Welcome to Pharmabide
info@pharmabide.gr
+30 210 6827177
Privacy Policy
  1. Pharmabide
  2. Ασφαλής Διαχείριση Προσωπικών Δεδομένων
  3. Οδηγία Παρακολούθησης Τρίτων Μερών αναφορικά με Θέματα Ασφάλειας Πληροφοριών
  4. Πολιτική Δικαιώματος στη Λήθη
  5. Πολιτική Διαχείρισης Firewall
  6. Πολιτική Διαχείρισης Αντιγράφων Ασφαλείας
  7. Πολιτική Διαχείρισης Περιστατικού Φθοράς PATCH/SWITCH PANEL
  8. Πολιτική Παρακολούθησης Ιστορικών Συμβάντων
  9. Πολιτική Προστασίας ενάντια σε Ιούς & άλλο Κακόβουλο Λογισμικό
  10. Πολιτική Χρήσης Υπηρεσιών Νέφους/Cloud
  11. Γνωστοποίηση για Υπεύθυνο Επικοινωνίας για Θέματα Ιδιωτικότητας
  12. GDPR: Στόχος και Σκοπός εφαρμογής του Ευρωπαϊκού Κανονισμού General Data Protection Regulation

 

  1. PHARMABIDE
  2. Σε περίπτωση λήψης κλήσης ή μηνύματος που το περιεχόμενο του θα αφορά θέματα ιδιωτικότητας και διαχείρισης προσωπικών δεδομένων, η κλήση ή το μήνυμα προωθείται στην κα Φανή Τσίκλου.
  1. Όλοι οι εργαζόμενοι καθώς και οι εξωτερικοί συνεργάτες της Pharmabide υπογράφουν Δήλωση Εμπιστευτικότητας που αφορά στην ασφαλή διαχείριση, την εμπιστευτικότητα και την εχεμύθεια για οποιοδήποτε στοιχείο περιέρχεται σε γνώση λόγω της εργασίας ή και της συνεργασίας με την εταιρεία. Στοιχεία και πληροφορίες που περιέρχονται σε γνώση των εργαζομένων εξαιτίας της εργασίας τους στην εταιρεία δεν πρέπει να κοινοποιούνται, να συζητούνται ή να μεταφέρονται σε τρίτα μέρη που δεν έχουν καμία σχέση με την εταιρεία.
  1. Η Pharmabide δεσμεύεται απέναντι στο προσωπικό της για θέματα διαχείρισης των προσωπικών τους δεδομένων, τα οποία περιέρχονται σε γνώση της εξαιτίας της εργασίας σχέσης και είναι απολύτως απαραίτητα για την έκδοση της μισθοδοσίας τους ή για αιτιολόγηση απουσίας. Την συγκεκριμένη πολιτική την διανέμει ενυπόγραφα στους εργαζόμενους της.
  1. Η Pharmabide εφαρμόζει συγκεκριμένη διαδικασία για την διαχείριση αιτημάτων από τρίτα μέρη, τα οποία αιτούνται αντιγράφων των στοιχείων τους ή και πληροφόρηση αναφορικά με το πώς η εταιρεία έχει διαχειριστεί τα δεδομένα τους ή και σε περιπτώσεις διαγραφής ή περιορισμού επεξεργασίας. Για κάθε αίτημα πρέπει να ενημερώνεται η Διευθύνουσα Σύμβουλος και ο Υπεύθυνος Πληροφορικής, να ενεργοποιείται η σχετική διαδικασία και να τηρούνται αντίστοιχα αρχεία προς τεκμηρίωση των ενεργειών που γίνονται. Την συγκεκριμένη οδηγία την διανέμει ενυπόγραφα στους εργαζόμενους της.
  1. Η Pharmabide εφαρμόζει συγκεκριμένη διαδικασία για τον χειρισμό περιστατικών που σχετίζονται με την ασφάλεια των πληροφοριών και δεδομένων που διαχειρίζεται ή και με την ασφάλεια των συστημάτων της. Την συγκεκριμένη οδηγία την διανέμει ενυπόγραφα στους εργαζόμενους της. Σε κάθε περίπτωση που θα εντοπιστεί συμβάν, θα πρέπει να ενημερωθεί η Διευθύνουσα Σύμβουλος και ο Υπεύθυνος Πληροφορικής για να γίνουν οι απαιτούμενες ενέργειες ενώ παράλληλα θα πρέπει να υπάρχουν αντίστοιχες καταγραφές στο σχετικό έντυπο, για να υπάρχει συγκεντρωμένο όλο το ιστορικό του συμβάντος.
  1. Η Pharmabide έχει καθορίσει κανόνες εργασιακής συμπεριφοράς των μελών της εταιρείας καθ΄ όλη την διάρκεια που ευρίσκονται στον χώρο, η οποία αφορά ενέργειες που πρέπει καθώς και που δεν πρέπει να γίνονται, προκειμένου να περιορίζονται οι πιθανότητες περιστατικών που άπτονται της ασφάλειας των δεδομένων και πληροφοριών που διαχειρίζεται.
  1. Αντίστοιχα, έχει θεσπίσει κανόνες για την χρήση του εξοπλισμού, σταθερού και φορητού, την χρήση λογισμικού καθώς και την διαχείριση του ηλεκτρονικού ταχυδρομείου. Την συγκεκριμένη οδηγία την διανέμει ενυπόγραφα στους εργαζόμενους της.
  1. Η Pharmabide εφαρμόζει συγκεκριμένη διαδικασία για τον χειρισμό αιτημάτων πελατών της για παράδοση κλινικών μελετών, συνολικά ή μέρους αυτών, καθώς και για επίδοση αντιγράφων εγγράφων που τους αφορούν. Σε κάθε περίπτωση, το αίτημα πρέπει να κοινοποιείται εγγράφως στην εταιρεία και να τηρούνται τα αντίστοιχα κατά περίπτωση πρωτόκολλα παράδοσης-παραλαβής.
  1. Η Pharmabide εφαρμόζει συγκεκριμένη μεθοδολογία για τον εντοπισμό και την διαχείριση δυνητικών κινδύνων ασφάλειας τόσο σε επίπεδο διαχείρισης στοιχείων, δεδομένων και πληροφοριών προσωπικού χαρακτήρα, όσο και σε επίπεδο ασφάλειας των συστημάτων της. Η διαδικασία που ακολουθείται, για κάθε δραστηριότητα ή και τμήμα της εταιρείας, είναι:
  • Ο εντοπισμός του σημείου στο οποίο μπορεί να εμφανιστεί κίνδυνος
  • Η περιγραφή του κινδύνου
  • Η αξιολόγηση του κινδύνου ως προς τη σοβαρότητα του
  • Ο εντοπισμός των συνεπειών προς κάθε ενδιαφερόμενο μέρος
  • Ο καθορισμός ενεργειών για τον έλεγχο (περιορισμό των συνεπειών) ή και την εξάλειψη του κινδύνου
  • Η αξιολόγηση της αποτελεσματικότητας αυτών των ενεργειών, η οποία γίνεται μέσω της αξιολόγησης της σοβαρότητας του κινδύνου μετά την λήψη των μέτρων

 

 

  1. ΑΣΦΑΛΗΣ ΔΙΑΧΕΙΡΙΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Η Pharmabide στο πλαίσιο της συμμόρφωσης της με τον Ευρωπαϊκό Κανονισμό 679/2016, περί ασφαλούς διαχείρισης προσωπικών δεδομένων εφαρμόζει διαδικασία βάσει της οποίας:

  • Αναγνωρίζει όλες τις τοποθεσίες όπου αποθηκεύονται προσωπικά δεδομένα

 

  • Ελέγχει σε τακτά χρονικά διαστήματα τα Service Level Agreements των τρίτων μερών (SLA) και διατηρεί συνεργασίες κατά προτίμηση με εταιρείες που συμμορφώνονται με Πρότυπα Ασφάλειας όπως το ISO 27001 καθώς και Πρότυπο Επιχειρηματικής Συνέχειας
  • Παρέχει σε υποκείμενους δεδομένων ειδοποιήσεις σχετικά με την χρήση των δεδομένων τους και διακόπτει την επεξεργασία ορισμένων εξ αυτών όσο το δυνατόν ταχύτερα, και σε κάθε περίπτωση εντός 30 ημερολογιακών ημερών, από την λήψη σχετικού αιτήματος
  • Διορθώνει ανακρίβειες και ολοκληρώνει ασάφειες, σε μερικές περιπτώσεις προσωπικών δεδομένων, υποκειμένων δεδομένων όταν αυτό ζητηθεί
  • Έχει εκπονήσει, παρακολουθεί και επικαιροποιεί έγκαιρα, όταν κρίνεται αναγκαίο, σχέδιο διαχείρισης κινδύνων, το οποίο περιλαμβάνει εκτιμήσεις για δυνητικούς κινδύνους, προληπτικά μέτρα και διορθωτικές ενέργειες στο πλαίσιο της ασφάλειας των δεδομένων σε όλα τα επίπεδα
  • Συμμορφώνεται άμεσα σε αιτήματα περιορισμού επεξεργασίας προσωπικών δεδομένων ή και διαγραφής, όταν δεν υπάρχει νομική ή άλλη απαίτηση που να καθιστά τα αιτήματα αυτά απαγορευτικά καθώς και όταν αυτά δεν αφορούν εμπορικά στοιχεία καθώς και στοιχεία στατιστικής μελέτης
  • Έχει εκπονήσει σχέδιο αντιμετώπισης περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα, το οποίο και ελέγχει ως προς την αποτελεσματικότητα του εικονικά, σε περίπτωση μη εμφάνισης πραγματικού περιστατικού
  • Διενεργεί ελέγχους σε τακτά χρονικά διαστήματα στο πλαίσιο εντοπισμού ευπαθών και τρωτών για επιθέσεις σημείων στο πληροφοριακό της σύστημα (penetration test)
  • Ενημερώνει τις αρμόδιες αρχές αλλά και τα υποκείμενα δεδομένων εντός προκαθορισμένων χρονικών διαστημάτων σε περίπτωση εμφάνισης περιστατικού ασφάλειας

 

  1. ΟΔΗΓΙΑ ΠΑΡΑΚΟΛΟΥΘΗΣΗΣ ΤΡΙΤΩΝ ΜΕΡΩΝ ΑΝΑΦΟΡΙΚΑ ΜΕ ΘΕΜΑΤΑ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ

Η Pharmabide στο πλαίσιο της συνεργασίας της με τρίτα μέρη, τα οποία επηρεάζουν καθ΄ οιονδήποτε τρόπο τις υπηρεσίες και την λειτουργία της, έχει θεσπίσει κριτήρια παρακολούθησης αυτών.

  • Έλεγχος Service Level Agreements των τρίτων μερών (SLA)
  • Ύπαρξη πιστοποίησης βάσει Προτύπου ISO 27001 για την Διαχείριση της Ασφάλειας των Πληροφοριών
  • Ύπαρξη πιστοποίησης βάσει Προτύπου ISO 22301 για την Διαχείριση της Επιχειρηματικής Συνέχειας
  • Ύπαρξη Σχεδίου Διαχείρισης Κινδύνων – Risk Assessment
  • Ύπαρξη διαδικασίας διαχείρισης περιστατικών ασφάλειας
  • Εμφάνιση περιστατικών ασφάλειας ετησίως
  • Έλεγχοι τρίτων μερών στο πεδίο της ασφάλειας των πληροφοριών και των πληροφοριακών συστημάτων και αποτελέσματα αυτών
  1. ΠΟΛΙΤΙΚΗ ΔΙΚΑΙΩΜΑΤΟΣ ΣΤΗ ΛΗΘΗ

Τα ψηφιακά δικαιώματα είναι τα εξής:

α) Το δικαίωμα του ατόμου να περιηγείται στο διαδίκτυο με τρόπο που να διασφαλίζεται η προστασία της ιδιωτικής του ζωής: αυτό συνεπάγεται πως όταν οι χρήστες του διαδικτύου αναζητούν ή αποκτούν πρόσβαση σε πληροφορίες, πραγματοποιούν αγορές ή άλλες συναλλαγές, έχουν μια νόμιμη προσδοκία για προστασία της ιδιωτικής τους ζωής

β) Το δικαίωμα του ατόμου να παρακολουθεί αυτούς που το παρακολουθούν: το δικαίωμα αυτό νοείται ως το δικαίωμα του ατόμου να ενημερώνεται σε περίπτωση νόμιμης παρακολούθησης των δεδομένων του

γ) Το δικαίωμα του ατόμου να διαγράφει προσωπικά δεδομένα του: το δικαίωμα αυτό αντιπροσωπεύει το αίτημα ενός ατόμου να διαγραφούν προσωπικά δεδομένα που το αφορούν

δ) Το δικαίωμα σε μία ηλεκτρονική ταυτότητα: πρόκειται για το δικαίωμα του ατόμου να δημιουργήσει μια online ταυτότητα, να έχει αξιώσεις ως προς αυτήν και να την προστατεύσει. Αυτό περιλαμβάνει το δικαίωμα να κρατήσει τα στοιχεία της ταυτότητάς του εμπιστευτικά και να μην τα αποκαλύπτει, εκτός αν είναι απολύτως απαραίτητο.

Το δικαίωμα στη λήθη αφορά τη δυνατότητα αποτελεσματικής αντιμετώπισης των συνεπειών του διαδικτύου που «δεν ξεχνά ποτέ», εξασφαλίζοντας την προσωπική αυτονομία του ατόμου και την προστασία της ιδιωτικής ζωής καθώς και το δικαίωμα του να αποφασίζει ποιες πληροφορίες επιθυμεί να αποκαλύψει και που, εκτός των περιπτώσεων όπου εμπλέκονται απαιτήσεις που απορρέουν από οποιαδήποτε νομοθεσία.

Η εταιρεία εφαρμόζει την αρχή του δικαιώματος στη λήθη, στις παρακάτω περιπτώσεις:

  • Όταν τα προσωπικά δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους είχαν συλλεχθεί
  • Όταν το υποκείμενο των δεδομένων αποσύρει την συναίνεση στην οποία στηρίζεται η επεξεργασία των δεδομένων αυτών και δεν υπάρχει άλλη νομική βάση για την επεξεργασία τους
  • Όταν το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία αυτών
  • Όταν το υποκείμενο ζητήσει τη διαγραφή των ιστορικών δεδομένων του
  • Όταν τα προσωπικά δεδομένα έχουν επεξεργαστεί παράνομα
  • Όταν τα προσωπικά δεδομένα πρέπει να διαγραφούν σε συμμόρφωση με μία νομική υποχρέωση βάσει κοινοτικών ή εθνικών κανόνων, στους οποίους υπόκειται ο υπεύθυνος επεξεργασίας

 

  1. ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ FIREWALL

 Η εταιρεία μεριμνά για την ύπαρξη ενημερωμένου firewall, δεδομένου ότι αποτελεί κρίσιμη παράμετρο για την προστασία ευαίσθητων πληροφοριών που διαχειρίζεται.

  • Για να διασφαλίζεται ο έλεγχος και η ρητή πρόσβαση στις απαραίτητες υπηρεσίες και τοποθεσίες δικτύου, οι τροποποιήσεις των κανόνων του firewall εγκρίνονται και τεκμηριώνονται από τον διαχειριστή του πληροφοριακού συστήματος, κατόπιν αναλυτικής εξήγησης στην Διευθύνουσα Σύμβουλο. Οι κανόνες του firewall επιτρέπουν πρόσβαση μόνο σε υπηρεσίες χρήσιμες για την καθημερινή λειτουργία της εταιρείας.
  • Υπάρχουν ειδικοί κανόνες στο firewall σχετικά με τις προσβάσιμες θύρες. Αυτοί οι κανόνες επιτρέπουν μόνο προγραμματισμένες ενημερώσεις στο σύστημα ή την χρήση συγκεκριμένων υπηρεσιών.
  • Επιπροσθέτως, έχει ληφθεί μέριμνα ώστε σε περίπτωση εισβολής να αποστέλλεται αυτόματα μήνυμα μέσω ηλεκτρονικού ταχυδρομείου (email) στον Υπεύθυνο Πληροφορικής.

 

  1. ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ ΑΝΤΙΓΡΑΦΩΝ ΑΣΦΑΛΕΙΑΣ

 Αντίγραφα Ασφαλείας λαμβάνονται καθημερινά σε όλα τα αρχεία του server, αυτόματα σε ώρα μη λειτουργίας της εταιρείας.

  • Σε καθημερινή βάση γίνεται έλεγχος ορθής λειτουργίας του back up ενώ παράλληλα γίνεται και integrity check σε εβδομαδιαία βάση και εκδίδεται το αντίστοιχο report.
  • Το back up γίνεται σε εξωτερικό δίσκο σε συστοιχία RAID 5 και είναι κρυπτογραφημένο, ενώ το back up που λαμβάνεται στον ίδιο τον server δεν είναι κρυπτογραφημένο.
  • Στο πλαίσιο της διασφάλισης της επιχειρησιακής συνέχειας, πέραν των αντιγράφων ασφαλείας, έχει δημιουργηθεί ένα δεύτερο περιβάλλον σε απομακρυσμένο γεωγραφικό σημείο.
  • Επιπροσθέτως, τακτικά ανά εξάμηνο πραγματοποιείται εικονική άσκηση ανάκτησης δεδομένων με την καθοδήγηση και παρακολούθηση του αρμόδιου συνεργάτη σε θέματα πληροφορικής, προκειμένου να επιβεβαιώνεται η αποτελεσματική λειτουργία της διαδικασίας και εάν απαιτείται να αναπροσαρμόζεται κατάλληλα, αναλόγως των αποτελεσμάτων.

 

  1. ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ ΠΕΡΙΣΤΑΤΙΚΟΥ ΦΘΟΡΑΣ PATCH/ SWITCH PANEL

 Η εταιρεία διαθέτει εφεδρικό PATCH/SWITCH PANEL και χαρτογράφηση καλωδίωσης.

  • Σε περίπτωση δυσλειτουργίας/φθοράς/βανδαλισμού του ενός εκ των δύο PATCH/SWITCH PANEL γίνεται αντιστοίχιση καλώδιο προς καλώδιο στο εφεδρικό σύστημα.
  • Σε περίπτωση δυσλειτουργίας/φθοράς/βανδαλισμού και των δύο, η εταιρεία προμηθεύεται αντίστοιχο ή βελτιωμένο PATCH/SWITCH PANEL και με την υποστήριξη του υπεύθυνου σε θέματα πληροφορικής γίνεται η σχετική αντιστοίχιση.

 

  1. ΠΟΛΙΤΙΚΗ ΠΑΡΑΚΟΛΟΥΘΗΣΗΣ ΙΣΤΟΡΙΚΩΝ ΣΥΜΒΑΝΤΩΝ
  • Η εταιρεία μεριμνά για την ασφαλή διαχείριση και την προστασία αποθηκευμένων ευαίσθητων δεδομένων για το χρονικό διάστημα που αυτά είναι στην κατοχή της.
  • Η αποθήκευση ευαίσθητων πληροφοριών και δεδομένων διατηρούνται, πριν την ασφαλή διαγραφή τους, όταν δεν χρειάζονται πλέον για νομικούς, κανονιστικούς ή και επιχειρηματικούς λόγους.
  • Η εταιρεία εφαρμόζει πολιτική αυτόματης καταγραφής και ελέγχου συμβάντων προκειμένου να διασφαλίζεται ότι υπάρχει παρακολούθηση όλων των κρίσιμων στοιχείων του συστήματος καθώς και ότι υπάρχουν στοιχεία/ καταγραφές όλων των συστημάτων που εκτελούν λειτουργίες ασφαλείας (π.χ. firewalls, συστήματα ανίχνευσης εισβολής / συστήματα πρόληψης εισβολής).
  • Σε ότι αφορά την χρήση του διαδικτύου, υπάρχει εγκαταστημένο firewall με δυνατότητα καταγραφής ιστορικού σχετικά με επισκέψεις σε κάθε ιστοσελίδα.
  • Οι πολιτικές ασφάλειας και οι επιχειρησιακές διαδικασίες για την παρακολούθηση της πρόσβασης σε πόρους δικτύου πρέπει να τεκμηριώνονται, να χρησιμοποιούνται και να είναι γνωστά σε όλα τα εμπλεκόμενα μέλη.
  • Επιπροσθέτως, έχει ληφθεί μέριμνα ώστε σε περίπτωση εισβολής να αποστέλλεται αυτόματα μήνυμα μέσω ηλεκτρονικού ταχυδρομείου (email) στον Υπεύθυνο Πληροφορικής.

 

  1. ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΕΝΑΝΤΙΑ ΣΕ ΙΟΥΣ & ΑΛΛΟ ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ

 

  • Η εταιρεία μεριμνά για την προστασία των συστημάτων από ιούς και άλλους τύπους κακόβουλου λογισμικού, έχοντας εγκαταστήσει αντίστοιχο anti-virus λογισμικό, το οποίο ανιχνεύει, αφαιρεί και προστατεύει ενάντια όλων των γνωστών τύπων malicious software (πχ, ιούς, trojans, worms, spyware, adware και rootkits).
  • Το anti-virus λογισμικό ενημερώνεται σε καθημερινή βάση και ανανεώνεται μία φορά ετησίως με ευθύνη του αρμόδιου συνεργάτη για θέματα πληροφορικής, μετά από ενημέρωση της Διευθύνουσας Συμβούλου.
  • Τα αποτελέσματα της διαδικασίας ανίχνευσης ιών παρακολουθεί συστηματικά ο συνεργάτης σε θέματα πληροφορικής, ώστε να αξιολογείται η αποτελεσματικότητα και η επάρκεια των μέσων προστασίας που εφαρμόζονται και εάν απαιτείται να αναπροσαρμόζονται κατάλληλα, αναλόγως των αποτελεσμάτων.

 

  1. ΠΟΛΙΤΙΚΗ ΧΡΗΣΗΣ ΥΠΗΡΕΣΙΩΝ ΝΕΦΟΥΣ / CLOUD

 

  • Η εταιρεία Pharmabide για την παροχή των υπηρεσιών της έχει αναπτύξει και λειτουργεί συστήματα βασιζόμενα σε virtual υποδομές. Η ανάπτυξη των συστημάτων γίνεται με τρόπο ώστε να εκμεταλλεύεται την υψηλή διαθεσιμότητα των υποδομών που προσφέρονται από παρόχους υπηρεσιών νέφους και να εξασφαλίζει τη συνέχεια των επιχειρησιακών της λειτουργιών.
  • Τα χαρακτηριστικά των λαμβανόμενων υπηρεσιών νέφους περιγράφονται σε σχετικές συμβάσεις ή στους όρους χρήσης που είναι διαθέσιμοι στις ιστοσελίδες των παρόχων υπηρεσιών νέφους.
  • Η εταιρεία προκειμένου να διασφαλίσει την εμπιστευτικότητα, διαθεσιμότητα και ακεραιότητα των υπηρεσιών της, αναπτύσσει τις υποδομές της σε παρόχους που ακολουθούν τις βέλτιστες πρακτικές ως προς την Ασφάλεια Πληροφοριών.
  • Οι Servers είναι εγκατεστημένοι σε παρόχους υπηρεσιών νέφους στην Ελληνική επικράτεια ή σε χώρες της Ευρωπαϊκής Ένωσης. Σε κάθε διαφορετική περίπτωση, διασφαλίζεται ότι η χώρα που φιλοξενεί τους virtual servers τηρεί αντίστοιχα επίπεδα ασφάλειας με αυτά που προβλέπει η ευρωπαϊκή νομοθεσία.
  • Η σύνδεση των στελεχών στις υποδομές γίνεται μέσω κωδικών που ικανοποιούν τις βέλτιστες πρακτικές σε σχέση με την πολυπλοκότητα και τη συχνότητα αλλαγής. Πολιτική της εταιρείας είναι η αλλαγή των κωδικών πρόσβασης τακτικά ανά τρίμηνο.
  • Ο συνεργάτης σε θέματα πληροφορικής μέσω εξειδικευμένων συστημάτων λογισμικού, παρακολουθεί σε συνεχή βάση τη διαθεσιμότητα και το επίπεδο χρήσης των συστημάτων της προκειμένου να εντοπίζει έγκαιρα και να αντιμετωπίζει αποτελεσματικά περιστατικά μη ορθής λειτουργίας και να ενημερώνει σχετικά την Διευθύνουσα Σύμβουλο.

 

  1. ΓΝΩΣΤΟΠΟΙΗΣΗ ΓΙΑ ΥΠΕΥΘΥΝΟ ΕΠΙΚΟΙΝΩΝΙΑΣ ΓΙΑ ΘΕΜΑΤΑ ΙΔΙΩΤΙΚΟΤΗΤΑΣ
  • «Η Pharmabide, συμμορφούμενη με τις απαιτήσεις του Ευρωπαϊκού Κανονισμού 679/2016 Περί Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, χρησιμοποιεί τα στοιχεία που περιέρχονται σε γνώση της αποκλειστικά και μόνο για τον σκοπό που αυτά προορίζονται και τα διαχειρίζεται με απόλυτη εμπιστευτικότητα και εχεμύθεια. Για θέματα ιδιωτικότητας μπορείτε να επικοινωνήσετε με το αρμόδιο τμήμα στην ηλεκτρονική διεύθυνση regulatory3@pharmabide.gr και στο τηλέφωνο 210 8032713 εσωτερικό 112.

 

  1. Στόχος και Σκοπός εφαρμογής του Ευρωπαϊκού Κανονισμού General Data Protection Regulation.

Στόχος και σκοπός του GDPR είναι να προστατεύσει όλους τους πολίτες της ΕΕ για θέματα ιδιωτικότητας καθώς και από τις παραβιάσεις των δεδομένων σε έναν κόσμο όλο και περισσότερο βασισμένο στις πληροφορίες, ο οποίος είναι πολύ διαφορετικός από τον χρόνο σύστασης της αρχικής οδηγίας του 1995.

Μολονότι οι βασικές αρχές της ιδιωτικής ζωής των δεδομένων εξακολουθούν να ισχύουν από την προηγούμενη οδηγία, ο GDPR έχει πολλές αλλαγές οι οποίες έχουν ενταχθεί στις κανονιστικές πολιτικές. Τα βασικά σημεία του GDPR καθώς και πληροφορίες για τις επιπτώσεις/αλλαγές που έχει στις επιχειρήσεις μπορούν να βρεθούν παρακάτω.

 

  1. Βασική Αλλαγή σχετικά με το αυξημένο εδαφικό πεδίο εφαρμογής (εξωεδαφική εφαρμογή)

Αναμφισβήτητα η μεγαλύτερη αλλαγή στο ρυθμιστικό περιβάλλον της ιδιωτικής ζωής των δεδομένων έρχεται με την εκτεταμένη αρμοδιότητα του GDPR, καθώς ισχύει για όλες τις εταιρείες που επεξεργάζονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων που διαμένουν στην Ένωση, ανεξάρτητα από την τοποθεσία της εταιρείας.

Προηγουμένως, η εδαφική εφαρμογή της οδηγίας ήταν διφορούμενη και αναφέρεται σε διαδικασία επεξεργασίας δεδομένων «στο πλαίσιο εγκατάστασης». Αυτό το θέμα έχει προκύψει σε πολλές δικαστικές υποθέσεις υψηλού προφίλ.

O GPDR καθιστά σαφή την εφαρμογή του – εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων από ελεγκτές και μεταποιητές στην ΕΕ, ανεξάρτητα από το εάν η επεξεργασία πραγματοποιείται στην ΕΕ ή όχι.

O GDPR ισχύει επίσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων στην ΕΕ από υπεύθυνο επεξεργασίας ή μεταποιητή μη εγκατεστημένο στην ΕΕ, όπου οι δραστηριότητες αφορούν: προσφορά αγαθών ή υπηρεσιών σε πολίτες της ΕΕ (ανεξάρτητα από το αν απαιτείται πληρωμή) και την παρακολούθηση της συμπεριφοράς που λαμβάνει χώρα εντός της ΕΕ.

Οι επιχειρήσεις εκτός ΕΕ που επεξεργάζονται τα δεδομένα των πολιτών της ΕΕ θα πρέπει επίσης να διορίσουν έναν εκπρόσωπο στην ΕΕ.

 

  1. Βασική Αλλαγή σχετικά με τις Ποινικές ρήτρες

Σύμφωνα με τον κανονισμό GDPR, οι οργανισμοί που παραβιάζουν το GDPR, μπορεί να υποχρεωθούν σε πρόστιμο μέχρι 4% του ετήσιου συνολικού κύκλου εργασιών ή € 20 εκατ. (Όποιο είναι μεγαλύτερο).

Πρόκειται για το μέγιστο πρόστιμο που μπορεί να επιβληθεί για τις πιο σοβαρές παραβάσεις, π.χ. χωρίς τη δέουσα συγκατάθεση του πελάτη για επεξεργασία δεδομένων ή παραβίαση του πυρήνα των εννοιών «Απόρρητο από το σχεδιασμό».Υπάρχει μια κλιμακωτή προσέγγιση στα πρόστιμα, π.χ. μια επιχείρηση μπορεί να επιβληθεί πρόστιμο ύψους 2% για μη τήρηση των αρχείων της (άρθρο 28), χωρίς να ενημερώνει την εποπτεύουσα αρχή και το υποκείμενο των δεδομένων για παραβίαση ή μη διενέργεια εκτιμήσεων αντικτύπου.

Είναι σημαντικό να σημειωθεί ότι αυτοί οι κανόνες ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους μεταποιητές – που σημαίνει ότι οι “cloud” υπηρεσίες δεν θα εξαιρούνται από την επιβολή του GDPR.

 

  1. Βασική Αλλαγή σχετικά με την Συγκατάθεση

Οι όροι για τη συναίνεση/ συγκατάθεση στο πλαίσιο του GDPR έχουν ενισχυθεί και οι εταιρείες δεν μπορούν πλέον να χρησιμοποιούν μακρούς δυσανάγνωστους όρους και προϋποθέσεις γεμάτες νομικίστικες έννοιες, καθώς η αίτηση συναίνεσης πρέπει να παρέχεται με κατανοητή και εύκολα προσπελάσιμη μορφή, με σκοπό την επεξεργασία δεδομένων που επισυνάπτεται αυτή τη συναίνεση.

Η συγκατάθεση πρέπει να είναι σαφής και διακριτή από άλλα θέματα και να παρέχεται με κατανοητή και εύκολα προσιτή μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα. Πρέπει να είναι τόσο εύκολο να αποσύρετε τη συγκατάθεση σας, όσο εύκολο είναι να την δώσετε.

Δικαιώματα δεδομένων υποκειμένων

GDPR: Βασική Αλλαγή σχετικά με την Ειδοποίηση Παραβίασης

Σύμφωνα με τον GDPR, η κοινοποίηση παραβίασης θα καταστεί υποχρεωτική σε όλα τα κράτη μέλη όπου μια παραβίαση δεδομένων ενδέχεται να “οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων”. Αυτό πρέπει να γίνει εντός 72 ωρών από την πρώτη στιγμή της συνειδητοποίησης της παραβίασης. Οι επεξεργαστές δεδομένων θα υποχρεούνται επίσης να ειδοποιούν τους πελάτες τους, τους ελεγκτές, “χωρίς αδικαιολόγητη καθυστέρηση”, αφού καταλάβουν την παραβίαση δεδομένων.

GDPR: Βασική Αλλαγή σχετικά με το Δικαίωμα πρόσβασης

Μέρος των διευρυμένων δικαιωμάτων των προσώπων στα οποία αναφέρονται τα στοιχεία του GDPR είναι το δικαίωμα των υποκειμένων των δεδομένων να λαμβάνουν από τον υπεύθυνο επεξεργασίας δεδομένων την επιβεβαίωση του κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν υποβάλλονται σε επεξεργασία, πού και για ποιο σκοπό.

Επιπλέον, ο ελεγκτής παρέχει δωρεάν αντίγραφο των δεδομένων προσωπικού χαρακτήρα σε ηλεκτρονική μορφή. Αυτή η αλλαγή είναι μια δραματική αλλαγή στη διαφάνεια των δεδομένων και την ενδυνάμωση των υποκειμένων των δεδομένων.

GDPR: Βασική Αλλαγή στο “Δικαίωμα στη Λήθη”

Επίσης γνωστό ως Data Erasure, το “δικαίωμα στη λήθη” παρέχει στο υποκείμενο των δεδομένων τη δυνατότητα να διαγράψει τα δεδομένα προσωπικού χαρακτήρα από τον ελεγκτή δεδομένων, να σταματήσει την περαιτέρω διάδοση των δεδομένων και ενδεχομένως να σταματήσει την επεξεργασία των δεδομένων από τρίτους.

Οι όροι για τη διαγραφή, όπως περιγράφονται στο άρθρο 17, περιλαμβάνουν τα δεδομένα που δεν έχουν πλέον σχέση με τους αρχικούς σκοπούς για επεξεργασία ή τα υποκείμενα των δεδομένων που αποσύρουν τη συναίνεση.

Πρέπει επίσης να σημειωθεί ότι το δικαίωμα αυτό απαιτεί από τους ελεγκτές να συγκρίνουν τα δικαιώματα των υποκειμένων με το “δημόσιο συμφέρον για τη διαθεσιμότητα των δεδομένων” κατά την εξέταση αυτών των αιτήσεων.

GDPR: Βασική Αλλαγή σχετικά με την Φορητότητα δεδομένων

Ο GDPR εισάγει τη φορητότητα δεδομένων – το δικαίωμα για ένα υποκείμενο των δεδομένων να λαμβάνει τα προσωπικά δεδομένα που τα αφορούν, τα οποία παρείχαν προηγουμένως σε μια «ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή» και έχουν το δικαίωμα να διαβιβάσουν τα δεδομένα αυτά σε άλλο ελεγκτή.

GDPR: Βασική Αλλαγή σχετικά με την Προστασία δεδομένων από το σχεδιασμό

Η προστασία της ιδιωτικής ζωής από τη σχεδίαση ως έννοια έχει υπάρξει εδώ και χρόνια, αλλά γίνεται μέρος μιας νομικής απαίτησης στον GDPR. Στον πυρήνα της, η προστασία της ιδιωτικής ζωής από το σχεδιασμό απαιτεί την ενσωμάτωση της προστασίας των δεδομένων από την εμφάνιση του σχεδιασμού των συστημάτων, και όχι από την προσθήκη.

Συγκεκριμένα: «Ο υπεύθυνος επεξεργασίας πρέπει να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα με αποτελεσματικό τρόπο ώστε να ανταποκρίνεται στις απαιτήσεις του παρόντος κανονισμού και να προστατεύει τα δικαιώματα των υποκειμένων των δεδομένων».

Το άρθρο 23 ζητεί από τους ελεγκτές να διατηρούν και να επεξεργάζονται μόνο τα δεδομένα που είναι απολύτως απαραίτητα για την εκπλήρωση των καθηκόντων τους (ελαχιστοποίηση των δεδομένων), καθώς και τον περιορισμό της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε όσους χρειάζονται στη διεξαγωγή της επεξεργασίας.

Οι υπεύθυνοι επεξεργασίας υποχρεούνται να κοινοποιούν τις δραστηριότητές επεξεργασίας δεδομένων σε τοπικές αρχές προστασίας δεδομένων, οι οποίες, για τις πολυεθνικές εταιρείες, ενδέχεται να αποτελούν γραφειοκρατικό εφιάλτη με τα περισσότερα κράτη μέλη να έχουν διαφορετικές απαιτήσεις κοινοποίησης.

Σύμφωνα με τον GDPR, δεν θα είναι απαραίτητο να υποβάλλονται κοινοποιήσεις / καταχωρήσεις σε κάθε τοπική αρχή των δραστηριοτήτων επεξεργασίας δεδομένων ούτε να απαιτείται η κοινοποίηση / απόκτηση έγκρισης για μεταφορές βάσει των πρότυπων ρητρών σύμβασης (MCC). Αντ ‘αυτού, θα υπάρξουν απαιτήσεις εσωτερικής τήρησης αρχείων, όπως εξηγείται περαιτέρω παρακάτω, και ο διορισμός των DPO θα είναι υποχρεωτικός μόνο για τους ελεγκτές και τους μεταποιητές των οποίων οι βασικές δραστηριότητες συνίστανται σε επεξεργασίες που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή σε ειδικές κατηγορίες δεδομένων ή δεδομένων σχετικά με ποινικές καταδίκες και αξιόποινες πράξεις. Είναι σημαντικό να διορίζεται ο ΥΠΔ με βάση τα επαγγελματικά προσόντα και ειδικότερα τις γνώσεις σχετικά με το δίκαιο και τις πρακτικές προστασίας των δεδομένων.

Μπορεί να είναι μέλος του προσωπικού ή εξωτερικός πάροχος υπηρεσιών. Πρέπει να παρέχονται λεπτομερή στοιχεία στο σχετικό DPAM με τους κατάλληλους πόρους να εκπληρώνουν τα καθήκοντά τους και να διατηρούν τις ειδικές γνώσεις τους. Να υποβάλλουν απευθείας αναφορά στο ανώτατο επίπεδο διαχείρισης. Να μην εκτελούν άλλα καθήκοντα που θα μπορούσαν να οδηγήσουν σε σύγκρουση συμφερόντων.

Skip to content