Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Το Ελληνικό Ίδρυμα Υγείας (ΕΙΥ), έχει υιοθετήσει Πολιτική προστασίας προσωπικών δεδομένων και αναγνώρισης των δικαιωμάτων των υποκειμένων, η οποία είναι απόλυτα συμβατή με τα οριζόμενα στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) / General Data Protection Regulation - GDPR), ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου 2018.
Υπεύθυνος επεξεργασίας
Υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι το Ελληνικό Ίδρυμα Υγείας (ΕΙΥ), μη κερδοσκοπικός οργανισμός με έδρα την Αθήνα.
Υπεύθυνος Προστασίας Δεδομένων
Το ΕΙΥ έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων. Τα υποκείμενα των δεδομένων τα οποία θέλουν να ασκήσουν τα δικαιώματα τους ή να υποβάλλουν ερωτήματα ή να ζητήσουν διευκρινήσεις σχετικά με την προστασία προσωπικών δεδομένων που τα αφορούν, μπορούν να επικοινωνήσουν μέσω e-mail στη διεύθυνση:
Σκοπός επεξεργασίας
Το Ελληνικό Ίδρυμα Υγείας (ΕΙΥ) επικεντρώνεται στην έρευνα και την ενημέρωση του κοινού για σημαντικά θέματα υγείας μέσω συντονισμού ή συμμετοχής σε ερευνητικά προγράμματα. Ακολούθως παρατίθενται τα προσωπικά δεδομένα και τα ευαίσθητα προσωπικά δεδομένα τα οποία συλλέγονται και επεξεργάζονται από το ΕΙΥ σύμφωνα με τον ΓΚΠΔ και για τους σκοπούς:
α) αξιολόγησης, πρόσληψης συνεργατών, πληρωμές. Στο πλαίσιο αυτό συλλέγονται και τηρούνται τα κάτωθι προσωπικά δεδομένα: Ονοματεπώνυμο, ονόματα γονέων, διεύθυνση κατοικίας, διεύθυνση εργασίας, φύλο, τηλέφωνα επικοινωνίας, ημερομηνία γέννησης, στοιχεία ηλεκτρονικής επικοινωνίας, ΑΔΤ, οικογενειακή κατάσταση, ΑΦΜ, φωτογραφικό υλικό, εκπαίδευση, προϋπηρεσία, αποδεικτικά εκπαίδευσης και κατάρτισης, μισθολογικά δεδομένα, δεδομένα κοινωνικής ασφάλισης, φορολογικά στοιχεία, τραπεζικά δεδομένα, δεδομένα πρόσληψης, ιστορικό εργασίας, ποινικό μητρώο, περιγραφή εργασίας, στο πλαίσιο της συνεργασίας τους με το ΕΙΥ για λόγους σύναψης σύμβασης καθώς και για φορολογικούς σκοπούς.
β) κατάρτισης συμβάσεων προμηθειών/υπηρεσιών. Τα δεδομένα που συλλέγονται και επεξεργάζονται είναι: όνομα, θέση, και στοιχεία επικοινωνίας (διεύθυνση ηλεκτρονικού ταχυδρομείου, αριθμός τηλεφώνου, αριθμός κινητού τηλεφώνου, αριθμός φαξ, ταχυδρομική διεύθυνση, χώρα διαμονής, διεύθυνση διαδικτύου), τραπεζικές πληροφορίες, ΑΦΜ, εμπειρογνωμοσύνη, τεχνικές δεξιότητες, στο πλαίσιο της συνεργασίας τους με το ΕΙΥ για λόγους σύναψης σύμβασης καθώς και για φορολογικούς σκοπούς.
γ) εθελοντικής συμμετοχής των υποκειμένων δεδομένων σε ερευνητικά προγράμματα του ΕΙΥ. Στο πλαίσιο των ερευνητικών προγραμμάτων του ΕΙΥ συλλέγονται προσωπικά δεδομένα καθώς και ευαίσθητα προσωπικά δεδομένα εθελοντών, οι οποίοι με ρητή και έγγραφη συγκατάθεση τους συναινούν να συμμετάσχουν στα ερευνητικά προγράμματα του ΕΙΥ.
Η συλλογή και επεξεργασία δεδομένων γίνεται αποκλειστικά για ερευνητικούς σκοπούς:
i) προσωπικές πληροφορίες εθελοντών: ονοματεπώνυμο, ηλικία, φύλο, ημερομηνία γέννησης, τόπος κατοικίας, στοιχεία επικοινωνίας, διεύθυνση και τηλέφωνο εργασίας, οικογενειακή κατάσταση, εκπαίδευση, εργασιακή κατάσταση, υπηκοότητα, δεδομένα που αφορούν το θρήσκευμα και την εθνική προέλευση των υποκειμένων
ii) δεδομένα υγείας: ασθένειες των υποκειμένων, φαρμακευτική αγωγή, φυσική δραστηριότητα, ιστορικό νοσηλείας των υποκειμένων, αιματολογικές εξετάσεις, μέτρηση πίεσης και καρδιακών παλμών, λιπομέτρηση, εξέταση ούρων 24ώρου, ερωτηματολόγια διανοητικής κατάστασης ηλικιωμένων, σωματομετρικά δεδομένα (ύψος, καθιστό ύψος, βάρος, μέτρηση περιφέρειας και μέσης)
iii) διατροφικά δεδομένα: ερωτηματολόγιο συχνότητας κατανάλωσης τροφίμων και ποτών
iv) γενετικά δεδομένα: αναλύσεις αίματος
v) κοινωνικο-δημογραφικά δεδομένα: τόπος κατοικίας, δήμος, περιφέρεια, περιφερειακή ενότητα
Τρόπος Συλλογής των Προσωπικών Δεδομένων
Το ΕΙΥ συλλέγει προσωπικά δεδομένα μέσω:
α) άμεσης επαφής, ηλεκτρονικά ή ταχυδρομικά όσον αφορά δεδομένα σχετικά με την απασχόληση του προσωπικού και τις συμβάσεις προμηθειών/υπηρεσιών
β) ρητής και έγγραφης συγκατάθεσης, κατόπιν ενημέρωσης των εθελοντών, οι οποίοι συναινούν να συμμετάσχουν στα ερευνητικά προγράμματα του ΕΙΥ.
Αποθήκευση δεδομένων
α) Οι φάκελοι προσωπικού διατηρούνται για είκοσι χρόνια μετά την λήξη της σύμβασης μίσθωσης έργου (39 παρ. 9 του Ν. 4387/2016) ή της σύμβασης εργασίας ορισμένου ή αορίστου χρόνου.
Τα στοιχεία που αφορούν υποψήφιους συνεργάτες και διαδικασίες πρόσληψης τηρούνται για είκοσι χρόνια μετά την ολοκλήρωση της διαδικασίας επιλογής.
Μετά το πέρας των ως άνω περιόδων διατήρησης, αυτοί καταστρέφονται/διαγράφονται και συντάσσεται σχετικό πρωτόκολλο περί της καταστροφής/διαγραφής.
β) Οι φάκελοι συμβάσεων προμηθειών/υπηρεσιών στους οποίους περιλαμβάνονται τα δεδομένα προσωπικού χαρακτήρα διατηρούνται στα αρχεία για περίοδο είκοσι ετών από την υπογραφή της σύμβασης. Ο σκοπός διατήρησης είναι η αναγκαιότητα των φακέλων για τυχόν διενέργεια ελέγχων.
Τα δεδομένα των υποψηφίων αναδόχων με τους οποίους δεν έχει υπογραφεί σύμβαση, πρέπει να φυλάσσονται για είκοσι έτη μετά την υπογραφή της εν λόγω σύμβασης.
Μετά το πέρας των ως άνω περιόδων διατήρησης, αυτοί καταστρέφονται/διαγράφονται και συντάσσεται σχετικό πρωτόκολλο περί της καταστροφής/διαγραφής.
Ο χρόνος διατήρησης των αρχείων δεν μπορεί να είναι μικρότερος από αυτόν που προβλέπεται από τις διατάξεις της φορολογικής νομοθεσίας, τις διατάξεις της νομοθεσίας των κοινωνικών ασφαλίσεων και τις διατάξεις λειτουργίας των Ιδρυμάτων που εποπτεύονται από τη διεύθυνση Κληροδοτημάτων του Υπουργείου Οικονομικών.
γ) Τα προσωπικά δεδομένα και τα ευαίσθητα προσωπικά δεδομένα των εθελοντών συμμετεχόντων σε ερευνητικά προγράμματα του ΕΙΥ, συλλέγονται και επεξεργάζονται αποκλειστικά για ερευνητικούς σκοπούς. Αποθηκεύονται για το χρονικό διάστημα που ορίζει το συμβατικό πλαίσιο των εκάστοτε ερευνητικών προγραμμάτων και για μεγαλύτερες χρονικές περιόδους, για σκοπούς ανάλυσης δεδομένων και διάδοσης των αποτελεσμάτων τους, όπως και σε περιπτώσεις προγραμμάτων διαχρονικής παρακολούθησης της υγείας των εθελοντών, κατά τα οποία οι ερευνητές επικοινωνούν με τα υποκείμενα ανά τακτά χρονικά διαστήματα, επομένως κρίνεται απαραίτητη η διαφύλαξη των προσωπικών δεδομένων σε βάθος χρόνου, με την προϋπόθεση, ότι για τη φύλαξη τους εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα.
Αποδέκτες Προσωπικών Δεδομένων
Το ΕΙΥ στο πλαίσιο των δραστηριοτήτων του διαβιβάζει προσωπικά δεδομένα προς τους ακόλουθους παραλήπτες:
α) όσον αφορά συμβάσεις συνεργατών και συμβάσεις προμηθειών/υπηρεσιών: ΕΦΚΑ, Τραπεζικά Ιδρύματα, Φορολογικές Αρχές, Υπουργείο Οικονομικών (Δ/νση Κληροδοτημάτων)
β) αποδέκτες των αποτελεσμάτων της επεξεργασίας των κρυπτογραφημένων δεδομένων είναι η αρμόδια Κοινοτική Αρχή ή/και η Ελληνική Δημόσια Αρχή βάση του ερευνητικού πρωτοκόλλου.
Προστασία δεδομένων
Για την αποφυγή της διαρροής ευαίσθητων πληροφοριών, το ΕΙΥ εφαρμόζει πολιτικές ασφάλειας σύμφωνες με τους σκοπούς της επεξεργασίας:
α) Η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα περιορίζεται μόνο σε ορισμένο αριθμό εξουσιοδοτημένων προσώπων τα οποία έχουν διαβαθμισμένη και περιορισμένη πρόσβαση, μόνο στα απαραίτητα για τους σκοπούς της επεξεργασίας δεδομένα
β) Οι συνεργάτες του ΕΙΥ δεσμεύονται με συμβάσεις εμπιστευτικότητας.
γ) Τα δεδομένα σε έντυπη μορφή κλειδώνονται σε ερμάρια/δωμάτια όπου έχουν πρόσβαση μόνο εξουσιοδοτημένα πρόσωπα
δ) Τα δεδομένα προσωπικού χαρακτήρα σε ηλεκτρονική μορφή κρυπτογραφούνται μετά την ολοκλήρωση της καταχώρησης τους
ε), έχουν ληφθεί τα κατάλληλα μέτρα ασφαλείας κατά της μη εξουσιοδοτημένης πρόσβασης, τροποποίησης, αποκάλυψης ή καταστροφής προσωπικών δεδομένων και προστατευτικά μέτρα κατά της τυχαίας απώλειας ή καταστροφής προσωπικών δεδομένων.
Δικαιώματα υποκειμένων των δεδομένων
Τα υποκείμενα των δεδομένων μπορούν να επικαλεσθούν κατόπιν αιτήματος την άσκηση των δικαιωμάτων τους, όπως απορρέουν από τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων της ΕΕ 2016/679 (ΓΚΠΔ). Για την άσκηση των δικαιωμάτων τους επικοινωνούν με τον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων του ΕΙΥ.
Συγκεκριμένα τα υποκείμενα: δικαιούνται: (α) να ζητήσουν πρόσβαση στα προσωπικά τους δεδομένα (β) να ζητήσουν διόρθωση των προσωπικών δεδομένων, βάσει του οποίου το ΕΙΥ θα διορθώνει τα ελλιπή ή ανακριβή δεδομένα μετά από έλεγχο της ακρίβειας των νέων δεδομένων (γ) να ζητήσουν διαγραφή των προσωπικών σας δεδομένων, βάσει του οποίου έχουν το δικαίωμα να ζητούν από το ΕΙΥ να διαγράφει ή αφαιρεί προσωπικά δεδομένα, Το ΕΙΥ επιφυλάσσεται να μην διαγράφει τα κρίσιμα δεδομένα, εφόσον συντρέχουν συγκεκριμένοι νομικοί λόγοι, για τους οποίους θα ενημερώνει τα υποκείμενα κατά τον χρόνο υποβολής των αιτημάτων τους ή σε εύλογο χρόνο μετά από την υποβολή τέτοιου αιτήματος (δ) να εναντιωθούν στην επεξεργασία των προσωπικών δεδομένων, εκτός εάν το ΕΙΥ αποδεικνύει την ύπαρξη νόμιμων λόγων επεξεργασίας προσωπικών δεδομένων, οι οποίοι υπερέχουν των δικαιωμάτων και ελευθεριών των υποκειμένων (ε) να ζητούν περιορισμό της επεξεργασίας των προσωπικών δεδομένων, (ς) να ζητήσουν διαβίβαση των προσωπικών δεδομένων προς τα ίδια τα υποκείμενα ή τρίτους . Το ΕΙΥ οφείλει να παράσχει τα δεδομένα σε δομημένο, κοινώς χρησιμοποιούμενο προοριζόμενο για ανάγνωση από μηχανή μορφότυπο (ζ) να ανακαλούν τη συναίνεση, όταν νομική βάση της επεξεργασίας είναι η συναίνεση του υποκειμένου των δεδομένων. Το δικαίωμα αυτό δεν επηρεάζει την νομιμότητα της επεξεργασίας που έχει λάβει χώρα προ της ανάκλησης και (η) να υποβάλλουν καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εάν θεωρούν μη νόμιμη την επεξεργασία των δεδομένων.
Πρόσβαση στα δεδομένα προσωπικού χαρακτήρα
Οι εξουσιοδοτημένοι συνεργάτες του ΕΙΥ έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα κατόπιν άδειας από τον υπεύθυνο επεξεργασίας. Χρονικό Όριο Απόκρισης σε αιτήματα
Το ΕΙΥ οφείλει να ανταποκριθεί σε διάστημα ενός (1) μηνός από την υποβολή αιτήματος υποκειμένου δεδομένων ή να ενημερώσει το υποκείμενο για την παράταση κατά δύο (2) μήνες των ενεργειών που πραγματοποιούνται κατόπιν αιτήματος του υποκειμένου, λόγω της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων.
Τροποποιήσεις της Πολιτικής Προστασίας Προσωπικών Δεδομένων
Το ΕΙΥ διατηρεί το δικαίωμα να επικαιροποιεί ή να τροποποιεί την παρούσα Πολιτική Προστασίας Προσωπικών Δεδομένων. Τυχόν τροποποιήσεις θα αναρτώνται στον ιστότοπο του ΕΙΥ.
Iστότοπος του ΕΙΥ
Κατά την πλοήγηση στον ιστότοπο του ΕΙΥ δεν γίνεται συλλογή προσωπικών δεδομένων των χρηστών.
Σύνδεσμοι προς άλλους ιστοτόπους
Το ΕΙΥ δεν φέρει καμία απολύτως ευθύνη για την επεξεργασία προσωπικών δεδομένων που γίνεται σε ιστοτόπους, όπου ο ιστότοπος του ΕΙΥ παραπέμπει.