Πολιτική Προστασίας Προσωπικών Δεδομένων

Σκοπός

Σκοπός της παρούσας πολιτικής είναι η ενημέρωση για τους τρόπους που η Αικατερίνη Χρηστίδη (εφεξής «Ιατρός») συλλέγει, επεξεργάζεται και προστατεύει τα δεδομένα προσωπικού χαρακτήρα, για τους λόγους που τηρεί τα δεδομένα, για το είδος των δεδομένων που επεξεργάζεται, για το χρονικό διάστημα που αποθηκεύει τα δεδομένα και για τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας που υιοθετεί για την προστασία των  δεδομένων.

Η Ιατρός διατηρεί μονομερώς το δικαίωμα να επικαιροποιεί, τροποποιεί, προσθέτει, μεταβάλλει τις υπηρεσίες του και την παρούσα Πολιτική, ανά διαστήματα, οποτεδήποτε κρίνει τούτο αναγκαίο, χωρίς προηγούμενη ειδοποίηση, πάντα εντός του εκάστοτε ισχύοντος νομικού πλαισίου και σύμφωνα με τυχόν μεταβολές στην κείμενη νομοθεσία περί προστασίας προσωπικών δεδομένων. Η Ιατρός ενθαρρύνει κάθε ενδιαφερόμενο να ελέγχει την παρούσα Πολιτική ανά τακτά χρονικά διαστήματα ώστε να ενημερώνεται για τις αλλαγές που έχουν πραγματοποιηθεί.

Δεδομένα Προσωπικού Χαρακτήρα

Δεδομένα Προσωπικού Χαρακτήρα είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, του οποίου η ταυτότητα μπορεί να εξακριβωθεί άμεσα ή έμμεσα, Τα γενετικά δεδομένα, τα βιομετρικά δεδομένα και τα δεδομένα που αφορούν την υγεία, αποτελούν ειδικές κατηγορίες δεδομένων (ευαίσθητα) και απαιτούν αυξημένη προστασία.

Η φύση της δραστηριότητας της Ιατρού είναι τέτοια ώστε καθημερινά έρχεται σε επαφή με πληθώρα δεδομένων προσωπικού χαρακτήρα ασθενών, προσωπικού ιατρείου, ιατρών – συνεργατών, λοιπών συνεργατών – προμηθευτών – υπεργολάβων, επισκεπτών ηλεκτρονικής ιστοσελίδας, ληπτών ηλεκτρονικών επικοινωνιών κλπ.

Σκοποί Συλλογής, Επεξεργασίας και Διάθεσης Δεδομένων Προσωπικού Χαρακτήρα

Η Ιατρός συλλέγει, επεξεργάζεται και αποθηκεύει δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση των ακόλουθων σκοπών:

• Για την παροχή ιατρικών υπηρεσιών πρωτοβάθμιας ή/και δευτεροβάθμιας φροντίδας προς τους ασθενείς που επισκέπτονται το Ιατρείο της.
• Για την διαχείριση παραπόνων των ασθενών και επισκεπτών.
• Για διαχείριση δευτερευόντων υπηρεσιών όπως η πρόσβαση, η ασφάλεια, ο έλεγχος εισόδου στους χώρους του ιατρείου.
• Για ενημέρωση του κοινού για τις προσφερόμενες υπηρεσίες του ιατρείου, μέσω διοργάνωσης εκδηλώσεων ενημερωτικών δράσεων ή επιστημονικού χαρακτήρα, μέσω ηλεκτρονικών μέσων συμπεριλαμβανομένων των μέσων κοινωνικής δικτύωσης καθώς και μέσω λοιπών ενεργειών πάσης φύσεως.
• Για την οργάνωση και διεξαγωγή εκπαιδευτικών σεμιναρίων / προγραμμάτων προς το προσωπικό, αλλά και επιστημονικών ημερίδων / εκδηλώσεων ή/και εκπαιδεύσεων προς τους συνεργάτες ιατρούς κάθε ειδικότητας.

Βασικές Αρχές Συλλογής και Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα

Η Ιατρός τηρεί τις κάτωθι θεμελιώδεις αρχές προστασίας των δεδομένων προσωπικού χαρακτήρα, η τήρηση των οποίων επιβάλλεται από τον Γενικό Κανονισμό της Ευρωπαϊκής Ένωσης (ΕΕ)2016/679 για την Προστασία των Προσωπικών Δεδομένων (εφεξής «ΓΚΠΔ»):

• Τα δεδομένα συλλέγονται κατά τρόπο θεμιτό και νόμιμο, για καθορισμένους, σαφείς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο μη συμβατό προς τους σκοπούς αυτούς.
• Τα δεδομένα είναι κατάλληλα και συναφή και περιορίζονται στα ελάχιστα αναγκαία σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία
• Τα δεδομένα είναι ακριβή και επικαιροποιούνται όποτε απαιτείται, ενώ λαμβάνονται όλα τα εύλογα μέτρα, για την άμεση διόρθωση των δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
• Τα δεδομένα διατηρούνται σε μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται και για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών επεξεργασίας και βάσει της κείμενης νομοθεσίας.
• Η επεξεργασία των προσωπικών δεδομένων, συμπεριλαμβανομένης και της διαβίβασης σε τρίτους, πραγματοποιείται μόνο σύμφωνα με τις νομιμοποιητικές βάσεις του άρθρου 6 και του άρθρου 9 του ΓΚΠΔ.
• Η συλλογή και η επεξεργασία των δεδομένων πραγματοποιείται με σεβασμό στα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης των υποκειμένων.
• Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι εμπιστευτική και διεξάγεται από πρόσωπα τα οποία δεσμεύονται για την τήρηση εχεμύθειας.
• Λαμβάνονται τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.
• Τα δεδομένα υποβάλλονται σε επεξεργασία υπό την ευθύνη της Ιατρού (υπεύθυνος επεξεργασίας), η οποία διασφαλίζει και αποδεικνύει για κάθε πράξη επεξεργασίας τη συμμόρφωση της προς τις διατάξεις του εκάστοτε ισχύοντος κανονιστικού πλαισίου.

Είδη Δεδομένων Προσωπικού Χαρακτήρα που συλλέγονται

Ενδεικτικά, τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από την Ιατρό και αποτελούν αντικείμενο επεξεργασίας συμπεριλαμβάνουν τα απαραίτητα στοιχεία για την επίσκεψη ενός ασθενή, για την πρόσληψη ενός υπαλλήλου, για την συνεργασία με ιατρό, για την συνεργασία λοιπούς συνεργάτες, για την ηλεκτρονική αποστολή ενημερωτικού δελτίου / newsletter προς τρίτους κ.ο.κ.

Στην περίπτωση των ασθενών, συλλέγονται δεδομένα υγείας σχετικά με τις παρεχόμενες από την Ιατρό ιατρικές υπηρεσίες ή ακόμα και δεδομένα υγείας για ιατρικές υπηρεσίες που δεν παρασχέθηκαν από την Ιατρό, αλλά αναφέρθηκαν στην Ιατρό είτε από τους ίδιους τους ασθενείς, είτε από τρίτους. Επίσης, ενδέχεται να συλλεγούν και προσωπικά δεδομένα συνοδών ή συγγενών των ασθενών.  Επιπλέον, ενδέχεται να συλλέγονται πληροφορίες για την διεκπεραίωση της πληρωμής (πχ. τραπεζικός λογαριασμός ή πιστωτική κάρτα).

Στην περίπτωση των επισκεπτών της ιστοσελίδας της Ιατρού, συλλέγονται πληροφορίες από τη χρήση της ιστοσελίδας  και πάσης φύσεως ψηφιακών πλατφορμών που χρησιμοποιεί ή μπορεί να χρησιμοποιήσει στο μέλλον η Ιατρός, με σκοπό την ενημέρωσή τρίτων, σχετικά με τις υπηρεσίες που παρέχει. Συγκεκριμένα, ενδέχεται να συλλέγονται τεχνικές πληροφορίες που αποτελούν προσωπικά δεδομένα, όπως για παράδειγμα η διεύθυνση πρωτοκόλλου διαδικτύου (Internet Protocol address) της συσκευής του επισκέπτη (πχ ηλεκτρονικός υπολογιστής, laptop, tablet, smartphone), μοτίβα περιήγησης στις ιστοσελίδες (browsing patterns), πληροφορίες σχετικά με τη χρήση μιας ιστοσελίδας, ιστορικό του προγράμματος περιήγησης (browser history), δεδομένα γεωγραφικού προσδιορισμού (geolocation), στοιχεία του πρωτοκόλλου HTTP κλπ. Οι τεχνικές αυτές πληροφορίες χρησιμοποιούνται για την ομαλή λειτουργία και απόδοση της ιστοσελίδας και των ηλεκτρονικών υπηρεσιών, και δεν αποθηκεύονται μόνιμα στις υποδομές του Ιατρού, ενώ τα δεδομένα τηρούνται σε συγκεντρωτική μορφή ώστε να μην είναι εφικτή κατά το δυνατό η ταυτοποίηση των χρηστών.

Συλλογή Δεδομένων Προσωπικού Χαρακτήρα και Διαβίβαση

Τα δεδομένα προσωπικού χαρακτήρα των υποκειμένων των δεδομένων συλλέγονται από εξουσιοδοτημένους υπαλλήλους της Ιατρού ή από την ίδια, για τους σκοπούς και μόνο της παροχής της εκάστοτε υπηρεσίας. Ειδικά για την περίπτωση των ασθενών, προσωπικά δεδομένα μπορεί να δίδονται από τα ίδια τα υποκείμενα των δεδομένων ή, σε περίπτωση που αυτό δεν είναι εφικτό, από άτομο/άτομα που τα συνοδεύουν.

Η διαβίβαση δεδομένων προσωπικού χαρακτήρα γίνεται αποκλειστικά βάσει των νομιμοποιητικών βάσεων του άρθρου 6 του ΓΚΠΔ για απλά δεδομένα προσωπικού χαρακτήρα ή του άρθρου 9 ΓΚΠΔ για ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα (ευαίσθητα). Ειδικά τα ειδικών κατηγοριών προσωπικά δεδομένα των ασθενών παρέχονται σε τρίτα μέρη μόνο όταν αυτό είναι απαραίτητο για την παροχή ιατρικών υπηρεσιών στα υποκείμενα των δεδομένων (π.χ. στους ιατρούς για σκοπούς διάγνωσης/θεραπείας). Με τη ρητή συναίνεση ή τη σχετική εντολή των υποκειμένων των δεδομένων, δεδομένα υγείας ενδέχεται να διαβιβαστούν σε τρίτους (π.χ. ασφαλιστική εταιρεία ασθενή).

Η Ιατρός δεσμεύεται ότι δε θα χρησιμοποιήσει τα προσωπικά δεδομένα των υποκειμένων των δεδομένων για άλλους σκοπούς, διαφορετικούς από αυτούς που συλλέχθηκαν και δεν θα τα δημοσιοποιήσει/κοινοποιήσει σε τρίτους χωρίς νόμιμη βάση επεξεργασίας σύμφωνα με τον ΓΚΠΔ.

Διάρκεια Τήρησης Δεδομένων

Τα δεδομένα προσωπικού χαρακτήρα τηρούνται για όσο χρόνο καθορίζει η σχετική νομοθεσία, σύμφωνα με την ειδικότερη ενημέρωση που παρέχεται ξεχωριστά σε κάθε κατηγορία υποκειμένου δεδομένων.

Ειδικότερα για τους ασθενείς, ο χρόνος τήρησης των προσωπικών δεδομένων τους είναι 10 έτη, σύμφωνα με την υποχρέωση που επιβάλλει η ισχύουσα νομοθεσία, εκτός εάν βρίσκονται σε εξέλιξη δικαστικές ενέργειες, οπότε ο χρόνος τήρησης τους παρατείνεται μέχρι την έκδοση αμετάκλητης δικαστικής απόφασης.

Μετά τη χρονική περίοδο τήρησής τους, η Ιατρός φροντίζει ώστε τα προσωπικά δεδομένα να καταστρέφονται με ασφαλή τρόπο.

Θεμελιώδη δικαιώματα υποκειμένων των δεδομένων

Σε συμμόρφωση με τον ΓΚΠΔ, κάθε υποκείμενο δεδομένων έχει τα ακόλουθα δικαιώματα σχετικά με τα δεδομένα προσωπικού χαρακτήρα του:

• Δικαίωμα ενημέρωσης: Η Ιατρός έχει την υποχρέωση να ενημερώσει το υποκείμενο των δεδομένων προσωπικού χαρακτήρα με τρόπο κατανοητό για τα στοιχεία επικοινωνίας που συλλέγει, για το σκοπό της επεξεργασίας των δεδομένων του και τη νομική βάση για την επεξεργασία τους, για τους αποδέκτες ή τις κατηγορίες αποδεκτών των προσωπικών δεδομένων του, για το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα του, για τα δικαιώματα πρόσβασης, διόρθωσης, διαγραφής, φορητότητας, περιορισμού της επεξεργασίας των προσωπικών δεδομένων και καταγγελίας στην εποπτική αρχή, για τον υποχρεωτικό ή μη υποχρεωτικό χαρακτήρα της χορήγησης των δεδομένων, καθώς και για τις ενδεχόμενες συνέπειες σε περίπτωση μη χορήγησης τους. Σε περίπτωση που η Ιατρός προτίθεται να διαβιβάσει δεδομένα του υποκειμένου των δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό, οφείλει να ενημερώνει το υποκείμενο σχετικά. Σε περίπτωση που τα δεδομένα δεν χορηγούνται από το υποκείμενο των δεδομένων, η Ιατρός οφείλει να ενημερώνει για την πηγή προέλευσης των δεδομένων της.
• Δικαίωμα πρόσβασης:  Η Ιατρός έχει την υποχρέωση να επιβεβαιώνει στο υποκείμενο των δεδομένων ότι προβαίνει στην επεξεργασία των προσωπικών του δεδομένων και να του παρέχει αντίγραφο των δεδομένων του που υποβάλλονται σε επεξεργασία όταν το υποκείμενο των δεδομένων ασκεί το δικαίωμα πρόσβασης.
• Δικαίωμα διόρθωσης: Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από την Ιατρό τη διόρθωση ανακριβών δεδομένων που το αφορούν, σύμφωνα με τον ΓΚΠΔ.
• Δικαίωμα διαγραφής: Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει την διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν, υπό τους περιορισμούς που προβλέπει ο ΓΚΠΔ.
• Δικαίωμα περιορισμού της επεξεργασίας: Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τον περιορισμό της επεξεργασίας των δεδομένων του υπό τις προϋποθέσεις που προβλέπονται από τον ΓΚΠΔ.
• Δικαίωμα φορητότητας των δεδομένων:  Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει την φορητότητα των δεδομένων του στις περιπτώσεις που αυτό προβλέπεται από τον ΓΚΠΔ.
• Δικαίωμα εναντίωσης: Το υποκείμενο των δεδομένων έχει το δικαίωμα να αντιτάσσεται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν υπό τις προϋποθέσεις που ρυθμίζονται στον ΓΚΠΔ.

Τα υποκείμενα των δεδομένων μπορούν να ασκήσουν τα ανωτέρω δικαιώματά τους με την έγγραφη υποβολή αιτήματος στην ηλεκτρονική διεύθυνση katechristidi@gmail.com. Κάθε αίτημα που υποβάλλεται θα πρέπει να συνοδεύεται από τα στοιχεία ταυτοποίησης του υποκειμένου των δεδομένων και να περιέχει τις απαραίτητες πληροφορίες. H Ιατρός δύναται να ζητά την παροχή πρόσθετων μεθόδων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.

Σε κάθε περίπτωση, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να απευθύνονται στην αρμόδια Αρχή για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ, www.dpa.gr).

H Ιατρός θα καταβάλλει κάθε δυνατή προσπάθεια ώστε τα αιτήματα να απαντώνται χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή τους. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο (2) ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων.

Ασφάλεια Δεδομένων Προσωπικού Χαρακτήρα

H Ιατρός καταβάλλει κάθε δυνατή προσπάθεια για την προστασία των προσωπικών δεδομένων των υποκειμένων των δεδομένων τα οποία επεξεργάζεται, τόσο ως προς την εμπιστευτικότητα/ εχεμύθεια των πληροφοριών, όσο και ως προς την ακεραιότητά τους (να μην αλλοιωθούν, να μην καταστραφούν κατά λάθος κ.λπ.).

Γενικά, η Ιατρός, ως υπεύθυνη επεξεργασίας δεδομένων προσωπικού χαρακτήρα εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να διασφαλίζει το κατάλληλο επίπεδο ασφάλειας για τα δεδομένα προσωπικού χαρακτήρα. Η Ιατρός, στις περιπτώσεις που θεωρεί ότι είναι κατάλληλα και αποτελεσματικά εφαρμόζει τα τεχνικά και οργανωτικά μέτρα της ψευδωνυμοποίησης και της κρυπτογράφησης.

Η πρόσβαση στα προσωπικά δεδομένα των υποκειμένων των δεδομένων περιορίζεται μόνο στο προσωπικό της Ιατρού που είναι αναγκαίο να έχει πρόσβαση για την εξυπηρέτηση του σκοπού της συγκεκριμένης επεξεργασίας. Το προσωπικό της Ιατρού  δεσμεύεται έναντί τους για την τήρηση εμπιστευτικότητας και ιατρικού απορρήτου για οποιοδήποτε στοιχείο υποπίπτει στην αντίληψή του ή του αποκαλύπτει ο ασθενής ή τρίτοι (συγγενείς, συνοδοί, επισκέπτες, ιατροί, λοιποί συνεργάτες κλπ).

Η διαχείριση των ευαίσθητων προσωπικών δεδομένων των υποκειμένων των δεδομένων (ιδίως των δεδομένων υγείας των ασθενών) γίνεται με πολύ μεγάλη προσοχή και διακριτικότητα. Ειδικότερα, έχουν επισημανθεί στο προσωπικό της Ιατρού τα ακόλουθα:

• Ο χειρισμός των προσωπικών δεδομένων των ασθενών πρέπει να γίνεται με απόλυτη διακριτικότητα.
• Όταν προσέρχεται ο ασθενής είτε για να λάβει ιατρικές υπηρεσίες είτε για να παραλάβει εξετάσεις ή αντίγραφα του ιατρικού του φακέλου, πρέπει να γίνεται πάντα ταυτοποίησή του.
• Τα δεδομένα υγείας του ασθενή παραδίδονται μόνο στον ασθενή προσωπικά ή σε επαρκώς εξουσιοδοτημένο από τον ασθενή τρίτο πρόσωπο, το οποίο θα παραλαμβάνει τα δεδομένα του ασθενή μόνο μετά την ταυτοποίησή του.
• Το προσωπικό πρέπει να είναι πολύ προσεκτικό όταν χειρίζεται έγγραφα που περιέχουν δεδομένα ασθενών: αυτά δεν πρέπει να μένουν ποτέ εκτεθειμένα και πρέπει να παραδίδονται μόνο στα εξουσιοδοτημένα άτομα.
• Το προσωπικό πρέπει να είναι πολύ προσεκτικό όταν χειρίζεται ηλεκτρονικό υπολογιστή – όταν απομακρύνεται από το ηλεκτρονικό υπολογιστή, θα πρέπει να  φροντίζει να τον κλειδώνει. 
• Οι κωδικοί πρόσβασης στον υπολογιστή είναι αυστηρώς προσωπικοί και το προσωπικό δε πρέπει να τους μοιράζεται με κανέναν.
• Όταν το προσωπικό αντιληφθεί ότι κάποιος τρίτος έχει αποκτήσει πρόσβαση χωρίς εξουσιοδότηση σε δεδομένα ασθενή θα πρέπει να ενημερώνει τον προϊστάμενο του τμήματος και την Υπεύθυνη Προστασίας Δεδομένων.
• Όταν το προσωπικό έχει κάποια αμφιβολία για την ορθή διαχείριση των προσωπικών δεδομένων των ασθενών θα πρέπει να ενημερώνει τον προϊστάμενο του τμήματος, ο οποίος είναι αρμόδιος είτε θα δίνει τις ορθές κατευθύνσεις ο ίδιος είτε θα απευθύνεται στην Υπεύθυνη Προστασίας Δεδομένων.

Όλο το προσωπικό της Ιατρού είναι ενήμερο ότι η υποχρέωση τήρησης και διαφύλαξης του ιατρικού απορρήτου και η προστασία των προσωπικών δεδομένων αφορά το σύνολο του προσωπικού, ανεξαρτήτως θέσης, ειδικότητας και ιεραρχικής βαθμίδας.