[vc_row][vc_column][vc_column_text trp_param_show_language=”el” trp_param_show=”true”]
ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ GDPR
Η πρακτική αυτή συνάδει με τις νομικές υποχρεώσεις του νόμου περί προστασίας της ημερομηνίας του 2018 (νόμος του 2018) και του κανονισμού της ΕΕ για την προστασία των δεδομένων(«GDPR»). Η πρακτική συγκεντρώνει και χρησιμοποιεί δεδομένα σχετικά με τους εργαζόμενους, τους εργαζόμενους και τους συμβούλους, τόσο για τη διαχείριση των σχολών μας με αυτά τα άτομα όσο και κατά τη διάρκεια της διεξαγωγής των εργασιών.
Η παρούσα Πολιτική Προστασίας Ημερομηνιών ισχύει για τους σημερινούς και πρώην εργαζόμενους, εργαζόμενους, εθελοντές, συμβούλους μαθητευόμενους («υποκείμενα δεδομένων»).
Η πρακτική είναι «υπεύθυνος επεξεργασίας δεδομένων» για τους σκοπούς αυτών των προσωπικών δεδομένων και είναι υπεύθυνη για τον προσδιορισμό του σκοπού και των μέσων επεξεργασίας των εν λόγω δεδομένων,
Σύμφωνα με την πολιτική διατήρησης αρχείων και τη διαδικασία υπολογιστή και ασφάλειας δεδομένων. Η πρακτική αυτή εφαρμόζεται για την προστασία και τα μέσα επεξεργασίας των εν λόγω δεδομένων.
Η πρακτική θα διατηρεί δεδομένα σύμφωνα με την πολιτική διατήρησης αρχείων, αυτά τα δεδομένα θα διατηρούνται μόνο για όσο χρονικό διάστημα είναι απαραίτητο για τους σκοπούς που έχουν συλλεχθεί.
Αυτή η πολιτική έχει δημιουργηθεί για να συμμορφώνεται πλήρως με τον ΓΚΠΔ και τον νόμο του 2018. Σε περίπτωση σύγκρουσης μεταξύ αυτών των νόμων και αυτής της πολιτικής, η πρακτική θα συμμορφώνεται με το 2018 και τον ΓΚΠΔ.
Οι έξι αρχές προστασίας δεδομένων
Η πρακτική επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σύμφωνα με τις έξι Αρχές Προστασίας Δεδομένων για τον ΓΚΠΔ που προσδιορίζονται από τον ICO, πράγμα που σημαίνει ότι:
• Να είναι επαρκής, συναφής και να περιορίζεται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλεται σε επεξεργασία
• Να υποβάλλονται σε δίκαιη, νόμιμη και διαφανή επεξεργασία
• Να είναι ακριβή και ενημερωμένα, τυχόν ανακριβή δεδομένα πρέπει να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση
• Να συλλέγονται και να υποβάλλονται σε επεξεργασία μόνο για καθορισμένους, ρητούς και νόμιμους σκοπούς
• Δεν πρέπει να διατηρούνται για περισσότερο από το αναγκαίο για τους σκοπούς για τους οποίους υποβάλλεται σε επεξεργασία. και
• Να γίνεται ασφαλής επεξεργασία
Ως «Προσωπικά Δεδομένα» νοούνται οι πληροφορίες που αφορούν ένα ζωντανό πρόσωπο και μπορούν να χρησιμοποιηθούν για την ταυτοποίηση από μόνα τους, or σε συνδυασμό με άλλες πληροφορίες που ενδέχεται να συλλεχθούν από την πρακτική. Αυτό ισχύει είτε οι πληροφορίες αποθηκεύονται φυσικά ηλεκτρονικά είτε σε οποιαδήποτε άλλη μορφή.
Δεν περιλαμβάνει ανωνυμοποιημένη ημερομηνία, αλλά περιλαμβάνει οποιαδήποτε έκφραση γνώμης σχετικά με το άτομο ή οποιαδήποτε ένδειξη των προθέσεων της πρακτικής ή άλλων σε σχέση με αυτό το άτομο.
Η προσωπική ημερομηνία μπορεί να παρέχεται στην πρακτική από το άτομο, ή κάποιον άλλο, ή θα μπορούσε να δημιουργηθεί από την πρακτική. Θα μπορούσε να παρασχεθεί ή να δημιουργηθεί ως μέρος της διαδικασίας πρόσληψης, κατά τη διάρκεια της σύμβασης εργασίας μετά τη λήξη της.
Η πρακτική θα συλλέγει και θα χρησιμοποιεί τους ακόλουθους τύπους προσωπικής ημερομηνίας σχετικά με το προσωπικό:
• Στοιχεία επικοινωνίας και ημερομηνία γέννησης
• Πληροφορίες πρόσληψης π.χ. έντυπο αίτησης, βιογραφικό, παραπομπές, προσόντα κ.λπ.
• Στοιχεία επικοινωνίας έκτακτης ανάγκης
• Φύλο, οικογενειακή κατάσταση και οικογενειακή κατάσταση
• Πληροφορίες σχετικά με τη σύμβαση εργασίας τους
• Τραπεζικά στοιχεία και πληροφορίες σχετικά με το φορολογικό καθεστώς, συμπεριλαμβανομένου του Αριθμού Εθνικής Ασφάλισης
• Πληροφορίες σχετικά με πειθαρχικές έρευνες ή έρευνες παραπόνων σε διαδικασία που τους αφορά
• Ηλεκτρονικές πληροφορίες σε σχέση με τηνir χρήση πληροφοριακών συστημάτων / έξυπνων καρτών / τηλεφωνικών συστημάτων
• Έγγραφα ταυτοποίησης, π.χ. διαβατήριο, πληροφορίες σχετικά με το καθεστώς μετανάστευσης· άδεια οδήγησης· και το δικαίωμα εργασίας για την πρακτική
• Πληροφορίες σχετικά με την απόδοση και τη συμπεριφορά του εργαζομένου στην εργασία
• Εικόνες (είτε τραβήχτηκαν από κλειστό κύκλωμα τηλεόρασης, από φωτογραφία ή βίντεο)
• Αρχεία εκπαίδευσης
• Οποιαδήποτε άλλη κατηγορία προσωπικών έφαγε για την οποία ενδέχεται να ενημερώνουμε από καιρό σε καιρό
Ειδικές κατηγορίες Προσωπικών Δεδομένων
Αυτά περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που αποτελούνται από πληροφορίες που αφορούν:
• Φυλετική ή εθνοτική ομάδα
• Πολιτικές απόψεις
• Θρησκευτικές ή φιλοσοφικές πεποιθήσεις
• Συμμετοχή σε συνδικαλιστική οργάνωση
• Γενετικά ή βιομετρικά δεδομένα
• Υγεία
• Η σεξουαλική ζωή είναι σεξουαλικός προσανατολισμός και
• Ποινικές καταδίκες για αδικήματα
Η πρακτική μπορεί να κατέχει και να χρησιμοποιεί οποιαδήποτε από αυτές τις ειδικές κατηγορίες των προσωπικών σας δεδομένων σύμφωνα με το νόμο.
Επεξεργασία Προσωπικών Δεδομένων
“Ως επεξεργασία νοείται κάθε πράξη που εκτελείται κατά την προσωπική ημερομηνία, όπως:
• Γνωστοποίηση με διαβίβαση, διάδοση ή με άλλο τρόπο διάθεση
• Στοίχιση ή συνδυασμός
• Συλλογή, καταγραφή, οργάνωση, διάρθρωση ή αποθήκευση
• Προσαρμογή ή μεταβολή
• Ανάκτηση, διαβούλευση ή χρήση·
• Και περιορισμός, καταστροφή ή διαγραφή
Η πρακτική θα επεξεργάζεται τα προσωπικά δεδομένα του ατόμου σύμφωνα με τις υποχρεώσεις που προβλέπονται στον νόμο του 2018, όπως:
• Εκτέλεση της σύμβασης εργασίας μεταξύ της πρακτικής και του ατόμου·
• Συμμόρφωση με οποιαδήποτε νομική υποχρέωση
• Ή αν είναι απαραίτητο για την πρακτική που αφορά τα συμφέροντα. Η πρακτική αυτή μπορεί να γίνει μόνο σε περιπτώσεις όπου τα συμφέροντα και τα δικαιώματα του ατόμου δεν υπερισχύουν εκείνων της Πρακτικής. Τα άτομα έχουν το δικαίωμα να αμφισβητήσουν την πρακτική έννομα συμφέροντα και να ζητήσουν να σταματήσει η επεξεργασία του.
Η πρακτική αυτή μπορεί να επεξεργάζεται τα προσωπικά δεδομένα των φυσικών προσώπων για τους σκοπούς αυτούς χωρίς τη γνώση ή τη συγκατάθεσή σας. Η πρακτική δεν θα χρησιμοποιήσει τα προσωπικά σας δεδομένα για άσχετο σκοπό χωρίς να σας ενημερώσει σχετικά και τη νομική βάση για την επεξεργασία τους.
Η πρακτική ενδέχεται να μην είναι σε θέση να εκτελέσει ορισμένα μέρη της μεταξύ μας σύμβασης, π.χ. η πρακτική χρειάζεται τα στοιχεία του τραπεζικού λογαριασμού του υπαλλήλου για να τα πληρώσει.
Πότε η Πρακτική ενδέχεται να επεξεργαστεί τα προσωπικά σας δεδομένα
Η πρακτική αυτή απαιτείται για την επεξεργασία των προσωπικών δεδομένων των ατόμων σε καταστάσεις carious κατά την πρόσληψη, την απασχόλησή τους, ακόμη και μετά τη λήξη της απασχόλησής τους για λόγους που περιλαμβάνουν ενδεικτικά:
• Απόφαση σχετικά με το πόσο θα καταβάλει το προσωπικό και άλλη διάρκεια της σύμβασής του με την πρακτική
• Διασφάλιση ότι έχουν το νόμιμο δικαίωμα να εργαστούν για την πρακτική
• Εκτέλεση της σύμβασης μεταξύ της πρακτικής και του ατόμου, συμπεριλαμβανομένης, κατά περίπτωση, της καταγγελίας της
• Διεξαγωγή πειθαρχικής έρευνας ή διερεύνησης παραπόνων ή διαδικασίας σε σχέση με αυτούς ή κάποιον άλλο
• Παρακολούθηση και προστασία της ασφάλειας της πρακτικής του ατόμου, του λοιπού προσωπικού, των ασθενών και άλλων
• Καταβολή φόρου και εθνικής ασφάλισης
• Παροχή αναφοράς κατόπιν αιτήματος άλλου εργοδότη
• Πρόληψη απάτης ή άλλων ποινικών αδικημάτων
Η πρακτική μπορεί να επεξεργάζεται ειδικές κατηγορίες προσωπικών ημερομηνιών για τη χρήση πληροφοριών σε σχέση με:
• Φυλή, εθνοτική καταγωγή, θρησκεία, σεξουαλικός προσανατολισμός ή φύλο για την παρακολούθηση των ίσων ευκαιριών
• Απουσία ασθενείας, υγεία και ιατρικές καταστάσεις για την παρακολούθηση της απουσίας σας, την αξιολόγηση της κατανόησής σας για εργασία, την καταβολή παροχών, τη συμμόρφωση με τις νομικές μας υποχρεώσεις βάσει του εργατικού δικαίου, συμπεριλαμβανομένης της υποβολής εύλογων προσαρμογών και της φροντίδας της υγείας και της ασφάλειάς σας
Η πρακτική δεν λαμβάνει αυτοματοποιημένες αποφάσεις σχετικά με το ότι τραγουδάτε τα προσωπικά σας δεδομένα ή χρησιμοποιείτε προφίλ σε σχέση με εσάς.
Η πρακτική θα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων φυσικών προσώπων μόνο σε ορισμένες περιπτώσεις σύμφωνα με το νόμο, π.χ. με τη ρητή συγκατάθεσή τους, εάν η πρακτική αίτηση συγκατάθεσης για την επεξεργασία μιας ειδικής κατηγορίας προσωπικών δεδομένων ενός ιδιώτες, οι λόγοι του αιτήματος θα εξηγηθούν.
Η πρακτική δεν είναι να συναινέσει στην επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων ατόμων όταν τα επεξεργάζεται για τους ακόλουθους σκοπούς:
• Όταν είναι αναγκαίο για την άσκηση δικαιωμάτων και υποχρεώσεων βάσει του εργατικού δικαίου·
• Όταν είναι αναγκαίο να προστατεύονται τα ζωτικά συμφέροντα των ατόμων ή τα συμφέροντα άλλου προσώπου, όταν το ένα ή και τα δύο μέρη είναι φυσικά ή νομικά ανίκανα να συναινέσουν
• Όταν το άτομο έχει δημοσιοποιήσει τα δεδομένα
• Όταν η επεξεργασία είναι αναγκαία για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων και
• Όταν η επεξεργασία είναι αναγκαία για τους σκοπούς της ιατρικής της εργασίας ή για την αξιολόγηση της ικανότητας εργασίας των ατόμων
Κοινοποίηση των προσωπικών σας δεδομένων
Μερικές φορές η πρακτική μπορεί να μοιραστεί τα προσωπικά σας δεδομένα με εταιρείες του ομίλου ή με εργολάβους και αντιπροσώπους για την εκτέλεση των υποχρεώσεών μας βάσει της σύμβασής μας μαζί σας ή για τα έννομα συμφέροντά μας.
Απαιτούμε από αυτές τις εταιρείες να διατηρούν τα προσωπικά σας δεδομένα εμπιστευτικά και ασφαλή και να τα προστατεύουν σύμφωνα με το νόμο και τις πολιτικές μας. Επιτρέπεται να επεξεργάζονται τα δεδομένα σας μόνο για τον νόμιμο σκοπό για τον οποίο έχουν μοιραστεί και σύμφωνα με τις οδηγίες μας.
Η πρακτική αυτή δεν διαβιβάζει τα προσωπικά σας δεδομένα εκτός του Ευρωπαϊκού Χώρου Οικονομίας. Εάν αυτό αλλάξει, θα ειδοποιηθείτε και θα εξηγηθούν οι προστασίες που ισχύουν για την προστασία της ασφάλειας των δεδομένων σας.
Επεξεργασία Προσωπικών Δεδομένων για την Πρακτική
Όλο το προσωπικό που εργάζεται για ή για λογαριασμό της έχει κάποια ευθύνη για τη διασφάλιση της συλλογής, αποθήκευσης και χειρισμού των δεδομένων σύμφωνα με την παρούσα πολιτική προστασίας δεδομένων και την πολιτική διατήρησης αρχείων της πρακτικής και τη διαδικασία ασφάλειας υπολογιστών και δεδομένων.
Ο Υπεύθυνος Προστασίας Δεδομένων/ Διαχειριστής Προστασίας Δεδομένων της πρακτικής είναι υπεύθυνος για την αναθεώρηση αυτής της πολιτικής και την ενημέρωση των Διαχειριστών Συνεργατών σχετικά με τις αρμοδιότητες της Πρακτικής για την προστασία των δεδομένων, καθώς και τυχόν κινδύνους σε σχέση με την επεξεργασία δεδομένων.
Όλα τα μέλη του προσωπικού πρέπει να ακολουθούν αυτούς τους κανόνες:
• Το προσωπικό πρέπει να έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που καλύπτονται από την παρούσα πολιτική μόνο εάν είναι απαραίτητο για σκοπούς που είναι απαραίτητοι για την εργασία τους ή για λογαριασμό της πρακτικής, και μόνο εάν είναι εξουσιοδοτημένοι να το πράξουν. Τα δεδομένα πρέπει να χρησιμοποιούνται μόνο για τον καθορισμένο νόμιμο σκοπό για τον οποίο αποκτήθηκαν.
• Τα προσωπικά δεδομένα πρέπει να διατηρούνται ασφαλή και να μην κοινοποιούνται σε μη εξουσιοδοτημένα άτομα
• Τα δεδομένα προσωπικού χαρακτήρα στα οποία γίνεται πρόσβαση, αποθηκεύονται και συλλέγονται για σκοπούς εργασίας πρέπει να επανεξετάζονται και να επικαιροποιούνται τακτικά. Αυτό περιλαμβάνει την ενημέρωση σχετικά με την πρακτική των αλλαγών στα προσωπικά σας στοιχεία της σύμβασης.
• Μην κάνετε περιττά αντίγραφα προσωπικών δεδομένων. Τυχόν αχρησιμοποίητα αντίγραφα πρέπει να διατηρούνται ασφαλή πριν από την ασφαλή διάθεσή τους.
• Χρήση ισχυρών κωδικών πρόσβασης σε οθόνες υπολογιστών κλειδώματος όταν δεν είναι στο σταθμό εργασίας σας
• Όπου είναι κατάλληλο, δεδομένα ή χρησιμοποιούμε ξεχωριστά κλειδιά/ κωδικούς, ώστε να μην είναι δυνατή η ταυτοποίηση του υποκειμένου των δεδομένων.
• Μην αποθηκεύετε προσωπικά δεδομένα σε προσωπικούς υπολογιστές ή άλλες συσκευές
• Τα δεδομένα προσωπικού χαρακτήρα δεν θα πρέπει ποτέ να διαβιβάζονται εκτός του Ευρωπαϊκού Οικονομικού Χώρου παρά μόνο για να συμμορφώνονται με το νόμο και με την έγκριση του Υπεύθυνου Προστασίας Δεδομένων
• Κλειδώστε συρτάρια και ντουλάπια αρχειοθέτησης και μην αφήνετε χαρτί με προσωπικά δεδομένα χωρίς επίβλεψη
• Μην αφαιρείτε προσωπικά δεδομένα από τις εγκαταστάσεις του ιατρείου χωρίς εξουσιοδότηση από τον υπεύθυνο της γραμμής μας ή τον Υπεύθυνο Προστασίας Δεδομένων.
• Τα Προσωπικά Δεδομένα θα πρέπει να καταστρέφονται και να απορρίπτονται με ασφάλεια όταν δεν είναι πλέον απαραίτητα.
Χειρισμός παραβιάσεων δεδομένων
Η πρακτική αυτή έχει θεσπίσει ισχυρά μέτρα για την ελαχιστοποίηση και την πρόληψη της εμφάνισης δεδομένων. Σε περίπτωση παραβίασης των προσωπικών δεδομένων, η πρακτική θα λαμβάνει υπόψη τις σχετικές λεπτομέρειες και περιστάσεις και θα διατηρεί αποδεικτικά στοιχεία σχετικά με την εν λόγω παραβίαση. Εάν η παραβίαση ενδέχεται να οδηγήσει σε κίνδυνο για τα δικαιώματα ενός ατόμου, η πρακτική αυτή θα ενημερώσει τον υπεύθυνο του επιτρόπου πληροφοριών εντός 72 ωρών
Αιτήσεις πρόσβασης θέματος
Τα υποκείμενα των δεδομένων μπορούν να υποβάλλουν αίτημα πρόσβασης υποκειμένου («SAR») για πρόσβαση στις πληροφορίες που περιέχει η πρακτική σχετικά με αυτά, το αίτημα αυτό πρέπει να υποβάλλεται γραπτώς. Εάν λάβετε SAR, θα πρέπει να το προωθήσετε αμέσως στον Υπεύθυνο Προστασίας Ημερομηνίας, ο οποίος θα προετοιμάσει μια απάντηση.
Εάν επιθυμείτε να κάνετε SAR σε σχέση με τα προσωπικά σας δεδομένα, αυτό θα πρέπει να γίνει γραπτώς στον υπεύθυνο διαχείρισης δεδομένων προστασίας. Η πρακτική θα ανταποκριθεί εντός ενός μηνός, εκτός εάν το αίτημα είναι περίπλοκο ή πολυάριθμο – εάν συμβαίνει αυτό, τότε η πρακτική θα χρειαστεί περισσότερο χρόνο για να ολοκληρωθεί το αίτημα και μπορεί να παρατείνει την περίοδο απόκρισης κατά δύο επιπλέον μήνες.
Ένα αίτημα πρόσβασης υποκειμένου δεν επιβαρύνεται με τέλος, ωστόσο, εάν το αίτημα θεωρείται προδήλως αβάσιμο ή υπερβολικό, τότε η πρακτική δικαιούται να επιβάλει εύλογο διοικητικό τέλος ή αρνήθηκε να απαντήσει στο αίτημα.
Δικαιώματα υποκειμένου των δεδομένων
Στις περισσότερες περιπτώσεις, η πρακτική δεν θα βασίζεται στη συγκατάθεσή σας ως νόμιμο έδαφος για την επεξεργασία των δεδομένων σας. Εάν η πρακτική ζητήσει τη συγκατάθεσή σας για την επεξεργασία της Προσωπικής σας Ημερομηνίας για συγκεκριμένο σκοπό, έχετε το δικαίωμα να αρνηθείτε ή να ανακαλέσετε τη συγκατάθεσή σας αργότερα.
Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να πληροφορίες σχετικά με τα προσωπικά δεδομένα που επεξεργάζεται η πρακτική, τον τρόπο επεξεργασίας τους σε ποια βάση.
Έχουν το σφιχτό για:
• Πρόσβαση στα προσωπικά τους δεδομένα μέσω αιτήματος πρόσβασης υποκειμένου
• Διορθώστε τυχόν απορίες στα προσωπικά τους δεδομένα
• Ζητήστε να διαγράψουμε τα προσωπικά τους δεδομένα σε περίπτωση που η πρακτική δεν είχε το δικαίωμα βάσει του νόμου να τα επεξεργαστούμε ή τα δεδομένα δεν είναι πλέον απαραίτητα για το σκοπό που συλλέχθηκαν
• Αντικείμενο της επεξεργασίας δεδομένων όταν η πρακτική αυτή στηρίζεται σε έννομο συμφέρον και το υποκείμενο των δεδομένων ισχυρίζεται ότι τα δικαιώματα και τα συμφέροντά τους υπερτερούν εκείνων της πρακτικής που επιθυμούν να σταματήσουμε
• Αντικείμενο εάν η πρακτική επεξεργάζεται τα προσωπικά τους δεδομένα με σκοπό την άμεση εμπορική προώθηση
• Λάβετε αντίγραφο των προσωπικών τους δεδομένων και διαβιβάστε τα προσωπικά τους δεδομένα σε άλλον υπεύθυνο επεξεργασίας δεδομένων. Η πρακτική δεν θα χρεώνει για αυτό και στις περισσότερες περιπτώσεις θα έχει ως στόχο να το κάνει αυτό εντός ενός μηνός
• Με ορισμένες εξαιρέσεις, έχουν το δικαίωμα να μην εκτίθενται ή να υποβάλλονται σε αυτοματοποιημένη λήψη αποφάσεων –
• Να ειδοποιούνται για παραβίαση της ασφάλειας δεδομένων που αφορά τα προσωπικά τους δεδομένα
Εάν έχετε ένα παράπονο σχετικά με τον τρόπο με τον οποίο τα δεδομένα σας είναι λογικά που δεν μπορούν να επιλυθούν με την πρακτική έχετε το δικαίωμα να παραπονεθείτε στον Επίτροπο Πληροφοριών, μπορείτε να το κάνετε αυτό επικοινωνώντας με το Γραφείο των Επιτρόπων Πληροφοριών.
Σε περίπτωση διόρθωσης ή διαγραφής των προσωπικών σας δεδομένων ή η πρακτική αμφισβητεί τη νομιμότητα της επεξεργασίας, υποβάλλετε αίτηση για τον περιορισμό της χρήσης τουςκατά τη διάρκεια της υποβολής της αίτησης.
[/vc_column_text][vc_column_text trp_param_show_language=”en_GB” trp_param_show=”true”]
DATA PROTECTION & GDPR POLICY
The practice complies with the legal obligations of the Date Protection Act 2018 (the Act 2018) and the EU General Data Protection Regulation (“GPR”). The practice gathers and uses data about workers, employees and consultants, both to manage our relationships with these individuals and in the course of conducting out business.
This Date protection Policy applies to current and formers employees, workers, volunteers, consultants an apprentices (“data subjects”).
The practice is a “data controller” for the purposes of these individuals personal data and is responsible for determining the purpose and means of the processing of that data, In line with our records retention policy and computer and Data Security procedure.
The practice has measures in place to protect and means of the processing of that data.
The practice will retain data in accordance with our records retention policy, this data will only be held for as long as is necessary for the purposes it has been collected.
This policy has been created to be fully compliant with GDPR and the 2018 Act.
Where any conflict arises between those laws and this policy, the practice will comply with the 2018 and the GDPR.
The six Data protection principles
The practice processes personal data in accordance with the six Data protection
Principles for GDPR identified by the ICO, which it means it will:
Be adequate, relevant and limited to what is necessary for the purposes for
which it is processed
Be processed fairly, lawfully and transparently
Be accurate and kept up to date, any inaccurate data must be deleted or
rectified without delay
Be collected and processed only for specified, explicit and legitimate purposes
Not be kept for longer than is necessary for the purposes for which ti is
processed; and
Be processed securely
“Personal Data” is defined as information relating to a living person that can be used
to identify on its own, or in combination with other information likely to be collected
by the practice. This applies whether the information is stored physically
electronically or in any other format.
It doesn’t include anonymised date, but does include any expression of opinion
about the person or any indication of the intentions of the practice or others in
respect of that individual.
Personal date might be provided to the practice by the individual, or someone else,
or it could be created by the practice. It could be provide or created as a part of the
recruitment process, in the course of the contract of employment of after its
termination.
The practice will collect and use the following types of personal date about
staff:
Contact details and date of birth
Recruitment information e.g. application form, CV, references, qualifications
etc.
Emergency contact details
Gender, marital status and family status
Information regarding their contract of employment
Bank details and information in relation to tax status, including National
Insurance Number
Information relating to disciplinary or grievance investigations an proceedings
involving them
Electronic information in relation to their used of IT SYSTEMS / smart
CARDS/ telephone systems
Identification documents e.g. passport, information in relation to immigration
status; driving license; and right to work for the practice
Information relating to an employee’s performance and behaviour at work
Images (whether captured on CCTV, by photograph or video)
Training records
Any other category of personal ate which we may notify o of from time to time
Special categories of Personal Data
These comprise personal data consisting of information relating to:
Racial or ethnic group
Political opinions
Religious or philosophical beliefs
Trade union membership
Genetic or biometric data
Health
Sex life an sexual orientation and
Criminal convictions an offences
The practice may hold and use any of these special categories of your personal data
in accordance with the law.
Processing Personal Data
“Processing means any operation which id performed on personal date such as:
Disclosure by transmission, dissemination or otherwise making available
Alignment or combination
Collection, recording, organisation, structuring or storage
Adaption or alteration
Retrieval, consultation or used ;
And restriction, destruction or erasure
The practice will process individual’s personal data in accordance with the
obligations prescribed under the 2018 Act, including:
Performing the contract of employment between the practice and individual;
Complying with any legal obligation
Or if is necessary for the practice legitimate interests. The practice can only
do this in circumstances where the individual’s interests and rights do not
override those of the Practice. Individuals have the right to challenge the
practice legitimate interests and request that his processing be halted.
The practice may process individuals’ personal data for these purposes without your
knowledge or consent. The practice will not use your personal data for an unrelated
purpose without informing you about it and the legal basis for processing it.
The practice may be unable to carry out certain parties of the contract between us,
e.g. the practice needs staff member’s bank account details to pay them.
When the Practice might process your personal data
The practice is required to process individuals’ personal data in carious situations
during their recruitment, employment and even following termination of their
employment for reasons including but not limited to:
Deciding how much to pay staff and other term of their contract with the
practice
Ensuring they have the legal right to work for the practice
Carrying out the contract between the practice and the individual including
where relevant, its termination
Carrying out disciplinary or grievance investigation or procedure in relation to
them or someone else
Monitoring and protecting the security of the practice of the individual, other
staff, patients and others
Paying tax and national insurance
Providing a reference upon request from another employer
Preventing an detecting fraud or other criminal offences
The practice may process special categories of personal date to use information in
relation to your:
Race, ethnic, origin, religion, sexual orientation or gender to monitor equal
opportunities
Sickness absence, health and medical conditions to monitor your absence,
assess your fitness for work, to pay you benefits, to comply with our legal
obligations under employment law including to make reasonable adjustments
and to look after your health and safety
The practice does not take automated decisions about you sing your personal data
or use profiling in relation to you.
The practice will only process special categories of individuals’ personal data in
certain situations in accordance with the law e.g. with their explicit consent, if the
practice request consent to process a special category of an individuals’ personal
data, the reasons for the request will be explained.
The practice doesn’t to nee consent to process special categories of individuals’
personal data when it is processed it for the following purposes:
Where it is necessary for carrying out rights and obligations under
employment law;
Where it is necessary to protect individuals’ vital interests or those of another
person where one or both parties are physically or legally incapable of giving
consent
Where the individual has made the data public
Where processing is necessary of the establishment, exercise or defence of
legal claims and
Where processing is necessity for the purposes of occupational medicine or
for the assessment of the individuals’ working capacity
Sharing your Personal Data
Sometimes the practice might share your personal data with group companies or out
contractors and agents to carry out our obligations under our contract with you or for
our legitimate interests.
We require those companies to keep your personal data confidential and secure and
to protect it in accordance with the law and our policies. They are only permitted to
process your data for the lawful purpose for which it has been share and in
accordance with our instructions.
The practice does not sent your personal data outside the European Economic Area.
If this changes you will be notified and the protections in place to protect the security
of your data will be explained.
Processing Personal Data for the Practice
All staff who work for, or on behalf of , the practice has some responsibility for
ensuring data is collected , stored and handled appropriately in line with this Data
Protection policy and the Practice’s Records Retention Policy and Computer and
Data Security Procedure.
The practice’s Data Protection officer/ Data Protection Manager is responsible for
reviewing this policy and updating the Managing Partners on the Practice’s
responsibilities for data protection, and any risks in relation to the processing of data.
All members of staff must follow these rules:
Staff must only access personal data covered by this policy if needed for
purposes necessary to their job, or on behalf of the practice, and only if they
are authorised to do so. The data must only be utilised for the specified lawful
purpose for which it was obtained.
Personal data must be kept secure and not shared with unauthorised people
Personal data that is accessed, stored and collected for working purposes
must be regularly reviewed and updated. This includes informing the practice
of changes to your personal contract details.
Do not make unnecessary copies of personal data. Any unused copies must
be kept safe before being securely disposed of.
Use strong passwords an lock computer screens when not at your workstation
Where suitable, anonymise data or use separate keys/ codes so that the data
subject cannot be identified.
Do not save personal data to personal computers or other devices
Personal data should never be transferred outside the European Economic
Area except to comply with the law and with the authorisation of the Data
Protection Officer
Lock drawers and filing cabinets and do not leave paper with personal data
unattended
Do not remove personal data from the practice’s premises without
authorisation form our line manager or Data Protection Officer.
Personal Data should be shredded and securely disposed of when it is no
longer needed.
Handling Data Breaches
The practice has robust measures in place to minimise and prevent data braches
from occurring. Should a breach of personal data occur, the practice will make note
of the relevant details and circumstances and keep evidence related to that breach.
If the breach is likely to result in a risk to the rights and freedoms of individual the n
the practice will notify the information commissioner’s officer within 72 hours
Subject Access requests
Data subjects can make a Subject Access request (“SAR”) to access the information
the practice holds about them, this request must be made in writing. If you receive a
SAR you should forward it immediately to the Date Protection Officer, who will
prepare a response.
If you wish to make a SAR in relation to your own personal data this should be made
in writing to the protection data manager officer. The practice will respond within one
month unless the request is complex or numerous – if this is the case, then the
practice wil need more time to complete the request and can extend the response
period by a further two months.
A subject access request does not incur a fee, however if the request is deemed to
be manifestly unfounded or excessive then practice is entitled to charge a
reasonable administrative fee, or refused to respond to the request.
Data Subject’s Rights
In most situations the practice will not rely on your consent as a lawful ground to
process your data. If the practice does request your consent to the processing of
your Personal Date for a specific purpose, you have the right to decline or withdraw
your consent at later time.
Data subjects have the right to information about what personal data the practice
process, how it is processed an on what basis. They have the tight to:
Access their personal data via a Subject access request
Correct any inquiries in their personal data
Request that we erase their personal data in the case that the practice was
not entitled under the law to process it, or the data is no longer needed fo the
purpose it was collected
Object to data processing where the practice is relying on a legitimate interest
to do so and the data subject contends that their rights and interests outweigh
those of the practice wish us to stop
Object if the practice processes their personal data for the purposed of direct
marketing
Receive a copy of their personal data and transfer their personal data to
another data controller. The practice will not charge for this and will in most
cases aim to tod this within one month
With some exceptions, they have the right not to be exposed or subjected to
automated decision – making
Be notified of a data security breach concerning their personal data
If you have a complaint about how your data is processed that can’t be resolved with
practice you have the right to complain to the information Commissioner, you can do
this by contacting the information Commissioners’ Office.
Where your personal data is being corrected or erased or the practice is contesting
the lawfulness of the processing, you cn apply for its use to be restricted while the
application is made.
[/vc_column_text][/vc_column][/vc_row]