Στις καθημερινές επιχειρησιακές δραστηριότητές της, η ΒΙΟΕΡΕΥΝΑ χρησιμοποιεί δεδομένα σχετικά με φυσικά πρόσωπα, τα οποία αφορούν σε:
• Πελάτες (πρόσωπα επικοινωνίας και επαφών)
• Υφιστάμενους, πρώην και υποψήφιους υπαλλήλους
• Φυσικά πρόσωπα (επικοινωνίας και επαφών) με άλλα ενδιαφερόμενα μέρη (π.χ. ΕΕΕΤ)
Κατά τη συλλογή και τη χρήση αυτών των δεδομένων, η εταιρεία υπόκειται σε νομοθετικές ρυθμίσεις που ελέγχουν τον τρόπο διεξαγωγής των δραστηριοτήτων αυτών και στις διασφαλίσεις που πρέπει να εφαρμοστούν για την προστασία της. Σκοπός αυτής της πολιτικής είναι να καθορίσει τη σχετική νομοθεσία και να περιγράψει τα βήματα της ΒΙΟΕΡΕΥΝΑ για να διασφαλίσει ότι συμμορφώνεται με
αυτήν.
Αυτός ο έλεγχος ισχύει για όλα τα συστήματα, τους ανθρώπους και τις διαδικασίες που αποτελούν τα πληροφοριακά συστήματα της εταιρείας, συμπεριλαμβανομένων των μελών του διοικητικού συμβουλίου, των διευθυντών, των υπαλλήλων, των προμηθευτών και άλλων τρίτων που έχουν πρόσβαση στα συστήματα της ΒΙΟΕΡΕΥΝΑ.
2.1 Ο Γενικός Κανονισμός για την Προστασία Δεδομένων 2016 (GDPR) είναι ένα από τα σημαντικότερα νομοθετήματα που επηρεάζουν τον τρόπο με τον οποίο η ΒΙΟΕΡΕΥΝΑ εκτελεί τις δραστηριότητες επεξεργασίας πληροφοριών. Είναι βούληση της Διοίκησης της ΒΙΟΕΡΕΥΝΑ να διασφαλίσει ότι η συμμόρφωσή της με το GDPR και με άλλες σχετικές νομοθετικές πράξεις, είναι σαφής και αποδείξιμη ανά πάσα στιγμή.
2.2 Ορισμοί
Σύμφωνα με τον Κανονισμό ισχύουν οι παρακάτω ορισμοί:
«Δεδομένα Προσωπικού Χαρακτήρα» ορίζονται: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου
«επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή
«υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους
2.3 Αρχές που Διέπουν την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα
Οι θεμελιώδεις αρχές στις οποίες βασίζεται το GDPR και διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι:
1. Τα δεδομένα προσωπικού χαρακτήρα:
1) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
2) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
3) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
4) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται.Πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»)
5) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
6) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία τροποποίηση, απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («προστασία εμπιστευτικότητας,ακεραιότητας και διαθεσιμότητας»).
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»). Η ΒΙΟΕΡΕΥΝΑ διασφαλίζει ότι συμμορφώνεται με όλες αυτές τις αρχές τόσο στην επεξεργασία που αυτή τη στιγμή εκτελεί όσο και στο πλαίσιο της εισαγωγής νέων μεθόδων επεξεργασίας όπως τα νέα συστήματα Τεχνολογίας Πληροφοριών.
Η ΒΙΟΕΡΕΥΝΑ υποστηρίζει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων βάσει του GDPR, που είναι:
1. Το δικαίωμα ενημέρωσης
2. Το δικαίωμα πρόσβασης
3. Το δικαίωμα διόρθωσης
4. Το δικαίωμα διαγραφής
5. Το δικαίωμα περιορισμού της επεξεργασίας
6. Το δικαίωμα στη φορητότητα των δεδομένων
7. Το δικαίωμα εναντίωσης
8. Δικαιώματα σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και την κατάρτιση προφίλ. Κάθε ένα από αυτά τα δικαιώματα υποστηρίζεται από τις κατάλληλες διαδικασίες της ΒΙΟΕΡΕΥΝΑ (GDPR-DOC-21 Διαδικασία Αιτήματος του Υποκειμένου των Δεδομένων) που επιτρέπουν την ανάληψη των απαιτούμενων ενεργειών εντός των χρονικών ορίων που ορίζονται στο GDPR. Τα χρονικά πλαίσια αυτά παρουσιάζονται στον Πίνακα
2.5 Συγκατάθεση
Εάν δεν είναι απαραίτητο για κάποιο λόγο που επιτρέπεται στο GDPR, πρέπει να ζητηθεί ρητή συγκατάθεση από ένα υποκείμενο δεδομένων για τη συλλογή και επεξεργασία των δεδομένων του. Διαφανείς πληροφορίες σχετικά με τη χρήση των προσωπικών δεδομένων μας πρέπει να παρέχονται στα υποκείμενα των δεδομένων τη στιγμή που λαμβάνεται η συγκατάθεση και να εξηγούνται τα δικαιώματά τους όσον αφορά τα δεδομένα τους, όπως το δικαίωμα ανάκλησης της συγκατάθεσης. Οι πληροφορίες αυτές πρέπει να παρέχονται σε προσιτή μορφή, γραμμένη σε σαφή γλώσσα και δωρεάν. Εάν τα προσωπικά δεδομένα δεν αποκτώνται απευθείας από το υποκείμενο των δεδομένων, τότε αυτές οι πληροφορίες πρέπει να παρέχονται μέσα σε εύλογο χρονικό διάστημα μετά τη λήψη των δεδομένων και οπωσδήποτε εντός ενός μηνός.
2.6 Προστασία Απορρήτου από το Σχεδιασμό και εξ Ορισμό
Η ΒΙΟΕΡΕΥΝΑ έχει υιοθετήσει την αρχή της προστασίας απορρήτου από το σχεδιασμό και εξ ορισμού (σύμφωνα με το άρθρο 25 του GDPR) θα διασφαλίσει ότι ο σχεδιασμός όλων των νέων ή σημαντικά αλλαγμένων συστημάτων που συλλέγουν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, θα υπόκεινται στην κατάλληλη εξέταση των θεμάτων προστασίας απορρήτου, συμπεριλαμβανομένης της
ολοκλήρωσης ενός ή περισσοτέρων εκτιμήσεων αντικτύπου σχετικά με την προστασία δεδομένων (GDPR-DOC-07 Διαδικασία Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων). Η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων θα περιλαμβάνει:
• Εξέταση του πώς επεξεργάζονται τα προσωπικά δεδομένα και για ποιους σκοπούς
• Αξιολόγηση του κατά πόσον η προτεινόμενη επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι τόσο αναγκαία όσο και αναλογική προς τον σκοπό(ούς)
• Εκτίμηση των κινδύνων για τα άτομα κατά την επεξεργασία των προσωπικών δεδομένων
• Ποια τεχνικά και οργανωτικά μέτρα είναι απαραίτητα για την αντιμετώπιση των εντοπισμένων κινδύνων και την απόδειξη της συμμόρφωσης με τη νομοθεσία
Οι εφαρμογές πρέπει να ακολουθούν την αρχή της ελαχιστοποίησης των δεδομένων (data minimization), καθώς και της ποιότητας των δεδομένων και να περιλαμβάνουν τη δυνατότητα της διαγραφής δεδομένων μετά το χρονικό διάστημα που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Επίσης, πρέπει να επιτρέπουν την υλοποίηση όλων των απαιτούμενων τεχνικών μηχανισμών ασφαλείας για την προστασία των δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας σύμφωνα με την πολιτικήGDPR-DOC-16 Πολιτική Διατήρησης και προστασίας Δεδομένων. Η χρήση τεχνικών όπως η ελαχιστοποίηση των δεδομένων, η κρυπτογράφηση και η ψευδωνυμοποίηση θα πρέπει να λαμβάνονται υπόψη όπου είναι εφαρμόσιμο και κατάλληλο.
2.7 Διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα
Οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός της Ευρωπαϊκής Ένωσης εξετάζονται προσεκτικά πριν από τη πραγματοποίηση της διαβίβασης και εφόσον οι διασφαλίσεις για τα προσωπικά δεδομένα που ισχύουν στη χώρα υποδοχής, έχουν γίνει αποδεκτές από την Ευρωπαϊκή Επιτροπή.
2.8 Υπεύθυνος Ελέγχων Διαδικασιών και Πολιτικών Απορρήτου
Ο Υπεύθυνος Ελέγχων Διαδικασιών και Πολιτικών Απορρήτου παρέχει τις υπηρεσίες του ως εξωτερικός σύμβουλος καλύπτοντας και ευθύνες του Υπεύθυνου Προστασίας Δεδομένων για τον οποίο δεν υπάρχει σαφής υποχρέωση της ΒΙΟΕΡΕΥΝΑ να τον διορίσει σύμφωνα με τον GDPR. Η ΒΙΟΕΡΕΥΝΑ δεν εκτελεί «μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα» όπως απαιτείται από το άρθρο 37.1.γ του GDPR για να διορίσει Υπεύθυνο Προστασίας Δεδομένων. Ο ΥΕΔΠΑ απαιτείται να διαθέτει το κατάλληλο επίπεδο γνώσεων και μπορεί είτε να είναι ένας εσωτερικός πόρος είτε να ανατεθεί σε έναν κατάλληλο πάροχο υπηρεσιών (GDPR-DOC-05 Ρόλοι Ευθύνες και Καθήκοντα GDPR και GDPR-DOC-09 Διαδικασία Ανάπτυξης Ικανοτήτων GDPR).
2.9 Υποχρεώσεις ως εκτελών την επεξεργασία
Η ΒΙΟΕΡΕΥΝΑ για την παροχή υπηρεσιών προς τους πελάτες της επεξεργάζεται προσωπικά δεδομένα υγείας . Οι σχετικές συμβάσεις που υπογράφει πρέπει να περιέχουν τις παρακάτω δεσμεύσεις:
«Η ΒΙΟΕΡΕΥΝΑ κατά την παροχή υπηρεσιών αιμοληψίας κατ οίκον, επεξεργάζεται για λογαριασμό του Πελάτη προσωπικά δεδομένα, εφεξής δεδομένα, και σύμφωνα τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΕΕ) 2016/679, εφεξής ΓΚΠΔ, άρθρο 4 στοιχ. 8 , θεωρείται «εκτελών την επεξεργασία» και κατά συνέπεια να υπόκειται στις διατάξεις του άρθρου 28 και 29 του ΓΚΠΔ. Ο σκοπός της επεξεργασίας των δεδομένων από την ΒΙΟΕΡΕΥΝΑ είναι η παροχή υπηρεσιών αιμοληψίας κατ’ οίκον με εντολή του Πελάτη και η επεξεργασία αφορά τα δημογραφικά δεδομένα των αιμοδοτών (Ονοματεπώνυμο, τηλέφωνο, Διεύθυνση) και σε ειδικές περιπτώσεις το είδος των εξετάσεων. Η διάρκεια της επεξεργασίας είναι …………… ημέρες.
Αναλυτικά και σύμφωνα με το άρθρο 28 και 29 του ΓΚΠΔ, η ΒΙΟΕΡΕΥΝΑ:
1. Διαβεβαιώνει ότι εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.
2. Για την υλοποίηση της παρούσας σύμβασης ο Πελάτης εγκρίνει και δέχεται η ΒΙΟΕΡΕΥΝΑ να χρησιμοποιήσει τις υπηρεσίες αιμοληψίας της εταιρείας ……………………… η οποία εφαρμόζει , ως άλλος εκτελών την επεξεργασία , τα κατάλληλα τεχνικά και οργανωτικά μέτρα κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων των
υποκειμένων των δεδομένων. Η ΒΙΟΕΡΕΥΝΑ έχει την υποχρέωση να ενημερώνει τον Πελάτη για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση του άλλου εκτελούντος την επεξεργασία
3. Κατά την εκτέλεση της παρούσας σύμβασης η ΒΙΟΕΡΕΥΝΑ:
3.1. επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του Πελάτη,
3.2.διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,
3.3. συνδράμει η ΒΙΟΕΡΕΥΝΑ στη διασφάλιση της συμμόρφωσης του Πελάτη προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ,
3.4. διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχει στην κατοχή του μετά το πέρας της παροχής υπηρεσιών επεξεργασίας, διαγράφει τα υφιστάμενα αντίγραφα και καταστρέφει ασφαλώς όλα τα έντυπα αντίγραφα
3.5. θέτει στη διάθεση του Πελάτη κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 28 του ΓΚΠΔ και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον Πελάτη ή από άλλον ελεγκτή εντεταλμένο από τον Πελάτη. Ειδικά η ΒΙΟΕΡΕΥΝΑ ενημερώνει αμέσως τον Πελάτη, εάν, κατά την άποψή της, κάποια εντολή που λαμβάνει παραβιάζει τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων
4. Η ΒΙΟΕΡΕΥΝΑ, κατά την εκπλήρωση των συμβατικών υποχρεώσεών της απασχολεί υπαλλήλους, οι οποίοι γνωρίζουν με ευθύνη της ΒΙΟΕΡΕΥΝΑ τις υποχρεώσεις της που απορρέουν από το άρθρο αυτό της σύμβασης έναντι του Πελάτη και συμμορφώνονται προς αυτές για τη διαφύλαξη της ασφάλειας των ανωτέρω πληροφοριών
5. Η ΒΙΟΕΡΕΥΝΑ και κάθε πρόσωπο που ενεργεί υπό την εποπτεία της, το οποίο έχει πρόσβαση στα δεδομένα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του Πελάτη»
2.10 Γνωστοποίηση Παραβίασης
Η πολιτική της ΒΙΟΕΡΕΥΝΑ είναι αυτή που πρέπει να είναι δίκαιη και αναλογική όταν εξετάζονται τα μέτρα που πρέπει να ληφθούν για την ενημέρωση των επηρεαζόμενων μερών σχετικά με τις παραβιάσεις δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με το GDPR, όταν γνωστοποιηθεί ότι σημειώθηκε παραβίαση, η οποία ενδέχεται να έχει ως αποτέλεσμα τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων, η σχετική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) θα ενημερωθεί εντός 72 ωρών. Αυτό θα γίνεται σύμφωνα με τη GDPR-DOC-15 Διαδικασία Αντιμετώπισης Περιστατικών της Ασφάλειας Πληροφοριών που καθορίζει τη συνολική διαδικασία αντιμετώπισης περιστατικών
ασφάλειας πληροφοριών.
2.11 Αντιμετώπιση της Συμμόρφωσης με τονGDPR
Οι ακόλουθες ενέργειες αναλαμβάνονται για να διασφαλιστεί ότι η ΒΙΟΕΡΕΥΝΑ συμμορφώνεται ανά πάσα στιγμή με την αρχή της λογοδοσίας του GDPR:
Η νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σαφής και αδιαμφισβήτητη
Όλο το προσωπικό που ασχολείται με τη διαχείριση δεδομένων προσωπικού χαρακτήρα κατανοεί τις ευθύνες του για την τήρηση καλής πρακτικής προστασίας δεδομένων
Η εκπαίδευση στην προστασία των δεδομένων παρέχεται σε όλο το προσωπικό
Εφαρμόζονται κανόνες σχετικά με τη συγκατάθεση
Υπάρχουν διαθέσιμες οδηγίες για τα υποκείμενα των δεδομένων που επιθυμούν να ασκήσουν τα δικαιώματά τους όσον αφορά τα προσωπικά δεδομένα και τα αιτήματα αυτά αντιμετωπίζονται αποτελεσματικά
Διεξάγονται τακτικές ανασκοπήσεις των διαδικασιών που αφορούν δεδομένα προσωπικού χαρακτήρα
Η προστασία απορρήτου από το σχεδιασμό υιοθετείται για όλα τα νέα ή αλλαγμένα συστήματα και διαδικασίες
Υπάρχουν έγγραφες δεσμεύσεις με τους εκτελούντες την επεξεργασία αν υφίστανται
Καταγράφεται η ακόλουθη τεκμηρίωση των δραστηριοτήτων επεξεργασίας:
o -Όνομα οργανισμού και σχετικές λεπτομέρειες
o – Σκοπός της επεξεργασίας των προσωπικών δεδομένων
o – Κατηγορίες ατόμων και προσωπικών δεδομένων που επεξεργάζονται
o – Κατηγορίες παραληπτών προσωπικών δεδομένων
o – Συμφωνίες και μηχανισμοί για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός της ΕΕ, συμπεριλαμβανομένων λεπτομερειών σχετικά με τους ελέγχους που εφαρμόζονται
o – Προγράμματα διατήρησης προσωπικών δεδομένων
o – Σχετικοί τεχνικοί και οργανωτικοί έλεγχοι που έχουν τεθεί σε ισχύ
Η πολιτική προστασίας απορρήτου και προσωπικών δεδομένων καθώς και οι ενέργειες αυτές θα επανεξετάζονται σε ετήσια βάση στο πλαίσιο της διαδικασίας ανασκόπησης της διοίκησης του συστήματος διαχείρισης της ασφάλειας των πληροφοριών.