Το Γενικό Νοσοκομείο - Κέντρο Υγείας Καλύμνου "ΤΟ ΒΟΥΒΑΛΕΙΟ" (εφεξής το «Νοσοκομείο»), ως υπεύθυνος επεξεργασίας προσωπικών δεδομένων, αναγνωρίζει τη σημασία των προσωπικών δεδομένων σας, τα οποία συλλέγει και επεξεργάζεται στο πλαίσιο της δραστηριότητάς του, αναλαμβάνει τη δέσμευση να διαφυλάξει την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα τους και έχει λάβει όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα, όπως ορίζονται από το Γενικό Κανονισμό Προσωπικών Δεδομένων (εφεξής ΓΚΠΔ) 2016/679/ΕΚ, προς τον σκοπό αυτό.
Στην παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων γίνεται αναφορά στο νομικό πλαίσιο σύμφωνα με το οποίο πραγματοποιείται η συλλογή και επεξεργασία των δεδομένων σας, στις κατηγορίες των δεδομένων που συλλέγουμε και επεξεργαζόμαστε, τη διαδικασία και τον σκοπό συλλογής τους, το νόμιμο χρόνο τήρησής τους, καθώς και τις περιπτώσεις διαβίβασης των δεδομένων σας σε τρίτους. Επίσης, γίνεται αναφορά στα δικαιώματά σας, σε σχέση με τα προσωπικά δεδομένα σας, και τον τρόπο άσκησής τους.
Το Νοσοκομείο έχει δικαίωμα να τροποποιεί την παρούσα Πολιτική, όποτε κρίνει αυτό αναγκαίο και επιβεβλημένο, η δε τροποποιημένη Πολιτική θα αναρτάται δημόσια στον Ιστότοπο του Νοσοκομείου https://kalymnos-hospital.gov.gr/ και στα σημεία υποδοχής του Νοσοκομείου.
Στο Νοσοκομείο έχει ορισθεί Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer), η δικηγόρος, κα Αγγέλα Ν. Καρακατσάνη, με την οποία μπορείτε να έρθετε σε άμεση επικοινωνία για οποιοδήποτε σχετικό θέμα στην ηλεκτρονική διεύθυνση dpo@kalymnoshospital.gov.gr.
Ορισμοί
Για τους σκοπούς της παρούσας Πολιτικής:
«Δεδομένα προσωπικού χαρακτήρα»
Σύμφωνα με το αρ. 4 του ΓΚΠΔ, «δεδομένα προσωπικού χαρακτήρα» αποτελεί κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό (online) αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
«Υποκείμενο δεδομένων»
Το φυσικό πρόσωπο στο οποίο αφορούν τα προσωπικά δεδομένα.
«Ειδικές κατηγορίες προσωπικών δεδομένων»
Πρόκειται για δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τις πολιτικές απόψεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή την ιδιότητα μέλους συνδικαλιστικών οργανώσεων και την επεξεργασία γενετικών δεδομένων, βιομετρικά δεδομένα με σκοπό τη μοναδική αναγνώριση φυσικού προσώπου, δεδομένα σχετικά με την υγεία ή δεδομένα που αφορούν την σεξουαλική ζωή ενός φυσικού προσώπου ή τον γενετήσιο προσανατολισμό. Πρόκειται για ιδιαίτερα ευαίσθητα προσωπικά δεδομένα που χρήζουν ειδικής προστασίας, καθ’ ότι το πλαίσιο επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και ελευθερίες.
«Δεδομένα που αφορούν την υγεία»
Δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.
«Γενετικά δεδομένα»
Τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του.
«Βιομετρικά δεδομένα»
Τα δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα.
«Επεξεργασία»
Κάθε πράξη που πραγματοποιείται, με ή χωρίς χρήση αυτοματοποιημένων μέσων, σε προσωπικά δεδομένα ή σύνολα προσωπικών δεδομένων, όπως η συλλογή, η καταχώρηση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή, η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση, η συσχέτιση, ο περιορισμός, η διαγραφή ή η καταστροφή.
«Υπεύθυνος επεξεργασίας»
Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
«Εκτελών την επεξεργασία»
Εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
«Αποδέκτης»
Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον, είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν τα δεδομένα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους, δε θεωρούνται αποδέκτες. Η επεξεργασία των δεδομένων από τις δημόσιες αρχές αυτές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.
«Συγκατάθεση»
Κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και με πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
«Παραβίαση δεδομένων προσωπικού χαρακτήρα»
Παραβίαση ασφαλείας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση προσωπικών δεδομένων που διαβιβάστηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
Υπεύθυνος Προστασίας Δεδομένων (DPO)
O Υπεύθυνος Προστασίας Δεδομένων (DPO) μεριμνά, με ανεξάρτητο τρόπο, για την παρακολούθηση της συμμόρφωσης του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του ΓΚΠΔ και μεσολαβεί μεταξύ των διαφόρων ενδιαφερομένων (π.χ. εποπτικές αρχές, υποκείμενα των δεδομένων). Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός) και δεν φέρει προσωπική ευθύνη για τη μη συμμόρφωση με τον Κανονισμό.
Νομικό Πλαίσιο Προστασίας Προσωπικών Δεδομένων
Το Νοσοκομείο συλλέγει και επεξεργάζεται τα προσωπικά δεδομένα σας σύμφωνα με την παρούσα Πολιτική σχετικά με την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα και σε συμμόρφωση με τον ΓΚΠΔ και την ισχύουσα νομοθεσία περί προστασίας δεδομένων (Ν. 4624/2019). Ακόμη, προβαίνει στην επεξεργασία αυτή σύμφωνα με το εκάστοτε ισχύον νομοθετικό πλαίσιο για την παροχή υπηρεσιών υγείας, καθώς και τον Κώδικα Ιατρικής Δεοντολογίας (Ν. 3418/2005). Τέλος, το Νοσοκομείο επεξεργάζεται τα προσωπικά δεδομένα των ασθενών του σύμφωνα με τις συγκαταθέσεις που λαμβάνει από αυτούς, όποτε αυτό κρίνεται απαραίτητο.
Αρχές που Διέπουν την Επεξεργασία των Δεδομένων
Το Νοσοκομείο ως Υπεύθυνος Επεξεργασίας τηρεί τις κάτωθι θεμελιώδεις αρχές κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
- Αρχή νομιμότητας, αντικειμενικότητας και διαφάνειας: Τα δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.
- Αρχή περιορισμού του σκοπού: Τα δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς, στο πλαίσιο λειτουργίας του Νοσοκομείου, και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.
- Αρχή ελαχιστοποίησης των δεδομένων: Τα δεδομένα είναι κατάλληλα, συναφή και αναγκαία για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
- Αρχή ακρίβειας: Τα δεδομένα είναι ακριβή και όταν είναι αναγκαίο επικαιροποιούνται και λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα, τα οποία είναι ανακριβή σε σχέση με τους σκοπούς της επεξεργασίας.
- Αρχή περιορισμού περιόδου αποθήκευσης: Τα δεδομένα διατηρούνται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας, σύμφωνα με την ισχύουσα νομοθεσία.
Αρχή ακεραιότητας και εμπιστευτικότητας: Τα δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων.
Τρόποι Συλλογής Προσωπικών Δεδομένων
Τα προσωπικά δεδομένα που επεξεργάζεται το Νοσοκομείο δύναται να λαμβάνονται απευθείας από τα υποκείμενα για την παροχή ιατρικών υπηρεσιών:
α. Προφορικά, κατά την άφιξή σας στα σημεία υποδοχής και εξυπηρέτησης του Νοσοκομείου, όπως είναι, για παράδειγμα, η Γραμματεία Εξωτερικών Ιατρείων, το Τμήμα Επειγόντων Περιστατικών, το Τμήμα Κίνησης Ασθενών.
β. Τηλεφωνικά, κατά τον προγραμματισμό επίσκεψης ή εξέτασης στο Νοσοκομείο.
γ. Κατά την επίσκεψη, την εξέταση ή τη νοσηλεία σας, όταν το Νοσοκομείο συλλέγει από εσάς προσωπικά δεδομένα που θα αποτελέσουν μέρος του ιατρικού σας φακέλου.
Επίσης, προσωπικά δεδομένα λαμβάνονται διαδικτυακά, κατά την επίσκεψη και την αλληλεπίδρασή σας στην ιστοσελίδα του Νοσοκομείου, με τη χρήση cookies, και κατά την επικοινωνία σας μέσω της ειδικής φόρμας που υφίσταται στην ιστοσελίδα του Νοσοκομείου ή μέσω μηνύματος ηλεκτρονικού ταχυδρομείου που μας στέλνετε.
Ακόμη, προσωπικά δεδομένα δύναται να λαμβάνονται από άτομα που σας συνοδεύουν ή ενεργούν νομίμως για λογαριασμό σας, όπως για παράδειγμα στην περίπτωση ανήλικου ασθενούς ή δικαστικής συμπαράστασης.
Τέλος, προσωπικά δεδομένα συλλέγονται από στοιχεία που μας δίνετε κατά τη συμμετοχή σας σε ενημερωτικές ή εκπαιδευτικές εκδηλώσεις του Νοσοκομείου ή σε διάφορες δραστηριότητες σχετικές με τη δημόσια υγεία (π.χ. αιμοδοσία) ή κατά τη σύναψη, εξέλιξη και λύση της μεταξύ μας συμβατικής σχέσης.
Κατηγορίες Προσωπικών Δεδομένων που Συλλέγονται
Το Νοσοκομείο συλλέγει προσωπικά δεδομένα κυρίως των ωφελουμένων των εκ του νόμου παρεχόμενων υπηρεσιών του, ήτοι ασθενών (νοσηλευόμενων ή εξεταζόμενων) ενηλίκων και ανηλίκων, αλλά και αιμοδοτών, εργαζομένων, συνεργατών, προμηθευτών, εργολάβων.
Ενδεικτικά, συλλέγει:
α. Στοιχεία επικοινωνίας: όνομα/επώνυμο, οικογενειακή κατάσταση, διεύθυνση κατοικίας, προσωπικό e-mail, τηλέφωνο οικίας, κινητό τηλέφωνο, τηλέφωνο εργασίας, όνομα/επώνυμο και στοιχεία επικοινωνίας των συνοδών ή/και των οικείων σας.
β. Δημογραφικά στοιχεία και στοιχεία ταυτότητας: ημερομηνία γέννησης, αριθμός δελτίου ταυτότητας, αριθμός διαβατηρίου, Α.Φ.Μ., Α.Μ.Κ.Α., κλπ. στοιχεία του οικονομικά υπόχρεου της δαπάνης για την νοσηλεία σας, στοιχεία ασφάλισης, στην περίπτωση που κάνετε χρήση ασφαλιστηρίου συμβολαίου υγείας από ιδιωτική ασφαλιστική εταιρία.
γ. Προσωπικά Δεδομένα ειδικής κατηγορίας: ιατρικές πληροφορίες υγείας όπως στοιχεία χειρουργικών επεμβάσεων, προηγούμενη υγειονομική περίθαλψη, ιατρικό ιστορικό, αποτελέσματα εξετάσεων κλπ.
δ. Στοιχεία αναφορικά με τη διεκπεραίωση οικονομικών συναλλαγών, όπως αριθμός πιστωτικής – χρεωστικής κάρτας, αριθμός τραπεζικού λογαριασμού.
Το Νοσοκομείο δεν συλλέγει προσωπικά δεδομένα ειδικών κατηγοριών, πέραν των δεδομένων υγείας κατά την παροχή υγειονομικής φροντίδας που αναφέρονται στην παρούσα, όπως προσωπικά δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό κ.λπ., τα οποία λαμβάνουν επιπλέον προστασία σύμφωνα με την ισχύουσα νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα.
Επίσης, το Νοσοκομείο συλλέγει και επεξεργάζεται μόνο τις πληροφορίες που απαιτούνται για την παροχή υπηρεσιών υγειονομικής περίθαλψης και την εκτέλεση των συμβατικών και νομικών του υποχρεώσεων, σύμφωνα με τα διεθνή πρότυπα, τον Κώδικα Ιατρικής Δεοντολογίας και εν γένει την ισχύουσα νομοθεσία, τηρώντας το απόρρητο και επιδεικνύοντας σεβασμό στην ιδιωτική ζωή. Δεν συλλέγει περιττά προσωπικά δεδομένα και δεν επεξεργάζεται προσωπικά δεδομένα με κανέναν τρόπο πέραν αυτού που αναφέρεται στην παρούσα.
Νομιμότητα Επεξεργασίας Προσωπικών Δεδομένων
Το Νοσοκομείο, στο πλαίσιο της λειτουργίας του, κατά την παροχή υπηρεσιών υγείας, καθώς και κατά την άσκηση των αρμοδιοτήτων των Διοικητικών – Οικονομικών Υπηρεσιών του και του Τμήματος Πληροφορικής, συλλέγει και επεξεργάζεται απλά και ευαίσθητα προσωπικά δεδομένα στηριζόμενο στις κάτωθι νομικές βάσεις:
Α. Η επεξεργασία των ευαίσθητων δεδομένων υγείας επιτρέπεται κατ’ εξαίρεση:
α. Για λόγους προληπτικής ιατρικής, για την εκτίμηση της ικανότητας προς εργασία του εργαζομένου, για ιατρική διάγνωση, για την παροχή υγείας ή κοινωνικής περίθαλψης ή για τη διαχείριση των συστημάτων και υπηρεσιών υγείας ή κοινωνικής περίθαλψης ή δυνάμει σύμβασης με επαγγελματία του τομέα υγείας ή άλλου προσώπου που δεσμεύεται από το επαγγελματικό απόρρητο ή είναι υπό την εποπτεία του.
β. Για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως σοβαρών διασυνοριακών απειλών κατά της υγείας ή για την εξασφάλιση υψηλών προδιαγραφών ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, τηρουμένων ιδίως των διατάξεων που εξασφαλίζουν το επαγγελματικό απόρρητο.
γ. Όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπεύθυνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.
δ. Όταν η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
ε. Όταν η επεξεργασία είναι απαραίτητη για τη λήψη ανθρωπιστικών μέτρων και στις περιπτώσεις αυτές το συμφέρον για την επεξεργασία είναι υπέρτερο του συμφέροντος του υποκειμένου των δεδομένων.
στ. Όταν η επεξεργασία είναι απαραίτητη για την προστασία ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί (στην περίπτωση ασθενών που προσέρχονται ή προσκομίζονται στο Τμήμα Επειγόντων Περιστατικών σε κατάσταση που απαιτεί άμεση ιατρική παρέμβαση και δεν είναι σε θέση να παρέχουν συγκατάθεση).
ζ. Όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση σκοπών αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπών επιστημονικής ή ιστορικής έρευνας ή στατιστικών σκοπών, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.
Επισημαίνεται, επιπρόσθετα, αναφορικά με την συγκατάθεση του υποκειμένου, ότι είναι απαραίτητη νομική βάση για τη σύννομη επεξεργασία δεδομένων στον τομέα της υγείας μόνον όταν αυτή απαιτείται ρητά από διάταξη νόμου, πχ. για τη συμμετοχή σε δραστηριότητες επιστημονικής έρευνας στο πλαίσιο κλινικών δοκιμών. Στις περιπτώσεις όπου απαιτείται ρητά η συγκατάθεση του υποκειμένου για την επεξεργασία ευαίσθητων δεδομένων του προσωπικού χαρακτήρα, αυτή πρέπει επιπλέον να είναι έγγραφη.
Β. Στις λοιπές περιπτώσεις επεξεργασίας απλών προσωπικών δεδομένων, η επεξεργασία είναι σύννομη όταν:
α. Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας.
β. Η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος.
γ. Η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων.
δ. Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας του υπεύθυνου επεξεργασίας.
ε. Η επεξεργασία είναι απαραίτητη για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας.
στ. Το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία για έναν ή περισσότερους συγκεκριμένους σκοπούς.
Σκοποί Συλλογής και Επεξεργασίας Προσωπικών Δεδομένων
Το Νοσοκομείο συλλέγει προσωπικά δεδομένα για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν τα υποβάλλει σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Τέτοιοι σκοποί μπορεί να είναι η παροχή ιατρικής και κοινωνικής περίθαλψης προς τους ασθενείς, η αξιολόγηση υποψηφίων προς πρόσληψη εργαζομένων, η σύναψη, η εκτέλεση ή ο τερματισμός σύμβασης εργασίας / συνεργασίας με εργαζομένους, η σύναψη σύμβασης με συνεργάτες / προμηθευτές / τρίτους και η συμμόρφωση του Νοσοκομείου με συμβατικές υποχρεώσεις, η εκπλήρωση των λογιστικών και φορολογικών υποχρεώσεων του Νοσοκομείου, η επικοινωνία του Νοσοκομείου με τους συναλλασσομένους μαζί του πολίτες και η επιστημονική έρευνα.
Χρόνος Διατήρησης Προσωπικών Δεδομένων
Το Νοσοκομείο διατηρεί τα προσωπικά δεδομένα μόνο για το διάστημα που απαιτείται για τους σκοπούς επεξεργασίας των δεδομένων. Μετά την πάροδο του χρόνου διατήρησης, τα προσωπικά δεδομένα διαγράφονται με εγκεκριμένες διαδικασίες καταστροφής. Ειδικότερα:
Κατά την παροχή ιατρικών υπηρεσιών, ο Κώδικας Ιατρικής Δεοντολογίας (Ν.3418/2005, ΦΕΚ Α 287/28.11.2005) στο άρθρο 14 παρ. 4 ορίζει ότι: «Η υποχρέωση διατήρησης των ιατρικών αρχείων ισχύει: α) στα ιδιωτικά ιατρεία και τις λοιπές μονάδες πρωτοβάθμιας φροντίδας υγείας του ιδιωτικού τομέα, για μία δεκαετία από την τελευταία επίσκεψη του ασθενή και β) σε κάθε άλλη περίπτωση, για μία εικοσαετία από την τελευταία επίσκεψη του ασθενή.».
Κατά την εκπλήρωση υποχρεώσεων φορολογικής, εργατικής ή κοινωνικοασφαλιστικής φύσης, το Νοσοκομείο διατηρεί τα προσωπικά δεδομένα για το χρονικό διάστημα που απαιτείται για την εκπλήρωση αυτών, σύμφωνα με την ισχύουσα νομοθεσία.
Διαβίβαση Προσωπικών Δεδομένων σε Τρίτους
Το Νοσοκομείο δεν κάνει χρήση, ούτε διαβιβάζει προσωπικά δεδομένα, χωρίς τη συγκατάθεση του υποκειμένου, για οποιονδήποτε άλλον σκοπό πέραν αυτών που αναφέρονται στην παρούσα ή όπου απαιτείται δια νόμου.
Το Νοσοκομείο διαβιβάζει υποχρεωτικώς τα προσωπικά δεδομένα σε δημόσιους κοινωνικοασφαλιστικούς φορείς και Ταμεία Ασφάλισης, χωρίς προηγούμενη ενημέρωση του υποκειμένου των δεδομένων. Το Νοσοκομείο, επίσης, διαβιβάζει προσωπικά δεδομένα στις αρμόδιες αστυνομικές, δικαστικές, διοικητικές, φορολογικές Αρχές, κατόπιν νόμιμου αιτήματός τους, χωρίς προηγούμενη ενημέρωση του υποκειμένου. Σε κάθε περίπτωση, για κάθε διαβίβαση προσωπικών δεδομένων σε τρίτον (π.χ. ασφαλιστική εταιρία) θα προηγείται έγγραφη ενημέρωση του υποκειμένου.
Ακόμη, το Νοσοκομείο είναι δυνατόν να διαβιβάσει τις ιατρικές εξετάσεις ασθενούς και τα αποτελέσματά τους σε άλλο νοσηλευτικό ίδρυμα για την εκ νέου αξιολόγηση («δεύτερη γνώμη»), με προηγούμενη ενημέρωση του υποκειμένου – ασθενούς για τους αποδέκτες των δεδομένων του.
Επίσης, τα δεδομένα αγορών και αναλώσεων φαρμάκων, απολύτως ανωνυμοποιημένα, δύνανται ενδεχομένως να χορηγηθούν από το Νοσοκομείο σε εταιρίες στατιστικής ανάλυσης και μελετών.
Τέλος, το Νοσοκομείο διατηρεί συνεργασία με επιλεγμένους συνεργάτες (εκτελούντες την επεξεργασία) για την παροχή ορισμένων υπηρεσιών (π.χ. προμηθευτές ιατροτεχνολογικού εξοπλισμού, εταιρίες παροχής λογιστικής υποστήριξης ή υποστήριξης πληροφοριακών συστημάτων), οι οποίοι επεξεργάζονται τα προσωπικά δεδομένα σύμφωνα με οδηγίες που λαμβάνουν από το Νοσοκομείο και συμμορφώνονται πλήρως με την παρούσα, τον ΓΚΠΔ και όλα τα μέτρα εμπιστευτικότητας και ασφάλειας του Νοσοκομείου, δεσμεύονται από ρήτρες εχεμύθειας και εμπιστευτικότητας που έχουν τεθεί από το Νοσοκομείο για την προστασία των προσωπικών δεδομένων και παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων.
Μέτρα Ασφαλείας και Προστασίας των Προσωπικών Δεδομένων
Το Νοσοκομείο εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφαλείας έναντι των κινδύνων που απορρέουν από την επεξεργασία προσωπικών δεδομένων, όπως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία. Τέτοια μέτρα, ενδεικτικά, είναι η ψευδωνυμοποίηση και η κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα, η διαμόρφωση πολιτικών ασφαλείας, η διασφάλιση της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, η δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, η τακτική αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας και η εκπαίδευση του προσωπικού.
Δικαιώματα Υποκείμενου Προσωπικών Δεδομένων
Τα δικαιώματά σας, σύμφωνα με την ισχύουσα νομοθεσία, σε σχέση με τα προσωπικά σας δεδομένα είναι τα εξής:
α. Δικαίωμα πληροφόρησης: Το υποκείμενο των δεδομένων έχει το δικαίωμα να λάβει πλήρη έγγραφη ενημέρωση από το Νοσοκομείο για το πώς αυτό επεξεργάζεται τα προσωπικά του δεδομένα, σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση.
β. Δικαίωμα πρόσβασης: Το υποκείμενο των δεδομένων έχει το δικαίωμα να λάβει γνώση από το Νοσοκομείο για το κατά πόσον ή όχι τα προσωπικά δεδομένα που το αφορούν υφίστανται επεξεργασία, καθώς και να λάβει αντίγραφα των προσωπικών δεδομένων του που υφίστανται επεξεργασία.
γ. Δικαίωμα διόρθωσης: Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από το Νοσοκομείο χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών προσωπικών δεδομένων που το αφορούν.
δ. Δικαίωμα διαγραφής: Στον τομέα της δημόσιας υγείας, όσον αφορά τα προσωπικά δεδομένα που αφορούν την υγεία, υφίσταται υποχρέωση διατήρησης των ιατρικών αρχείων, κατά τον Κώδικα Ιατρικής Δεοντολογίας (Ν.3418/2005, ΦΕΚ Α 287/28.11.2005), για μία εικοσαετία από την τελευταία επίσκεψη του ασθενούς. Γενικότερα, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από το Νοσοκομείο χωρίς αδικαιολόγητη καθυστέρηση τη διαγραφή των δεδομένων που το αφορούν εάν: i. τα προσωπικά του δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία, ii. το υποκείμενο ανακάλεσε τη συγκατάθεση επί της οποίας βασίσθηκε η επεξεργασία των προσωπικών δεδομένων και δεν υπάρχει άλλη νομική βάση για την επεξεργασία, iii. τα προσωπικά δεδομένα του υποβλήθηκαν σε επεξεργασία χωρίς την ύπαρξη της απαραίτητης νομικής βάσης, iv. προβλέπεται από το νόμο η υποχρέωση διαγραφής των προσωπικών δεδομένων του, v. έχουν συλλεγεί με τη προσφορά υπηρεσιών της κοινωνίας των πληροφοριών προσωπικά δεδομένα παιδιού, κατόπιν συγκατάθεσης του ή η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.
Το Νοσοκομείο δεν υποχρεούται να διαγράψει δεδομένα όταν νομική υποχρέωση επιβάλλει τη διατήρηση τους ή για λόγους δημοσίου συμφέροντος (π.χ. δημόσια υγεία, σκοποί επιστημονικής έρευνας).
ε. Δικαίωμα περιορισμού της επεξεργασίας: Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από το Νοσοκομείο τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα: i. το υποκείμενο αμφισβητεί την ακρίβεια των προσωπικών δεδομένων του και μέχρι να επαληθεύσει το Νοσοκομείο την ακρίβεια τους, ii. αντί της διαγραφής, το υποκείμενο ζητάει τον περιορισμό της επεξεργασίας των προσωπικών δεδομένων του, iii. το Νοσοκομείο δεν χρειάζεται πλέον τα προσωπικά δεδομένα σας για τους σκοπούς επεξεργασίας, αλλά τα προσωπικά δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων.
στ. Δικαίωμα εναντίωσης: Το υποκείμενο των δεδομένων έχει το δικαίωμα να αντιταχθεί, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των προσωπικών δεδομένων που το αφορούν, εκτός αν το Νοσοκομείο καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία που υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
ζ. Δικαίωμα φορητότητας: Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα προσωπικά δεδομένα που το αφορούν από το Νοσοκομείο και να τα διαβιβάζει σε άλλον υπεύθυνο επεξεργασίας ή να ζητήσει την απευθείας διαβίβαση σε ηλεκτρονική μορφή συγκεκριμένων δεδομένων από το Νοσοκομείο σε άλλον υπεύθυνο επεξεργασίας.
η. Δικαίωμα ανάκλησης της συγκατάθεσης: Το υποκείμενο των δεδομένων δικαιούται ανά πάσα στιγμή να ανακαλέσει τη συγκατάθεση που έδωσε για την επεξεργασία των προσωπικών του δεδομένων.
Τα ανωτέρω δικαιώματα δύναται να περιορίζονται κατά περίπτωση από διατάξεις της εθνικής νομοθεσίας ή διατάξεις υπερνομοθετικής ισχύος.
Προκειμένου να ασκήσετε τα δικαιώματά σας, μπορείτε, είτε να ταχυδρομήσετε το γραπτό αίτημά σας στη διεύθυνση του Νοσοκομείου, είτε να αποστείλετε e-mail στην ηλεκτρονική του διεύθυνση.
Μπορείτε να υποβάλλετε ένα αίτημα δωρεάν, ωστόσο, ανάλογα με τις προσωπικές πληροφορίες που ζητάτε, το Νοσοκομείο ενδέχεται να χρεώσει ένα ποσό προκειμένου να καλύψει το κόστος της παροχής των λεπτομερειών για τις πληροφορίες που διαθέτει. Το Νοσοκομείο θα σας ενημερώνει για το ενδεχόμενο τέτοιων χρεώσεων με τη λήψη του αιτήματός σας και θα αναμένει την επιβεβαίωσή σας για τη συνέχιση της διαδικασίας και την καταβολή του αναφερόμενου ποσού.
Το Νοσοκομείο, αφού προβεί στην ταυτοποίηση σας και ελέγξει τα νομιμοποιητικά σας έγγραφα, θα απαντήσει σε σχετικά με τα ανωτέρω δικαιώματα γραπτά αιτήματά σας εντός μηνός από την παραλαβή τους. Η εν λόγω προθεσμία μπορεί να παραταθεί για ακόμη δύο μήνες, λαμβανομένης υπόψιν της πολυπλοκότητας του αιτήματος. Το Νοσοκομείο θα σας ενημερώσει για την παράταση αυτή εντός μηνός από την υποβολή του αιτήματος.
Εάν δεν είστε ικανοποιημένοι με τον τρόπο επεξεργασίας των δεδομένων σας, μπορείτε να υποβάλετε σχετική καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) (Λ. Κηφισίας 1-3, Τ.Κ. 11523, Αθήνα, τηλ.: +30 2106475600, email: contact@dpa.gr). Ωστόσο, προτού προβείτε σε καταγγελία ενώπιον της ΑΠΔΠΧ, θα χαιρόμασταν ιδιαίτερα, αν μας δίνατε την ευκαιρία να επιλύσουμε εσωτερικά οποιοδήποτε παράπονό σας το συντομότερο δυνατό.