαδικασίες ελέγχου και αξιολόγησης κινδύνων που έχει θεσπίσει ο υποψήφιος εξωτερικός πάροχος/συνεργάτης

- Την επίσημη πολιτική προστασίας προσωπικών δεδομένων του εξωτερικού παρόχου/συνεργάτη.

Η υποχρέωση και ευθύνη προστασίας των προσωπικών δεδομένων καταλαμβάνει και την έγγραφη σύμβαση που καταρτίζουμε με τους εξωτερικούς παρόχους/συνεργάτες μας, στο πλαίσιο της συμβατικής μας σχέσης. Ειδικότερα, η μεταξύ της Εταιρείας και των εκτελούντων σύμβαση συνεργασίας πρέπει να περιγράφει αναλυτικά τις υποχρεώσεις των συμβαλλομένων μερών, τη διάρκεια της επεξεργασίας, τα εκατέρωθεν δικαιώματα, τα δικαιώματα των υποκειμένων καθώς και τη φύση και σκοπό της εξωτερικής επεξεργασίας. Πιο συγκεκριμένα, κάθε επεξεργασία προσωπικών δεδομένων από τρίτο πρόσωπο (εκτελούντα) για λογαριασμό της Εταιρείας αποτυπώνεται σε έγγραφη σύμβαση, η οποία περιλαμβάνει κατ΄ ελάχιστο τα προβλεπόμενα στο άρθρο 28 του ΓΚΠΔ στοιχεία, και ορίζει, μεταξύ άλλων, ότι ο Εκτελών την Επεξεργασία:

- Επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με καταγεγραμμένες εντολές μας

- Επιδιώκει την εξουσιοδότησή μας να διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό (εκτός αν αυτό απαιτείται από νόμο στον οποίο υπόκειται ο εκτελών την επεξεργασία)

- Θα μας ενημερώσει για οποιαδήποτε νομική απαίτηση για τη μεταφορά δεδομένων πριν από την επεξεργασία

- Διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα έχουν αναλάβει σαφή δέσμευση για τήρηση εμπιστευτικότητας ή υπόκεινται σε κατάλληλη νομοθετική/κανονιστική υποχρέωση τήρηση εμπιστευτικότητας (πχ ιατροί, οι οποίοι δεσμεύονται από το ιατρικό απόρρητο).

- Λαμβάνει όλα τα μέτρα, συμπεριλαμβανομένων των τεχνικών και οργανωτικών, για την ασφάλεια των προσωπικών δεδομένων ανά πάσα στιγμή

- Σέβεται, υποστηρίζει και συμμορφώνεται με την υποχρέωσή μας να απαντάμε σε αιτήματα για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων

- Βοηθά τη Laser Vision να διασφαλίζει την συμμόρφωση της ως προς την ασφάλεια των δεδομένων, τον περιορισμό των κινδύνων, την κοινοποίηση παραβίασης και την αξιολόγηση των επιπτώσεων της παραβίασης της ιδιωτικής ζωής

- Όταν ζητηθεί, διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα μετά το τέλος της παροχής υπηρεσιών που σχετίζονται με την επεξεργασία και διαγράφει τα υπάρχοντα αντίγραφα όπου είναι δυνατόν

- Παρέχει στην Εταιρεία όλες τις πληροφορίες που είναι απαραίτητες για να αποδείξει τη συμμόρφωση με τις υποχρεώσεις που ορίζονται στη σύμβαση και στην Πολιτική Προστασίας Δεδομένων

- Επιτρέπει και υποστηρίζει τους ελέγχους, την παρακολούθηση, τις επιθεωρήσεις και την υποβολή εκθέσεων, όπως ορίζεται στη σύμβαση

- Ενημερώνει αμέσως τη Laser Vision για τυχόν παραβιάσεις, μη συμμόρφωση ή αδυναμία εκπλήρωσης των καθηκόντων που περιγράφονται στη σύμβαση.

6.4 Διατήρηση Δεδομένων & Καταστροφή

Η LaserVision έχει θεσπίσει διαδικασίες διατήρησης και διαγραφής προσωπικών δεδομένων, συμπεριλαμβανομένων των δεδομένων υγείας, όπως ορίζει ο ΓΚΠΔ και η ισχύουσα στην Ελλάδα σχετική νομοθεσία.

Τα δεδομένα προσωπικού χαρακτήρα τηρούνται και φυλάσσονται αποκλειστικά και μόνο για τους σκοπούς για τους οποίους προορίζονται και μόνο για όσο χρονικό διάστημα απαιτείται για την επίτευξη των εν λόγω σκοπών, με την επιφύλαξη των ειδικότερων προβλεπόμενων από την ισχύουσα νομοθεσία.

Ειδικά ως προς τα δεδομένα υγείας, η LaserVision τηρεί ιατρικό αρχείο, σε ηλεκτρονική ή μη μορφή, το οποίο περιέχει δεδομένα που συνδέονται με την ασθένεια ή την υγεία των ασθενών. Για την τήρηση του αρχείου αυτού και την επεξεργασία των δεδομένων του εφαρμόζονται οι διατάξεις του Κώδικα Ιατρικής Δεοντολογίας, όπως εκάστοτε ισχύει, σε συνδυασμό με τις διατάξεις του ν. 2472/1997 (ΦΕΚ 50 Α ́), όπως ισχύει. Τα ιατρικά αρχεία περιέχουν το ονοματεπώνυμο, το πατρώνυμο, το φύλο, την ηλικία, το επάγγελμα, τη διεύθυνση του ασθενή, τις ημερομηνίες της επίσκεψης, καθώς και κάθε άλλο ουσιώδες στοιχείο που συνδέεται με την παροχή φροντίδας στον ασθενή, όπως, ενδεικτικά και ανάλογα με την ειδικότητα, τα ενοχλήματα της υγείας του και το λόγο της επίσκεψης, την πρωτογενή και δευτερογενή διάγνωση ή την αγωγή που ακολουθήθηκε, καθώς και τα αποτελέσματα όλων των κλινικών και παρακλινικών εξετάσεων.

Σε περίπτωση επεξεργασίας δεδομένων για αποστολή ενημερώσεων και προωθητικές ενέργειες, βάσει συγκατάθεσης του υποκειμένου, τα δεδομένα φυλάσσονται μέχρι το υποκείμενο να μας ενημερώσει για το αντίθετο και να ανακαλέσει τη συγκατάθεσή του.

6.5 Έλεγχος και Παρακολούθηση Συμμόρφωσης

Η LaserVision οργανώνει περιοδικούς και έκτακτους ελέγχους για να διαπιστώσει έγκαιρα κάθε σημείο μη συμμόρφωσης με τις απαιτήσεις του ΓΚΠΔ που δύναται να εξελιχθεί σε κίνδυνο για τις ελευθερίες και δικαιώματα των υποκειμένων. Η Εταιρεία προβαίνει σε τακτική αξιολόγηση και επανεξέταση των διαδικασιών, των μέτρων και των μηχανισμών συμμόρφωσης και, με βάση τα αποτελέσματα, υιοθετεί μέτρα για τη βελτίωση ή τροποποίησή τους, κατά περίπτωση.

Στόχος των εσωτερικών ελέγχων / παρακολούθησης συμμόρφωσης είναι:

- Η επιβεβαίωση ότι είναι σε ισχύ οι κατάλληλες πολιτικές και διαδικασίες

- Ο έλεγχος της επάρκειας και της αποτελεσματικότητας των μέτρων και μηχανισμών προστασίας  που εφαρμόζονται.

- Η αποκάλυψη / ανάδειξη παραβιάσεων ή ενδεχόμενων παραβιάσεων συμμόρφωσης

- Ο προσδιορισμός των κινδύνων και η αξιολόγηση και επιλογή των βέλτιστων μέτρων μείωσης κινδύνων και επιπτώσεων

- Η σύσταση τεκμηριωμένων και αιτιολογημένων προτάσεων προς τη Διοίκηση που έχουν ως στόχο την προστασία της Laser Vision από τους κινδύνους μη συμμόρφωσης αλλά και την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων που εμπιστεύονται την επεξεργασία των προσωπικών τους δεδομένων στην Εταιρεία.

 

7. ΕΚΤΙΜΗΣΗ ΕΠΙΠΤΩΣΗΣ ΚΙΝΔΥΝΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ (DPIA)

Τα υποκείμενα των δεδομένων και ειδικότερα οι ασθενείς έχουν την προσδοκία ότι η εμπιστευτικότητα των δεδομένων τους προστατεύεται επαρκώς καθ’ όλη την διάρκεια επεξεργασίας τους από την LaserVision.

Ως Υπεύθυνη Επεξεργασίας στην LaserVision αναπτύσσουμε διάφορους μηχανισμούς και εργαλεία που έχουν ως στόχο την μείωση των κινδύνων παραβίασης ασφάλειας  ή / και διαρροής δεδομένων, ωστόσο εφόσον συντρέξει περίπτωση επεξεργασίας που έχει μεγάλη πιθανότητα να προκαλέσει σημαντικές επιπτώσεις στα δικαιώματα και ελευθερίες των υποκειμένων των δεδομένων, η Εταιρεία θα εφαρμόσει την ειδικότερη διαδικασία Εκτίμησης Επίπτωσης Κινδύνων Επεξεργασίας (DPIA).    

 

Σύμφωνα με το άρθρο 35 παράγραφος 3 και τα σκεπτικά 84, 89-96 του ΓΚΠΔ, θεωρούμε ότι μια επεξεργασία είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο στην περίπτωση:

- Συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο.

- Μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων.

- Ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

- Εφαρμογή νέων τεχνολογικών ή οργανωτικών λύσεων.

- Χρήση πρωτοποριακών δραστηριοτήτων ή λύσεων.

- Στην επεξεργασία σημαντικού όγκου δεδομένων προσωπικού χαρακτήρα σε περιφερειακό, εθνικό ή διεθνές επίπεδο, τα οποία θα μπορούσαν να επηρεάσουν πολλά υποκείμενα δεδομένων.

 

Η εφαρμογή των διαδικασιών DPIA, εφόσον συντρέξουν οι απαιτούμενες προϋποθέσεις, θα μας επιστρέψει να εντοπίσουμε τον αποτελεσματικότερο τρόπο συμμόρφωσης με τις υποχρεώσεις μας για την προστασία δεδομένων και να εξασφαλίσουμε το υψηλότερο επίπεδο προστασίας προσωπικών δεδομένων κατά την επεξεργασία. Αποτελεί μέρος της προσέγγισής μας με βάση την Προστασία Προσωπικών Δεδομένων βάσει Σχεδιασμού και μας επιτρέπει – όταν συντρέχει περίπτωση - να αξιολογήσουμε τις επιπτώσεις και τον κίνδυνο πριν από τη διεξαγωγή της επεξεργασίας, προσδιορίζοντας και διορθώνοντας τους κινδύνους στην αρχή, μειώνοντας το κόστος, τις παραβιάσεις και τις πιθανές επιπτώσεις.

8. ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ

8.1 Συγκατάθεση & Δικαίωμα στην Ενημέρωση

Η συλλογή προσωπικών δεδομένων, συμπεριλαμβανομένων των δεδομένων υγείας, αποτελεί βασικό κομμάτι των δραστηριοτήτων και παρεχόμενων υπηρεσιών υγείας της LaserVision. Στο πλαίσιο αυτό και δεδομένου ότι η εκ μέρους μας επεξεργασία των συλλεγόμενων προσωπικών δεδομένων είναι απολύτως απαραίτητη για την παροχή υπηρεσιών υγείας προς τους ασθενείς, η διενεργούμενη επεξεργασία βασίζεται στις λοιπές – πλην της συγκατάθεσης - νομικές βάσεις που ο ΓΚΠΔ προβλέπει, όπως ανωτέρω αναλυτικά περιγράφηκαν ή σε συνδυασμό αυτών (πχ έννομο συμφέρον, σύμβαση με το υποκείμενο δεδομένων, επεξεργασία στο πλαίσιο προληπτικής ιατρικής, ιατρικής διάγνωσης και παροχής υπηρεσιών θεραπείας και περίθαλψης κλπ.).

Ειδικά για την περίπτωση που η νομική βάση της εκ μέρους μας επεξεργασίας είναι η λήψη προηγούμενης συγκατάθεσης από το υποκείμενο των δεδομένων, η LaserVision ακολουθεί όλους τους κανόνες που απαιτούνται όταν η επεξεργασία βασίζεται σε συγκατάθεση, διασφαλίζοντας ότι:

- Η παρεχόμενη συγκατάθεση είναι ειδική, ρητή και έγγραφη χρησιμοποιεί απλή γλώσσα και είναι απαλλαγμένη από τυχόν δυσανάγνωστους, ακατάληπτους όρους.

- Παρέχεται ελεύθερα, στο πλαίσιο συγκεκριμένης και διαφανούς ενημέρωσης του υποκειμένου.

- Η συγκατάθεση παρέχεται πάντοτε με δήλωση ή σαφή θετική ενέργεια (θετική συμμετοχή), η οποία συνεπάγεται συμφωνία για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

- Οι μηχανισμοί συγκατάθεσης είναι εκ των προτέρων σαφείς και εύκολοι στη χρήση και την κατανόηση.

- Δεν χρησιμοποιούνται ποτέ προ-επιλεγμένα πεδία επιλογής (opt-out).

- Όταν η συγκατάθεση αφορά σε περισσότερες επεξεργασίες, φροντίζουμε να υπάρχει δυνατότητα επιλεγμένης,

μερικής συγκατάθεσης, δηλαδή, παρέχεται ξεχωριστή συγκατάθεση ανά σκοπό επεξεργασίας, κατά τρόπο ώστε το υποκείμενο να έχει τη δυνατότητα παροχής συγκατάθεσης μόνο για όποια/όποιες επεξεργασία/ες επιθυμεί.

- Μαζί με την ταυτότητα της LaserVision ως βασικής Υπεύθυνης Επεξεργασίας, παρέχουμε επαρκή πληροφόρηση για τις γενικές κατηγορίες των αποδεκτών των δεδομένων των υποκειμένων.

- Διατηρούμε λεπτομερή αρχεία συγκατάθεσης και μπορούμε να αποδείξουμε τουλάχιστον:

Α) ότι τα υποκείμενα έχουν συγκατατεθεί στη χρήση και επεξεργασία των προσωπικών τους δεδομένων

Β) ότι τα υποκείμενα έχουν ενημερωθεί για την ταυτότητα της LaserVision που εκτελεί χρέη Υπευθύνης Επεξεργασίας καθώς και για οποιοδήποτε τρίτο μέρος επεξεργάζεται ή θα επεξεργαστεί τα δεδομένα του

Γ) την έκδοση και περιεχόμενο της παρεχόμενης πληροφόρησης προς το υποκείμενο που αντιστοιχεί στην συγκεκριμένη ημερομηνία λήψης συγκατάθεσης

Δ) τον τρόπο λήψης της συγκατάθεσης

       - Έχουμε εξασφαλίσει ότι η ανάκληση της συγκατάθεσης είναι το ίδιο εύκολη, σαφής και απλή όσο η λήψη αυτής

- Οι αιτήσεις για ανάκληση της συγκατάθεσης υποβάλλονται σε εσωτερική επεξεργασία και διαχείριση αμέσως και χωρίς την οποιαδήποτε επιβάρυνση του υποκειμένου

- Όταν παρέχονται υπηρεσίες σε παιδιά κάτω των 16 ετών, έχουν αναπτυχθεί μέτρα επαλήθευσης της ηλικίας και της γονικής συναίνεσης (ή του ατόμου που έχεις την επιμέλεια)

- Έχουν αναπτυχθεί και εφαρμοστεί όπου χρειάζονται έλεγχοι και διαδικασίες για την ανανέωση της συγκατάθεσης, ιδίως εκείνων που σχετίζονται με γονική συναίνεση

8.2 Ενημέρωση & Δήλωση Απορρήτου

Όταν συλλέγουμε προσωπικά δεδομένα απευθείας από το υποκείμενο των δεδομένων, παρέχουμε, μέσω ειδικού εντύπου ενημέρωσης που χορηγείται στο υποκείμενο και επιπλέον είναι διαθέσιμο και στην ιστοσελίδα της Εταιρείας www.laservision.gr, επαρκή πληροφόρηση που περιλαμβάνει:

- Την ταυτότητα και τα στοιχεία επικοινωνίας της Εταιρείας, ως Υπεύθυνης επεξεργασίας και, κατά περίπτωση, του εκπροσώπου της

- Τους σκοπούς επεξεργασίας στους οποίους θα υπαχθούν τα προσωπικά δεδομένα

- Τη νομική βάση για τη επεξεργασία ή τις επεξεργασίες που θα ενεργοποιηθούν

- Τους παραλήπτες ή οι κατηγορίες αποδεκτών των προσωπικών δεδομένων (κατά περίπτωση)

- Κατά περίπτωση, την πρόθεση της Εταιρείας να μεταφέρει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη/απουσία απόφασης επάρκειας από την αρμόδια Ευρωπαϊκή Επιτροπή καθώς και τις κατάλληλες διασφαλίσεις που έχει υιοθετήσει η Εταιρία

- Το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα

- Την ύπαρξη δικαιώματος υποβολής στην Εταιρεία αιτήματος πρόσβασης, διόρθωσης ή διαγραφής, περιορισμού της επεξεργασίας, εναντίωσης στην επεξεργασία, μεταφοράς δεδομένων (φορητότητας), καθώς και του δικαιώματος ανάκλησης της συγκατάθεσης, στις περιπτώσεις όπου η επεξεργασία βασίζεται σε προηγούμενη συγκατάθεση του υποκειμένου

- Το δικαίωμα υποβολής καταγγελίας στην αρμόδια Εποπτική Αρχή (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα – www.dpa.gr)

- Κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών

- Την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4 του ΓΚΠΔ και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

 

Οι ανωτέρω πληροφορίες παρέχονται στο υποκείμενο των δεδομένων κατά τον χρόνο συλλογής των πληροφοριών και τα αρχεία που αφορούν τη συγκατάθεση που έχουν ληφθεί διατηρούνται και φυλάσσονται για χρόνο διατηρούνται τα συλλεγέντα προσωπικά δεδομένα.

8.2.1 Προσωπικά Δεδομένα Εργαζομένων

Η επεξεργασία προσωπικών δεδομένων των εργαζομένων στην LaserVision δε βασίζεται στη συγκατάθεση των υποκειμένων – εργαζομένων αλλά στην εξυπηρέτηση και παρακολούθηση των σχέσεων εργασίας/απασχόλησης των εργαζομένων, στο έννομο συμφέρον της Εταιρίας και στην εκπλήρωση από αυτή των νόμιμων και συμβατικών υποχρεώσεών της. Προς αυτήν την κατεύθυνση οι διαδικασίες ανθρώπινου δυναμικού μας έχουν κατάλληλα διαμορφωθεί, ώστε να περιλαμβάνουν την αναγκαία παροχή πληροφόρησης στους εργαζόμενους αναφορικά με το είδος, εύρος και συχνότητα της επεξεργασίας των προσωπικών τους δεδομένων.

Σε όλους τους υπαλλήλους/στελέχη της Εταιρείας παρέχεται ειδικό έντυπο Ενημέρωσης για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα τους, το οποίο τους ενημερώνει για τα προσωπικά δεδομένα τους που η LaserVision επεξεργάζεται, τη νομιμότητα και τους σκοπούς της σχετικής επεξεργασίας, τα πρόσωπα στα οποία τα δεδομένα τους δύνανται να διαβιβαστούν, τον τρόπο και χρόνο φύλαξής τους, καθώς και τα δικαιώματά τους βάσει των Νόμων περί προστασίας δεδομένων και τον τρόπο άσκησης αυτών των δικαιωμάτων.

8.3 Προσωπικά Δεδομένα που δεν Αποκτήθηκαν από το Υποκείμενο

Όταν η LaserVision αποκτά ή/και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που δεν έχουν ληφθεί απευθείας από το υποκείμενο των δεδομένων, διασφαλίζουμε ότι οι πληροφορίες που αναφέρονται στο τμήμα 9.2 αυτής της Πολιτικής παρέχονται στο υποκείμενο των δεδομένων εντός 30 ημερών από την απόκτηση του προσωπικών δεδομένων (εκτός αν η επεξεργασία αφορά συμβατική υποχρέωση).

Εκτός από τις πληροφορίες που παρέχονται στην ενότητα των υποκειμένων δεδομένων αυτής της πολιτικής, παρέχουμε επίσης πληροφορίες σχετικά με:

Α) Τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα

Β) Την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό.

Σε περίπτωση που τα εν λόγω προσωπικά δεδομένα πρόκειται να χρησιμοποιηθούν για επικοινωνία με τα υποκείμενα στα οποία αναφέρονται, φροντίζουμε να ενημερώνουμε αναλυτικά κατά την στιγμή της επικοινωνίας.

Παρόλο που ακολουθούμε τις βέλτιστες πρακτικές για την παροχή των πληροφοριών που αναφέρονται στο σχετικό τμήμα αυτής της πολιτικής, διατηρούμε το δικαίωμα να μην παρέχουμε στο πρόσωπο στο οποίο αναφέρονται τα στοιχεία αυτά, εάν:

Α) Διαθέτουν ήδη τις πληροφορίες και μπορούμε να αποδείξουμε την προηγούμενη λήψη των πληροφοριών αυτών.

Β) Η απόκτηση ή κοινολόγηση προβλέπεται ρητώς από την ισχύουσα νομοθεσία στην οποία η LaserVision υπόκειται και η οποία παρέχει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων

Γ) Εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το ισχύον νομοθετικό και κανονιστικό πλαίσιο, συμπεριλαμβανομένης της εκ του νόμου υποχρέωσης τήρησης απορρήτου.

8.4 Δικαίωμα Πρόσβασης

Διασφαλίζουμε και λαμβάνουμε τα κατάλληλα μέτρα για την παροχή των πληροφοριών που αναφέρονται στα άρθρα 13 και 14 και κάθε επικοινωνία βάσει των άρθρων 15 έως 22 και 34 (συλλογικά, Τα Δικαιώματα των Υποκειμένων των Δεδομένων) σχετικά με την επεξεργασία των προσωπικών δεδομένων σε συνοπτική, ξεκάθαρη, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας απλή και κατανοητή γλώσσα.

Οι πληροφορίες αυτές παρέχονται δωρεάν κατόπιν γραπτών αιτήσεων με την προϋπόθεση της επαλήθευσης της ταυτότητας του υποκειμένου (π.χ. προφορικά, ηλεκτρονικά) εντός 30 ημερών από την ημερομηνία παραλαβής της αίτησης.

Σε περίπτωση που δεν συμμορφωνόμαστε με αίτημα παροχής πληροφοριών και πρόσβασης στα προσωπικά δεδομένα, το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα ενημερώνεται εντός 30 ημερών τον λόγο της μη συμμόρφωσης καθώς και για το δικαίωμα υποβολής καταγγελίας στην αρμόδια Εποπτική Αρχή (www.dpa.gr).

8.4.1 Υποβολή Αιτήματος Πρόσβασης Υποκειμένου

Όταν ένα υποκείμενο δεδομένων ζητά από τη LaserVision επιβεβαίωση για το κατά πόσο ή όχι τα προσωπικά δεδομένα του υφίστανται επεξεργασία και, εφόσον τούτο συμβαίνει, ασκεί το δικαίωμά του για πρόσβαση σε αυτά, δικαιούται να λάβει επιπλέον τις ακόλουθες πληροφορίες:

- Τους σκοπούς της επεξεργασίας

- Τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα

- Τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς

- Εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα

- Την ύπαρξη δικαιώματος υποβολής αιτήματος στην Εταιρεία, ως Υπεύθυνη επεξεργασίας, για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος εναντίωσης στην εν λόγω επεξεργασία

- Το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

- Όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους

- Την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

 

Όλα τα Αιτήματα Πρόσβασης Υποκειμένων (SAR) μόλις παραληφθούν, καταχωρούνται και αρχειοθετούνται. Τα προσωπικά δεδομένα στα οποία το υποκείμενο ζητά πρόσβαση αντιπαραβάλλονται με το τηρούμενο από την Εταιρεία Αρχείο Επεξεργασίας Δεδομένων ώστε να διαπιστωθεί άμεσα ο τύπος, η επεξεργασία, η νομική βάση επεξεργασίας, οι αποδέκτες, τα συστήματα και οι χρόνοι διατήρησης των δεδομένων αυτών.

Οι απαντήσεις μας σε Αιτήσεις Πρόσβασης Υποκειμένων (SAR) ολοκληρώνονται εντός 30 ημερών και παρέχονται χωρίς χρέωση. Όταν το φυσικό πρόσωπο (υποκείμενο των δεδομένων) υποβάλλει την αίτηση με ηλεκτρονικά μέσα, παρέχουμε τις πληροφορίες σε ηλεκτρονική μορφή, εκτός εάν ζητηθεί εναλλακτική μορφή πληροφόρησης.

8.5 Δικαίωμα στη Φορητότητα

Η LaserVision χορηγεί σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο όλες τις διαθέσιμες πληροφορίες που αφορούν σε προσωπικά δεδομένα υποκειμένων κατόπιν σχετικής αίτησης, υπό την προϋπόθεση ότι η επεξεργασία βασίζεται σε συγκατάθεση του υποκειμένου ή είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ αυτού και της Εταιρείας και εφόσον (η επεξεργασία) διενεργείται με αυτοματοποιημένα μέσα. Η ικανοποίηση του εν λόγω δικαιώματος τελεί υπό την επιφύλαξη των νομίμων δικαιωμάτων και υποχρεώσεων της LaserVision για διακράτηση των δεδομένων και εκπλήρωση καθήκοντός του προς το δημόσιο συμφέρον.

Εφόσον πληρούνται οι ανωτέρω προϋποθέσεις, διαθέτουμε τις απαραίτητες διαδικασίες συμμόρφωσης με το δικαίωμα μεταφοράς (data portability) δεδομένων των υποκειμένων – φυσικών προσώπων και εξασφαλίζουμε ότι όλα τα προσωπικά δεδομένα είναι άμεσα διαθέσιμα σε μορφή που επιτρέπει στα υποκείμενα την μεταφορά και χρήση τους για δικούς τους σκοπούς.

Όλες οι αιτήσεις παροχής πληροφοριών και φορητότητας από τα υποκείμενα διεκπεραιώνονται εντός 30 ημέρων από την στιγμή της παραλαβής τους.Εάν για οποιονδήποτε λόγο αδυνατούμε να ανταποκριθούμε σε ένα αίτημα, παρέχουμε πλήρη και γραπτή εξήγηση στο υποκείμενο των δεδομένων ενημερώνοντας ταυτόχρονα γιαδικαίωμά τους να υποβάλλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Όλες οι αιτήσεις ενημέρωσης και διαβίβασης δεδομένων στο πλαίσιο του δικαιώματος της φορητότητας αξιολογούνται για να διασφαλιστεί ότι αφορούν μόνο το υποκείμενο που αιτείται και η οποιαδήποτε μεταβίβαση δεν θίγει τα δικαιώματα και ελευθερίες άλλων φυσικών προσώπων.

8.6 Διόρθωση & Διαγραφή

8.6.1 Διόρθωση Δεδομένων

Σύμφωνα με το άρθρο 5 (δ) του ΓΚΠΔ, όλα τα δεδομένα που τηρούνται και τυγχάνουν επεξεργασίας από την LaserVision επανεξετάζονται και επαληθεύονται για την ακρίβειά τους όπου και όταν είναι εφικτό. Όταν εντοπίζονται ανακρίβειες ή ελλείψεις ή/και όταν το υποκείμενο των δεδομένων μας πληροφορεί ότι τα δεδομένα που διατηρούμε είναι ανακριβή ή ελλιπή, λαμβάνουμε κάθε εύλογο μέτρο για να διασφαλίσουμε ότι αυτές οι ανακρίβειες διορθώνονται άμεσα ή οι ελλείψεις συμπληρώνονται άμεσα, κατά περίπτωση.

Μόλις η Εταιρεία ενημερωθεί σχετικά με το αίτημα των υποκειμένων των δεδομένων για τη διόρθωση των εσφαλμένων δεδομένων ή τη συμπλήρωση ελλιπών δεδομένων, δρομολογεί τις απαραίτητες διαδικασίες διόρθωσης ή συμπλήρωσης σε όλα τα σημεία που επηρεάζουν τον κύκλο ζωής των σχετικών πληροφοριών συμπεριλαμβανομένων τυχόν τρίτων αποδεκτών στους οποίους έχουν ενδεχομένως μεταβιβαστεί ή κοινοποιηθεί.

Σε περίπτωση αίτησης διόρθωσης προσωπικών δεδομένων η διαδικασία ολοκληρώνεται εντός 30 ημερών και το υποκείμενο των δεδομένων ενημερώνεται σχετικά για την επιτυχή ολοκλήρωση της διαδικασίας. Εάν για οποιονδήποτε λόγο αδυνατούμε να απαντήσουμε σε ένα αίτημα διόρθωσης δεδομένων, παρέχουμε πλήρη και γραπτή εξήγηση εντός 30 ημερών, στο υποκείμενο των δεδομένων για τους λόγους απόρριψης του αιτήματος, και ενημερώνουμε για το δικαίωμά τους να υποβάλλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr).  

8.6.2 Δικαίωμα Διαγραφής

Στην LaserVision συμμορφωνόμαστε πλήρως με το Δικαίωμα Διαγραφής (άρθρο 5 στοιχείο ε του ΓΚΠΔ) γνωστό και ως «Δικαίωμα στη Λήθη» και διασφαλίζουμε ότι τα προσωπικά δεδομένα των υποκειμένων δεν υπόκεινται σε επεξεργασία και δε διατηρούνται για περισσότερο χρόνο από όσο είναι απαραίτητο για την εξυπηρέτηση των σκοπών για τους οποίους αρχικά συλλέχθηκαν.

Όλα τα προσωπικά δεδομένα που συλλέγονται και τυγχάνουν επεξεργασίας από τη LaserVision καταγράφονται, κατηγοριοποιούνται, πρωτοκολλώνται και σημαίνονται (ηλεκτρονικά ή φυσικά) με βάση την ημερομηνίααρχειοθέτησης για έλεγχο του χρόνου πλήρωσης για καταστροφή.

Τυχόν αιτήματα για διαγραφή δεδομένων από ασθενείς μας, ελέγχονται και αξιολογούνται στο πλαίσιο τόσο των άρθρων του ΓΚΠΔ όσο και του ισχύοντος Κώδικα Ιατρικής Δεοντολογίας (ν.3418/2005, όπως ισχύει) που αναφέρεται στην παράγραφο 7.4 (Διατήρηση Δεδομένων & Καταστροφή) της Πολιτικής.

Εάν για οποιονδήποτε λόγο αδυνατούμε να απαντήσουμε σε ένα αίτημα διαγραφής δεδομένων, παρέχουμε πλήρη και γραπτή εξήγηση εντός 30 ημερών, στο υποκείμενο των δεδομένων για τους λόγους απόρριψης του αιτήματος, και ενημερώνουμε για το δικαίωμά τους να υποβάλλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr).  

8.7 Δικαίωμα Περιορισμού της Επεξεργασίας

Αξιολογούμε και ελέγχουμε κάθε πιθανό αίτημα περιορισμού της επεξεργασίας όταν πληρούνται τα νόμιμα κριτήρια. Η LaserVision φροντίζει για τον περιορισμό στην επεξεργασία δεδομένων στις ακόλουθες περιπτώσεις (κριτήρια περιορισμού):

Α) Η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στην Εταιρεία να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα

Β) Το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 του ΓΚΠΔ και την παράγραφο 9.8. της παρούσας Πολιτικής κατωτέρω, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι της Εταιρείας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων

Γ) Η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ' αυτής, τον περιορισμό της χρήσης τους

Δ) Η Εταιρεία δε χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων.

Η Εταιρεία εξετάζει και αξιολογεί όλες τις σχετικές αιτήσεις με βάση τα κριτήρια περιορισμού επεξεργασίας και ενεργοποιεί τις κατάλληλες διαδικασίες περιορισμού της επεξεργασίας, όπου απαιτείται. Επίσης διατηρεί αντίγραφα των κοινοποιήσεων από και προς τα υποκείμενα στα οποία αναφέρονται τα δεδομένα και τους σχετικούς τρίτους. Όπου τα δεδομένα περιορίζονται και έχουμε αποκαλύψει αυτά τα δεδομένα σε τρίτους, θα ενημερώσουμε τον τρίτο μέρος σχετικά με τον περιορισμό που υπάρχει και τον λόγο και θα τον ενημερώσουμε εκ νέου εάν αρθεί οποιοσδήποτε τέτοιος περιορισμός. Τα υποκείμενα των δεδομένων που αιτήθηκαν περιορισμό στην επεξεργασία των δεδομένων τους ενημερώνονται εντός 30 ημερών από την υποβολή της αίτησης περιορισμού και ενημερώνονται επίσης για κάθε τρίτο στον οποίο αποκαλύφθηκαν τα δεδομένα.

Εάν για οποιονδήποτε λόγο αδυνατούμε να απαντήσουμε σε ένα αίτημα περιορισμού επεξεργασίας δεδομένων, παρέχουμε πλήρη και γραπτή εξήγηση εντός 30 ημερών, στο υποκείμενο των δεδομένων για τους λόγους απόρριψης του αιτήματος, και ενημερώνουμε για το δικαίωμά τους να υποβάλλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr).

8.8 Εναντίωση και Αυτοματοποιημένη Λήψη Αποφάσεων

Στην LaserVision δεν επεξεργαζόμαστε προσωπικά δεδομένα με τρόπο που να προωθεί την κατάρτιση προφίλ και την αυτοματοποιημένη λήψη αποφάσεων. Παρόλα αυτά, παρέχουμε κάθε δυνατή επιλογή εναντίωσης μέσω opt-out μηχανισμών για τις επεξεργασίες που βασίζονται αποκλειστικά στο κριτήριο της συγκατάθεσης.

Αξιολογούμε κάθε σχετικό αίτημα εναντίωσης για κατάρτιση προφίλ και αυτοματοποιημένη λήψη αποφάσεων, ωστόσο διατηρούμε το δικαίωμα μη ικανοποίησης σχετικών αιτημάτων και συνέχειας επεξεργασίας όταν:

Α) Μπορούμε να αποδείξουμε επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων, και όταν

Β) Η επεξεργασία γίνεται για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων

Εάν για οποιονδήποτε λόγο αδυνατούμε να ικανοποιήσουμε ένα αίτημα εναντίωσης σε αυτοματοποιημένη λήψη αποφάσεων, παρέχουμε πλήρη και γραπτή εξήγηση εντός 30 ημερών, στο υποκείμενο των δεδομένων για τους λόγους απόρριψης του αιτήματος, και ενημερώνουμε για το δικαίωμά τους να υποβάλλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr).

 

Η άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων γίνεται με τη συμπλήρωση και υποβολή σχετικού εντύπου προς τη LaserVision είτε εγγράφως στην έδρα της, οδός Τσόχα αρ. 17, Αθήνα, 115 21 (στη γραμματεία ή ταχυδρομικά) είτε ηλεκτρονικά στη διεύθυνση dataprivacy@laservision.gr.

9. ΔΙΑΔΙΚΑΣΙΕΣ ΠΡΟΣΤΑΣΙΑΣ

9.1      Διαχείριση Ασφάλειας Δεδομένων

Παράλληλα με την πολιτική μας περί «προστασίας βάσει σχεδιασμού», η ασφάλεια των δεδομένων που διατηρούμε και επεξεργαζόμαστε αποτελεί στρατηγικό στόχο στη διαδικασία επίτευξης και διατήρησης της συμμόρφωσής μας με τον ΓΚΠΔ και εν γένει τους Νόμους προστασίας δεδομένων. Για την επίτευξη αυτού του στόχου, αναπτύσσουμε και εφαρμόζουμε κατάλληλους οργανωτικούς και τεχνικούς μηχανισμούς ασφάλειας και προστασίας στο σύνολο των διαδικασιών και υποδομών της LaserVision. Το πλαίσιο ασφάλειας που έχουμε αναπτύξει για την προστασία των πληροφοριών και συνεπώς και των προσωπικών δεδομένων, στηρίζεται στις παρακάτω βασικές λειτουργικές αρχές ασφάλειας:

- Συμμόρφωση με την Πολιτική Ασφάλειας

- Διαβάθμιση και Προστασία Πληροφοριών

- Οργανωτική Δομή Ασφάλειας

- Επάρκεια Οργανωτικών & Τεχνολογικών Μέτρων Ασφάλειας

- Ευθύνη του Προσωπικού για Τήρηση της Ασφάλειας

- Έλεγχος Τήρησης Πολιτικής Ασφάλειας

- Συμμόρφωση με Νομικό και Κανονιστικό Πλαίσιο

- Ενημέρωση και Εκπαίδευση Ασφάλειας

- Ευθύνη Προσωπικού για Ορθή Χρήση Δεδομένων

- Διαχείριση Επιχειρηματικής Συνέχειας

- Διαχείριση Ανθρώπινου Δυναμικού

- Πρόσβαση Χρηστών σε Δεδομένα και Πληροφοριακά Συστήματα

- Παρακολούθηση Επιπέδου Ασφάλειας Συστημάτων

- Αξιολόγηση Κινδύνου

- Αρχιτεκτονική Ασφάλειας

- Χειρισμός Περιστατικών Παραβίασης Ασφάλειας

- Ασφάλεια κατά την Προμήθεια, Ανάπτυξη και Λειτουργία Συστημάτων και Εφαρμογών

- Φυσική Ασφάλεια

- Διαχείριση Συνεργασιών με Εξωτερικούς Φορείς

- Διαχείριση Διασυνδέσεων Εταιρικών Συστημάτων και Συνεργατών

- Πρόσβαση Τρίτων σε Πληροφοριακά Συστήματα

 

Η Πολιτική Ασφάλειας Πληροφοριών παρέχει τα λεπτομερή μέτρα και ελέγχους που λαμβάνουμε για την προστασία των προσωπικών πληροφοριών και την εξασφάλιση της ασφάλειας από τη συγκατάθεσή τους στη διάθεση.

Διεξάγουμε ελέγχους πληροφοριών για να διασφαλίσουμε ότι όλα τα προσωπικά δεδομένα που κατέχονται και υπόκεινται σε επεξεργασία από εμάς λογίζονται και καταγράφονται μαζί με εκτιμήσεις κινδύνου (όταν διενεργούνται) ως προς το εύρος και τον αντίκτυπο που θα μπορούσε να έχει μια παραβίαση δεδομένων στο υποκείμενο των δεδομένων. Έχουμε εφαρμόσει επαρκή και κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσουμε ένα επίπεδο ασφάλειας που να ανταποκρίνεται στον κίνδυνο.

Στο πλαίσιο της προσπάθειας και των μέτρων που λαμβάνονται για τη μείωση του κινδύνου παραβίασης των δεδομένων, η Εταιρεία έχει καθορίσει ελέγχους και διαδικασίες για την περίπτωση συνδρομής τέτοιων καταστάσεων, από κοινού με τις ενημερώσεις προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και τα υποκείμενα των δεδομένων (κατά περίπτωση) που απαιτούνται.

9.2 Παραβίαση/ Διαρροή Δεδομένων

Διαθέτουμε ισχυρές διαδικασίες διαχείρισης περιστατικών ασφάλειας ώστε να περιορίζουμε στο ελάχιστο δυνατό του κινδύνους και επιπτώσεις στα δικαιώματα και ελευθερίες των υποκειμένων – φυσικών προσώπων από ενδεχόμενη παραβίαση ή/και διαρροή των προσωπικών τους δεδομένων. Οι διαδικασίες αυτές έχουν ως στόχο την άμεση, αποτελεσματική και δομημένη αντιμετώπιση των περιστατικών και προβλημάτων ασφάλειας περιλαμβάνοντας κατ’ ελάχιστο τις εξής απαραίτητες ενέργειες:

Α) Εντοπισμός και να αξιολόγηση περιστατικού (Detection & Evaluation)

Β) Διαχείριση και αντιμετώπιση περιστατικού για άμεσο περιορισμό της επίπτωσης (Response)

Γ) Συλλογή πληροφοριών και ανάλυση των πτυχών του περιστατικού (Analysis)

Δ) Έκδοση εισηγήσεων και οδηγιών επίλυσης και οριστικής αντιμετώπισης

Ε) Επικοινωνία και αναφορά περιστατικού σε όλα τα εμπλεκόμενα μέρη (υποκείμενα δεδομένων/ασθενείς, εργαζόμενοι, συνεργάτες, Διοίκηση, αρμόδιες εποπτικές αρχές, κοινό), εφόσον απαιτείται και σύμφωνα με τους Νόμους περί προστασίας δεδομένων και τις σχετικές πολιτικές/διαδικασίες της Εταιρείας, κατά περίπτωση.

Για την αντιμετώπιση ενδεχόμενων περιπτώσεων παραβίασης προσωπικών δεδομένων, η Εταιρεία έχει υιοθετήσει και εφαρμόζει Πολιτική αντιμετώπισης και διαχείρισης παραβιάσεων δεδομένων προσωπικού χαρακτήρα. 

9.3 Κωδικοί Πρόσβασης

Οι κωδικοί πρόσβασης σε συστήματα και εφαρμογές της LaserVision αποτελούν βασικό τμήμα της στρατηγικής προστασίας των πληροφοριών και προσωπικών δεδομένων που επεξεργάζεται η Εταιρεία. Υιοθετούμε την προσέγγιση πολλαπλών επιπέδων πρόσβασης η οποία περιλαμβάνει ισχυρούς κωδικούς πρόσβασης σε επίπεδο χρήστη, διαχειριστή, συστήματος και δικτύου. Οι κωδικοί πρόσβασης ακολουθούν συγκεκριμένες πολιτικές δημιουργίας και ελέγχου περιλαμβάνοντας:

Α) Απαιτητούς συντακτικούς κανόνες

Β) Ιστορικότητα και επιβολή αλλαγής

Γ) Αδυναμία επιλογής λέξεων ή μοτίβων

 

10. ΜΕΤΑΦΟΡΑ & ΚΟΙΝΟΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ

Η LaserVision αναπτύσσει και εφαρμόζει όλα τα αναγκαία μέτρα προστασίας και ασφάλειας των δεδομένων που επεξεργάζονται σε συστήματα και υποδομές της.

Κατανοούμε και αναγνωρίζουμε ωστόσο, τους κινδύνους και τις επιπτώσεις που μπορεί να έχει μια μεταφορά ή / και αποκάλυψη προσωπικών δεδομένων και, ειδικά, δεδομένων υγείας σε τρίτους και για αυτόν τον λόγο εφαρμόζουμε επιπρόσθετους μηχανισμούς ασφάλειας και ελέγχων:

Α) Μεταφορά, διαβίβαση ή/και αποκάλυψη δεδομένων μόνο στο πλαίσιο υπογεγραμμένης σύμβασης

Β) Μεταφορά, διαβίβαση μέσω secure ftp υποδομής

Γ) Κρυπτογράφηση αρχείων δεδομένων υγείας για οποιαδήποτε διαβίβαση μέσω e-mail και αποκάλυψη κλειδιού αποκρυπτογράφησης με διαφορετικό μέσο επικοινωνίας

Δ) Εξάντληση δυνατοτήτων ελαχιστοποίησης δεδομένων (data minimization) και διαβίβαση / γνωστοποίηση των ελάχιστα απαιτούμενων στοιχείων που κρίνονται απαραίτητα για τον σκοπό επεξεργασίας που περιγράφεται στην σύμβαση

 

Διαβιβάσεις σε τρίτα μέρη

Τα προσωπικά δεδομένα θα διαβιβάζονται σε τρίτα μέρη μόνο εφόσον αυτό είναι απαραίτητο.

Τρίτο μέρος το οποίο ενεργεί ως εκτελών την επεξεργασία για λογαριασμό της Εταιρίας δεσμεύεται συμβατικά ότι η επεξεργασία των προσωπικών δεδομένων πραγματοποιείται σύμφωνα με την παρούσα Πολιτική, μέσω ρητής αναφοράς στη σχετική σύμβαση, σύμφωνα με τα ειδικότερα οριζόμενα στην παράγραφο 7.3. της παρούσας Πολιτικής.

 

Διαβίβαση των Δεδομένων σας σε τρίτες χώρες/διεθνείς οργανισμούς

Η διαβίβαση προσωπικών δεδομένων προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνο εφόσον διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα ή τον διεθνή οργανισμό, βάσει σχετικών αποφάσεων της Ευρωπαϊκής Επιτροπής. Σε διαφορετική περίπτωση, η Εταιρεία δύναται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, μόνο υπό τις αυστηρά προβλεπόμενες στον ΓΚΠΔ προϋποθέσεις. 

 

11. ΕΛΕΓΧΟΙ ΚΑΙ ΠΑΡΑΚΟΛΟΥΘΗΣΗ

Η παρούσα Πολιτική περιγράφει λεπτομερώς τους εκτεταμένους ελέγχους, τα μέτρα και τις μεθόδους που χρησιμοποιεί η Εταιρεία για την προστασία δεδομένων προσωπικού χαρακτήρα, την άσκηση των δικαιωμάτων των υποκειμένων τα οποία τα δεδομένα αφορούν, τον μετριασμό των κινδύνων από την επεξεργασία τους, την ελαχιστοποίηση των παραβιάσεων και τη συμμόρφωση με τους Νόμους περί προστασίας δεδομένων. Περαιτέρω, στο πλαίσιο συμμόρφωσης της Εταιρείας μας με την ισχύουσα νομοθεσία, διεξάγουμε επίσης τακτικούς ελέγχους και υιοθετούμε διαδικασίες παρακολούθησης της συμμόρφωσης προκειμένου να διασφαλιστεί ότι τα μέτρα και οι έλεγχοι που εφαρμόζονται για την προστασία των υποκειμένων των δεδομένων και των πληροφοριών τους είναι επαρκείς, αποτελεσματικοί και σύμφωνοι με την ισχύουσα νομοθεσία ανά πάσα στιγμή.

Οι μέθοδοι ελαχιστοποίησης των δεδομένων επανεξετάζονται συχνά και αξιολογούνται οι νέες τεχνολογίες για να διασφαλιστεί ότι προστατεύουμε τα δεδομένα και τα υποκείμενα – φυσικά πρόσωπα με τον καλύτερο δυνατό τρόπο. Όλες οι αναθεωρήσεις, οι έλεγχοι και οι συνεχόμενες διαδικασίες παρακολούθησης καταγράφονται και τα αντίγραφα παρέχονται στη διοίκηση και είναι στη διάθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όταν ζητηθεί.

Στόχος των εσωτερικών ελέγχων προστασίας δεδομένων είναι:

Α) Βεβαίωση ότι υπάρχουν οι κατάλληλες πολιτικές και διαδικασίες.

Β) Να επαληθεύσουμε ότι ακολουθούνται αυτές οι πολιτικές και διαδικασίες.

Γ) Έλεγχος της επάρκειας και της αποτελεσματικότητας των μέτρων και των ελέγχων που εφαρμόζονται.

Δ) Ανίχνευση παραβιάσεων ή ενδεχόμενων παραβιάσεων συμμόρφωσης.

Ε) Να προσδιοριστούν οι κίνδυνοι και να αξιολογηθούν οι εφαρμοζόμενες μετριαστικές δράσεις για την ελαχιστοποίηση τους.

ΣΤ) Να προταθούν λύσεις και σχέδια δράσης στη Διοίκηση για βελτιώσεις στην προστασία των υποκειμένων των δεδομένων και τη διαφύλαξη των προσωπικών τους δεδομένων.

Ζ) Παρακολούθηση της συμμόρφωσης με την νομοθεσία περί προστασίας δεδομένων και επίδειξη βέλτιστης πρακτικής

 

12. ΕΝΗΜΕΡΩΣΗ & ΕΚΠΑΙΔΕΥΣΗ

Διατηρούμε ισχυρή δέσμευση και διασφαλίζουμε ότι όλα τα απασχολούμενα στη LaserVision πρόσωπα  έχουν ενημερωθεί σχετικά με τις διατάξεις και απαιτήσεις του ΓΚΠΔ και εν γένει των Νόμων περί προστασίας δεδομένων και έχουν πρόσβαση σε κάθε υποστηρικτικό και εκπαιδευτικό υλικό προς ενίσχυση των διαδικασιών προστασίας των προσωπικών δεδομένων.

Προς αυτόν τον σκοπό σχεδιάζουμε και αναπτύσσουμε έκτακτα και περιοδικά προγράμματα εκπαίδευσης και ενημέρωσης σε θέματα ασφάλειας και προστασίας προσωπικών δεδομένων ώστε οι απαιτήσεις συμμόρφωσης να αποτελούν μέρος της καθημερινής εργασίας υπαλλήλων και συνεργατών μας.

 

13. ΑΡΜΟΔΙΟΤΗΤΕΣ - ΕΥΘΥΝΕΣ

Η συνολική ευθύνη και διαχείριση των διαδικασιών εποπτείας και συμμόρφωσης της LaserVision με τον ΓΚΠΔ και εν γένει τους Νόμους περί προστασίας δεδομένων βασίζεται στους εξής ρόλους και αρμοδιότητες:

- Η Διοίκηση ως πρώτο επίπεδο άμυνας/προστασίας έχει την ευθύνη δέσμευσης των αναγκαίων και απαραίτητων πόρων για την εφαρμογή των κατάλληλων μηχανισμών προστασίας και συμμόρφωσης

- Οι Υπεύθυνοι Τμημάτων έχουν ενεργό εκτελεστικό ρόλο οργάνωσης και ελέγχου των έργων και ενεργειών συμμόρφωσης της LaserVision

- Οι Υπάλληλοι / Εργαζόμενοι συμπεριλαμβανομένων των ιατρών που επεξεργάζονται σε καθημερινή βάση προσωπικά δεδομένα, έχουν την ευθύνη της προστασίας και άμεσης ενημέρωσης των αρμόδιων υπευθύνων σε περίπτωση διαπίστωσης παραβίασης ή διαρροής προσωπικών δεδομένων 

- Οι Εξωτερικοί Συνεργάτες συμπεριλαμβανομένων των συνεργαζόμενων ιατρών που επεξεργάζονται προσωπικά δεδομένα έχουν αυτοτελή ευθύνη προστασίας των δεδομένων αυτών και της επεξεργασίας τους στο πλαίσιο των αυστηρών απαιτήσεων του ΓΚΠΔ καθώς και την υποχρέωση της άμεσης ενημέρωσης των αρμόδιων υπευθύνων της LaserVision σε περίπτωση διαπίστωσης παραβίασης ή διαρροής προσωπικών δεδομένων

- Τα Τρίτα Μέρη (εκτελούντες την επεξεργασία) στα οποία ανατίθεται η επεξεργασία των δεδομένων είναι υπεύθυνα για την επεξεργασία των προσωπικών δεδομένων σύμφωνα με τις οδηγίες που λαμβάνουν από την Εταιρεία.

 

Όλα τα ανωτέρω πρόσωπα είναι υπεύθυνα για την τήρηση της παρούσας Πολιτικής και τη συμμόρφωσή τους με τις διατάξεις της.

 

 

_____________________________________________________________________________________________________________

 

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

 

Το  LaserVision

 

Το Κλινικό και Ερευνητικό Οφθαλμολογικό Ινστιτούτο «Laservision.gr Ιδιωτικό Οφθαλμολογικό Ιατρείο, Ιατρική Μ. ΕΠΕ» (εφεξής καλούμενο το «LaserVision») αποτελεί εταιρία νόμιμα συστημένη και λειτουργούσα στην Ελλάδα, με έδρα στην Αθήνα επί της οδού Αν. Τσόχα αρ. 17, 115 21, αριθμό ΓΕ.Μ.Η. 4797201000 και Α.Φ.Μ. 999803012. Επιπλέον, το LaserVision είναι εγγεγραμμένο στο Μητρώο Υπευθύνων Επεξεργασίας Δεδομένων της Ελληνικής Αρχής Προστασίας Δεδομένων με αριθμό μητρώου 955.

Ως Υπεύθυνο Επεξεργασίας δεδομένων προσωπικού χαρακτήρα, στο πλαίσιο συμμόρφωσής του με τις διατάξεις του Γενικού Κανονισμού Προστασίας των Δεδομένων (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») και της ισχύουσας νομοθεσίας, το Laser Vision σας παρέχει με το παρόν έντυπο ενημέρωση σχετικά με την εκ μέρους του επεξεργασία των δεδομένων προσωπικού χαρακτήρα που σας αφορούν και, ειδικότερα σχετικά με το είδος των προσωπικών δεδομένων σας που επεξεργάζεται, τη νομιμότητα και τους σκοπούς της επεξεργασίας, τα πρόσωπα στα οποία τα δεδομένα σας μπορεί να διαβιβαστούν, τον τρόπο και τον χρόνο φύλαξης τους, καθώς και με τα δικαιώματά σας ως υποκειμένων της σχετικής επεξεργασίας.

Για διευκρινίσεις, περαιτέρω πληροφορίες ή τυχόν απορίες σας σχετικά με την επεξεργασία των προσωπικών δεδομένων σας, μπορείτε να καλείτε στο τηλέφωνο 210 7472777 ή να αποστέλλετε ηλεκτρονικό μήνυμα στην ηλεκτρονική διεύθυνση dataprivacy@laservision.gr.

 

Τι είναι τα Δεδομένα Προσωπικού Χαρακτήρα και τα Δεδομένα υγείας  

Δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά συγκεκριμένο φυσικό πρόσωπο, η ταυτότητα του οποίου μπορεί να εξακριβωθεί, άμεσα ή έμμεσα (π.χ. όνομα, αριθμός ταυτότητας, διεύθυνση κατοικίας κτλ.). Σε αυτά εντάσσονται – ως ειδική κατηγορία δεδομένων - και τα δεδομένα υγείας, τα δεδομένα, δηλαδή, εκείνα που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου και αποκαλύπτουν πληροφορίες σχετικά με την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της υγείας του (καλούμενα συνολικά «δεδομένα προσωπικού χαρακτήρα ή «προσωπικά δεδομένα»).

 

Σε τι συνίσταται η επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα σας

Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα σας περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, διαβίβαση, περιορισμό ή διαγραφή των δεδομένων προσωπικού χαρακτήρα σας που έχουν περιέλθει ή θα περιέλθουν σε γνώση του Laser Vision, στο πλαίσιο και για τους σκοπούς προληπτικής ιατρικής, ιατρικής διάγνωσης και παροχής προς εσάς υπηρεσιών διάγνωσης και θεραπείας.

 

Αρχές που διέπουν την επεξεργασία των δεδομένων σας από το Laser Vision  

Το Laser Vision επεξεργάζεται τα δεδομένα προσωπικού σας χαρακτήρα με νόμιμο, θεμιτό και διαφανή τρόπο, προς εξυπηρέτηση των αναφερόμενων στην παρούσα και σαφώς καθοριζόμενων σκοπών. Τα υπό την επεξεργασία του Laser Vision δεδομένα σας περιορίζονται στα απολύτως απαραίτητα για την επίτευξη των σκοπών αυτών, τηρούνται για καθορισμένο χρονικό διάστημα και προστατεύονται από επαρκή μέτρα ασφαλείας. Το Laser Vision λαμβάνει κάθε μέριμνα ώστε τα υπό την επεξεργασία του δεδομένα σας να είναι πλήρη και ακριβή και να επικαιροποιούνται άμεσα σε κάθε περίπτωση μεταβολής τους ή όποτε άλλοτε κρίνεται απαραίτητο ή σκόπιμο από το Laser Vision για τη συμμόρφωσή του με τις απορρέουσες από το εκάστοτε ισχύον νομοθετικό και κανονιστικό πλαίσιο υποχρεώσεις του και για την βέλτιστη παροχή υπηρεσιών διάγνωσης και θεραπείας.

 

Ποια Δεδομένα Προσωπικού Χαρακτήρα σας επεξεργαζόμαστε

Τα δεδομένα προσωπικού χαρακτήρα σας που επεξεργαζόμαστε είναι τα ακόλουθα:

Προσωπικά στοιχεία/Στοιχεία ταυτότητας : όνομα/επώνυμο, φύλο, ημερομηνία γέννησης, επάγγελμα, αριθμός δελτίου ταυτότητας/αριθμός διαβατηρίου, ΑΦΜ, ΑΜΚΑ, στοιχεία ασφάλισης σε ιδιωτική ασφαλιστική εταιρία,

Στοιχεία επικοινωνίας: διεύθυνση κατοικίας, ηλεκτρονική διεύθυνση (email), εταιρικό email, αρ. τηλεφώνου οικίας, αρ. κινητού τηλεφώνου, τηλέφωνο εργασίας,

Στοιχεία προσωπικά & επικοινωνίας συγγενών/συνοδών/εξουσιοδοτούμενων προσώπων:  όνομα/επώνυμο, αρ. τηλεφώνου,    

Δεδομένα υγείας: όλα τα δεδομένα που αφορούν την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της υγείας σας και τα οποία περιλαμβάνουν πληροφορίες όπως αριθμοί, σύμβολα ή χαρακτηριστικά ταυτότητας που αποδίδονται με σκοπό την πλήρη ταυτοποίησή σας για σκοπούς υγείας,  πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματός σας, κάθε σχετιζόμενη με την κατάσταση της υγείας σας πληροφορία, όπως ενδεικτικά σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή με τη φυσιολογική ή βιοϊατρική κατάστασή σας, ανεξαρτήτως πηγής προέλευσης, όπως από άλλο ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή, καθώς και ουσιώδη στοιχεία που συνδέονται με την παροχή φροντίδας και υπηρεσιών υγείας, όπως ενοχλήματα υγείας, λόγοι επίσκεψης, πρωτογενής/δευτερογενής διάγνωση, ακολουθούμενη/ακολουθηθείσα αγωγή, στοιχεία χειρουργικών επεμβάσεων, αποτελέσματα κλινικών/παρακλινικών εξετάσεων, κλπ. 

Πληροφορίες και στοιχεία σχετικά με τη χρήση τραπεζικών καρτών/λογαριασμών σας που μας γνωστοποιούνται προς πληρωμή των παρεχόμενων εκ μέρους μας υπηρεσιών. 

 

Τα δεδομένα υγείας καταχωρούνται στον ιατρικό φάκελο που τηρείται από το Laser Vision ανά ασθενή, σε συμμόρφωση με την ισχύουσα νομοθεσία και με σκοπό  τη διευκόλυνση της εκτίμησης και διάγνωσης της κατάστασης υγείας του ασθενούς, καθώς και της θεραπείας του, της παρεχόμενης σε αυτόν φροντίδας, της κλινικής ανταλλαγής πληροφοριών, αλλά και της ασφάλειας και βελτίωσης των παρεχόμενων από εμάς υπηρεσιών προληπτικής ιατρικής, ιατρικής διάγνωσης και θεραπείας.

Τα παραπάνω δεδομένα προσωπικού χαρακτήρα συλλέγονται από εσάς ή/και από τα άτομα που έχουν το νόμιμο/συμβατικό δικαίωμα να ενεργούν εκ μέρους σας, με τους εξής τρόπους:

- Μέσω τηλεφωνικής ή ηλεκτρονικής επικοινωνίας, 

- Με τη συμπλήρωση του ειδικού εντύπου εξέτασης/εισαγωγής στο Laser Vision (έντυπο με τίτλο «Στοιχεία Εξεταζομένου»),

- Με τη συμπλήρωση του ειδικού εντύπου επισκεπτών στο Laser Vision,  

- Με την παροχή ιατρικών πληροφοριών κατά τη λήψη ιατρικού ιστορικού, τόσο προφορικά όσο και με την υποβολή εγγράφων αποτελεσμάτων προηγούμενων εξετάσεων, ιατρικών πράξεων, κλπ.   

- Μετά από την εξέτασή σας από τους επαγγελματίες υγείας του Laser Vision και από τα αποτελέσματα των διαγνωστικών ελέγχων και τις εξετάσεις και αναλύσεις που πραγματοποιούνται.

 

Συνέπειες Μη παροχής των Δεδομένων σας

Καθώς τα παραπάνω προσωπικά σας δεδομένα είναι απολύτως απαραίτητα για την εκπλήρωση από το Laser Vision των υποχρεώσεών του απέναντι σας και την εξυπηρέτηση των σκοπών της παρούσας, τυχόν μη παροχή τους σημαίνει ότι δε θα μπορέσουμε να σας παρέχουμε υπηρεσίες υγείας.  

 

Για ποιον λόγο επεξεργαζόμαστε τα Δεδομένα Προσωπικού Χαρακτήρα σας (Νομιμότητα/Σκοποί της Επεξεργασίας)

Το Laser Vision επεξεργάζεται τα δεδομένα προσωπικού σας χαρακτήρα, εφόσον :

(α) η επεξεργασία είναι απαραίτητη για την εξυπηρέτηση των σκοπών προληπτικής ιατρικής, ιατρικής διάγνωσης και παροχής προς εσάς υπηρεσιών διάγνωσης και θεραπείας,

(β) η επεξεργασία είναι απαραίτητη για την εξυπηρέτηση, υποστήριξη και παρακολούθηση της μεταξύ μας συμβατικής σχέσης και των, δυνάμει αυτής, παρεχόμενων εκ μέρους μας υπηρεσιών,

(γ) η επεξεργασία είναι απαραίτητη για τη διασφάλιση και προστασία των εννόμων συμφερόντων τόσο του Laser Vision όσο και των δικών σας  (ενδεικτικά αναφέρονται η κάλυψη δαπανών υγείας από τον ασφαλιστικό σας φορέα/την ασφαλιστική εταιρεία με την οποία συνεργάζεστε, η δημιουργία ηλεκτρονικών αρχείων με δεδομένα υγείας, η χρήση λογισμικού/εφαρμογών για κοινοποίηση αποτελεσμάτων εξετάσεων με ηλεκτρονικά μέσα, κτλ.).

(δ) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών σας συμφερόντων σε περίπτωση σωματικής ή νομικής ανικανότητάς σας να συγκατατεθείτε στην επεξεργασία,

(ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση των απορρεουσών από το εκάστοτε ισχύον νομοθετικό και κανονιστικό πλαίσιο υποχρεώσεων του Laser Vision, συμπεριλαμβανομένων των υποχρεώσεων που επιβάλλονται δυνάμει της ασφαλιστικής και φορολογικής νομοθεσίας,

(στ) η επεξεργασία είναι απαραίτητη στο πλαίσιο συμμόρφωσής μας με αποφάσεις των αρμόδιων εποπτικών, διοικητικών, δημόσιων και δικαστικών/εισαγγελικών Αρχών και Υπηρεσιών,

(ζ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή/και υποστήριξη νομικών αξιώσεών μας  ή/και την υπεράσπιση των δικαιωμάτων μας ενώπιον Διοικητικών ή Δικαστικών Αρχών ή στο πλαίσιο εξωδικαστικής διαδικασίας,

(η) η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας,

(θ) η επεξεργασία βασίζεται σε προηγούμενη ειδική, ρητή και έγγραφη συγκατάθεση που έχετε παράσχει για τη λήψη έντυπων, τηλεφωνικών ή ηλεκτρονικών μηνυμάτων στο πλαίσιο προωθητικών ενεργειών/ενεργειών ενημέρωσης, καθώς και για την ανώνυμη καταγραφή εξετάσεων προς εξυπηρέτηση στατιστικών, ερευνητικών ή επιστημονικών σκοπών. Στην περίπτωση αυτή, έχετε δικαίωμα να ανακαλέσετε τη συγκατάθεσή σας ανά πάσα στιγμή, η σχετική δε ανάκληση δε θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Η ανάκληση διενεργείται με σχετικό έγγραφο που υποβάλλεται εγγράφως στην έδρα του Laser Vision, οδός Τσόχα αρ. 17, Αθήνα, 115 21 (στη γραμματεία ή ταχυδρομικά) ή ηλεκτρονικά στη διεύθυνση dataprivacy@laservision.gr και ισχύει από την ημερομηνία υποβολής του και εφεξής.

 

Πώς γίνεται η επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα σας  

Το Laser Vision λαμβάνει κάθε πρόσφορο μέτρο για την προστασία των δεδομένων προσωπικού χαρακτήρα που σας αφορούν και τη διαφύλαξη της ιδιωτικότητάς σας. Δεν αποκαλύπτει, δε δημοσιοποιεί ούτε κοινοποιεί τα δεδομένα σας σε τρίτους, εξαιρουμένων μόνο των περιπτώσεων που κατωτέρω αναφέρονται.

Το Laser Vision επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα που σας αφορούν μέσω των υπεύθυνων προς παροχή υπηρεσιών υγείας ιατρών του και των λοιπών επαγγελματιών υγείας που απασχολεί ή με τους οποίους συνεργάζεται, καθώς και μέσω των απασχολούμενων ανά διεύθυνση/τμήμα υπαλλήλων του.

Το διοικητικό προσωπικό του Laser Vision λαμβάνει γνώση των προσωπικών σας δεδομένων αποκλειστικά για τις ανάγκες εκτέλεσης των διοικητικών λειτουργιών μας, της τιμολόγησης των παρεχόμενων εκ μέρους μας υπηρεσιών και της εξυπηρέτησής σας. Τυχόν δεδομένα υγείας σας, συμπεριλαμβανομένων στοιχείων του ιατρικού σας φακέλου που ενδέχεται να περιέλθουν σε γνώση του, στο πλαίσιο εκτέλεσης των ανατεθειμένων σε αυτό εργασιών, περιορίζονται αποκλειστικά και μόνο σε εκείνα που είναι απολύτως απαραίτητα για την εκτέλεση των καθηκόντων του και παραμένουν απόρρητα.

Οι επαγγελματίες υγείας του Laser Vision μπορούν να έχουν πρόσβαση στον ιατρικό σας φάκελο και να κάνουν χρήση των πληροφοριών που αυτός περιέχει για τις ανάγκες της διάγνωσης ή θεραπείας σας και μόνο, εφόσον αυτή η πρόσβαση συνδέεται με ή είναι απαραίτητη για την εκπλήρωση των καθηκόντων τους (π.χ. ιατρικές θεραπείες, νοσηλευτικό έργο, συνταγογράφηση κ.α.) ή σε περίπτωση που επιβάλλεται από το ισχύον νομοθετικό ή κανονιστικό πλαίσιο.

Το σύνολο του προσωπικού του Laser Vision δεσμεύεται από ρήτρες τήρησης εχεμύθειας, εμπιστευτικότητας και απορρήτου των πληροφοριών που λαμβάνει γνώση. Οι ιατροί δεσμεύονται και από το ιατρικό απόρρητο, κατά τα ειδικότερα προβλεπόμενα στον Κώδικα Ιατρικής Δεοντολογίας, όπως ισχύει.

 

Σε ποια πρόσωπα διαβιβάζονται τα Δεδομένα Προσωπικού Χαρακτήρα σας  

Στο πλαίσιο εξυπηρέτησης των σκοπών της επεξεργασίας, όπως στην παρούσα καταγράφονται, το Laser Vision δύναται να χρησιμοποιεί τρίτα μέρη, προκειμένου αυτά, ενεργώντας για λογαριασμό του, να επεξεργάζονται δεδομένα προσωπικού σας χαρακτήρα. Τα εν λόγω πρόσωπα (εκτελούντες την επεξεργασία), τα οποία ενεργούν σύμφωνα με τις οδηγίες του Laser Vision, παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η εκ μέρους τους επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων σας. Οι κύριες κατηγορίες εκτελούντων την επεξεργασία με τους οποίους συνεργαζόμαστε, περιλαμβάνουν:

- Συνεργαζόμενους ιατρούς και επαγγελματίες υγείας,

- Συνεργαζόμενες κλινικές, νοσοκομεία και διαγνωστικά κέντρα, 

- Συνεργαζόμενα εξωτερικά εργαστήρια υγείας,

- Εταιρίες υποστηρικτικών λειτουργιών, όπως εταιρίες παροχής ιατροτεχνολογικού εξοπλισμού, εταιρίες παροχής λογισμικού, εταιρίες παροχής εργασιών μηχανοργάνωσης, εταιρίες τεχνικής υποστήριξης, κλπ.

Επιπλέον, διαβίβαση των δεδομένων σας διενεργείται:

α) σε φορείς/οργανισμούς του Δημοσίου, κοινωνικοασφαλιστικούς φορείς και ασφαλιστικές εταιρίες, εφόσον απαιτείται για την εξυπηρέτηση των σκοπών της παρούσας και  

β) εν γένει σε τρίτα πρόσωπα εφόσον :

- είναι απαραίτητη για την εξυπηρέτηση των σκοπών της επεξεργασίας και υπό την προϋπόθεση ότι οι αποδέκτες υπόκεινται σε υποχρέωση τήρησης εμπιστευτικότητας,  

- επιβάλλεται από το εκάστοτε ισχύον νομοθετικό ή κανονιστικό πλαίσιο ή από αποφάσεις αρμόδιων εποπτικών, διοικητικών, δημόσιων και δικαστικών/εισαγγελικών Αρχών και Υπηρεσιών,

- διενεργείται κατόπιν προηγούμενης δικής σας έγγραφης, ειδικής και ρητής εντολής (π.χ. διαβίβαση δεδομένων σε άλλο ιατρό της επιλογής σας, στον κοινωνικοασφαλιστικό σας φορέα, σε ασφαλιστική εταιρία με την οποία συνεργάζεστε, κλπ),

- είναι απαραίτητη για τη διαφύλαξη έννομων συμφερόντων του Laser Vision, όπως ενδεικτικά η είσπραξη των απαιτήσεών μας μέσω τρίτων εντολοδόχων (π.χ. εντεταλμένους δικηγόρους) ή

- κρίνεται απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας.  

 

Διαβίβαση των Δεδομένων σας σε τρίτες χώρες/διεθνείς οργανισμούς

Η διαβίβαση προσωπικών δεδομένων σας προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνο εφόσον διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα ή τον διεθνή οργανισμό, βάσει σχετικών αποφάσεων της Ευρωπαϊκής Επιτροπής. Σε διαφορετική περίπτωση, η Εταιρία δύναται να διαβιβάσει δεδομένα προσωπικού σας χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, μόνο υπό τις αυστηρά προβλεπόμενες στον ΓΚΠΔ προϋποθέσεις. 

 

Τα δικαιώματά σας

Ως υποκείμενα των δεδομένων προσωπικού χαρακτήρα σας που το Laser Vision επεξεργάζεται, έχετε τα ακόλουθα δικαιώματα:

α) Δικαίωμα ενημέρωσης και πρόσβασης στα δεδομένα σας, καθώς και λήψης πληροφοριών όπως :

- τα υπό επεξεργασία δεδομένα σας,

- τους σκοπούς της επεξεργασίας,

- τους αποδέκτες στους οποίους έχουν κοινοποιηθεί / θα κοινοποιηθούν τα δεδομένα,

- το χρονικό διάστημα τήρησης και φύλαξής τους,

- την πηγή από την οποία τα δεδομένα έχουν συλλεχθεί.

β) Δικαίωμα διόρθωσης ανακριβών δεδομένων και συμπλήρωσης ελλιπών δεδομένων που τηρούνται, εφόσον θεωρείτε ότι τηρούμε τυχόν ελλιπή ή ανακριβή δεδομένα σας.

γ) Δικαίωμα διαγραφής των δεδομένων σας, με την επιφύλαξη, ωστόσο, των υποχρεώσεων και των νομίμων δικαιωμάτων του Laser Vision προς διακράτησή τους για ελάχιστο συγκεκριμένο χρονικό διάστημα, δυνάμει του εκάστοτε ισχύοντος νομοθετικού και κανονιστικού πλαισίου. 

δ) Δικαίωμα περιορισμού της επεξεργασίας των δεδομένων σας, εφόσον, είτε αμφισβητείτε την ακρίβεια τους, είτε η επεξεργασία τους είναι παράνομη, είτε δε συντρέχει πλέον ο σκοπός της επεξεργασίας και  υπό την προϋπόθεση ότι δεν υφίσταται νόμιμος λόγος για τη διακράτησή τους. 

ε) Δικαίωμα φορητότητας, δηλαδή, μεταφοράς των δεδομένων σας σε άλλον πάροχο υπηρεσιών υγείας, υπό την προϋπόθεση ότι η επεξεργασία βασίζεται σε συγκατάθεση σας ή είναι απαραίτητη για την εκτέλεση της μεταξύ μας σύμβασης και διενεργείται με αυτοματοποιημένα μέσα. Η ικανοποίηση του εν λόγω δικαιώματος τελεί υπό την επιφύλαξη των νομίμων δικαιωμάτων και υποχρεώσεων του Laser Vision για διακράτηση των δεδομένων και εκπλήρωση καθήκοντός του προς το δημόσιο συμφέρον.

στ) Δικαίωμα εναντίωσης στην επεξεργασία των δεδομένων σας για λόγους που σχετίζονται με την ιδιαίτερη κατάσταση σας, στις περιπτώσεις όπου τα δεδομένα υφίστανται επεξεργασία για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει το Laser Vision ή στο πλαίσιο εμπορικής προώθησης. 

Η άσκηση των δικαιωμάτων σας γίνεται με τη συμπλήρωση και υποβολή σχετικού εντύπου προς το Laser Vision είτε εγγράφως στην έδρα του Laser Vision, οδός Τσόχα αρ. 17, Αθήνα, 115 21 (στη γραμματεία ή ταχυδρομικά) είτε ηλεκτρονικά στη διεύθυνση dataprivacy@laservision.gr.

Σε περίπτωση λήψης αιτήματος άσκησης δικαιωμάτων και πριν την εξέταση και ικανοποίησή του, αποτελεί αυστηρή μας πολιτική μας – στο πλαίσιο διαφύλαξης της ασφάλειας και προστασίας των προσωπικών σας δεδομένων - να ζητείται η εκ μέρους επιβεβαίωση/επαλήθευση των στοιχείων της ταυτότητάς σας.  

 

Για πόσο διάστημα φυλάσσουμε και τηρούμε τα δεδομένα σας

Τα δεδομένα προσωπικού χαρακτήρα σας υπόκεινται σε επεξεργασία, τηρούνται και φυλάσσονται από το Laser Vision σε ασφαλές περιβάλλον, αποκλειστικά και μόνο για τους σκοπούς για τους οποίους προορίζονται και μόνο για όσο χρονικό διάστημα απαιτείται για την επίτευξη των εν λόγω σκοπών, με την επιφύλαξη των ειδικότερων προβλεπόμενων από την ισχύουσα νομοθεσία. Ειδικά ως προς τα δεδομένα υγείας σας, αυτά τηρούνται και φυλάσσονται σύμφωνα με τα ειδικότερα προβλεπόμενα στον Κώδικα Ιατρικής Δεοντολογίας, όπως ισχύει.

Σε περίπτωση επεξεργασίας δεδομένων για αποστολή ενημερώσεων και προωθητικές ενέργειες, βάσει συγκατάθεσής σας, τα δεδομένα σας φυλάσσονται μέχρι να μας ενημερώσετε για το αντίθετο και να ανακαλέσετε τη συγκατάθεσή σας. 

 

Μέτρα Ασφάλειας

Το Laser Vision έχει λάβει κατάλληλα τεχνικά και οργανωτικά μέτρα για  τη διασφάλιση του απορρήτου και για τη νόμιμη τήρηση, την επεξεργασία, την προστασία και την ασφαλή φύλαξη των δεδομένων προσωπικού χαρακτήρα σας από κάθε παράνομη ή αθέμιτη επεξεργασία, τυχαία ή αθέμιτη καταστροφή, απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση, κατά τα ειδικότερα προβλεπόμενα στην ισχύουσα νομοθεσία.

Το Laser Vision χρησιμοποιεί κλειστά κυκλώματα τηλεόρασης (CCTV) και κάμερες ασφαλείας, στο πλαίσιο διαφύλαξης και προστασίας της ασφάλειας τόσο των φυσικών προσώπων όσο και των αγαθών που βρίσκονται στις εγκαταστάσεις μας.

 

Γενική Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Το Laser Vision έχει υιοθετήσει και εφαρμόζει Γενική Πολιτική Προστασίας Προσωπικών Δεδομένων , η οποία είναι διαθέσιμη, όπως εκάστοτε ισχύει, στην ιστοσελίδα του www.laservision.gr., καθώς και στην έδρα του (Αν. Τσόχα 17, Αθήνα, 115 21), χωρίς χρέωση. Η ανωτέρω Πολιτική υπόκειται σε μονομερή τροποποίηση από το Laser Vision, κατά την απόλυτη διακριτική του ευχέρεια, η επικαιροποιημένη δε έκδοσή της αναρτάται αμέσως στην παραπάνω ιστοσελίδα και καθίσταται διαθέσιμη στην έδρα του.

 

Υποβολή Παραπόνου/Καταγγελίας για την Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα σας

Το Laservision επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα σας σύμφωνα με την παρούσα ενημέρωση, τη Γενική Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που έχει υιοθετήσει, τον ΓΚΠΔ και την εκάστοτε ισχύουσα σχετική νομοθεσία. Εάν, ωστόσο, επιθυμείτε να εκφράσετε οποιοδήποτε παράπονο για την επεξεργασία των προσωπικών σας δεδομένων, ή εάν δεν είστε ικανοποιημένοι από τον τρόπο με τον οποίο τα επεξεργαζόμαστε, έχετε δικαίωμα υποβολής παραπόνου είτε στην έδρα του Laser Vision (Αν. Τσόχα 17, Αθήνα, 115 21, στη γραμματεία ή ταχυδρομικά) είτε στην ηλεκτρονική διεύθυνση dataprivacy@laservision.gr.  

Σε κάθε περίπτωση, έχετε το δικαίωμα να απευθυνθείτε οποτεδήποτε για κάθε σχετιζόμενο με τα προσωπικά σας δεδομένα ζήτημα, καθώς και να υποβάλετε καταγγελία για την επεξεργασία τους στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, (Λ. Κηφισίας 1-3, 115 23, Αθήνα / Τηλεφωνικό Κέντρο: +30-210 6475600, Fax: +30-210 6475628, ηλεκτρονικό ταχυδρομείο contact@dpa.gr).