ΓΕΝΙΚΗ ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
H συμμόρφωση με τις απαιτήσεις του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΕΕ) 2016/679 (ΓΚΠΔ) αλλά και του εθνικού Ν. 4624/2019, αποτελεί προτεραιότητα για το ΣΥΛΛΟΓΟ ΑΠΟΦΟΙΤΩΝ ΣΤΥΑ (Σ.Α.Σ) (εφεξής αναφερόμενος ως «Σ.Α.Σ»).
Γενικά
Ως προσωπικό δεδομένο ορίζεται κάθε πληροφορία που αφορά ένα φυσικό πρόσωπο, ως ένα ταυτοποιημένο ή ταυτοποιήσιμο άτομο εν ζωή. Σε αυτές τις πληροφορίες περιλαμβάνονται το ονοματεπώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, ο αριθμός τηλεφώνου, το e-mail, ο κώδικας διαδικτυακού πρωτοκόλλου (IP) ή πληροφορίες για την υγεία του.
Ορισμένα ευαίσθητα δεδομένα, όπως τα δεδομένα που αφορούν την υγεία, τη φυλετική́ ή εθνοτική καταγωγή́, τα πολιτικά́ φρονήματα και τον γενετήσιο προσανατολισμό́, λαμβάνουν ειδική προστασία και διαχειρίζονται με μεγαλύτερη προσοχή, πάντοτε σε συνάρτηση με την προστασία της ιδιωτικότητας των υποκειμένων αυτών των δεδομένων.
Το εν λόγω νομοθετικό πλαίσιο ισχύει όταν οποιαδήποτε επεξεργασία δεδομένων, όπως για παράδειγμα η συλλογή, η χρήση και η αποθήκευση των δεδομένων των φυσικών προσώπων πραγματοποιείται είτε με ηλεκτρονικά μέσα είτε σε έντυπη μορφή́, πάντοτε όμως μέσω ενός διαρθρωμένου συστήματος αρχειοθέτησης.
Αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων
Ο Σ.Α.Σ τηρεί τις βασικές αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
- Τα δεδομένα προσωπικού χαρακτήρα, όπως ορίζει το άρθρο 5 του ΓΚΠΔ υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»).
- Επιπλέον, συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Η περαιτέρω επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»).
- Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από το Σ.Α.Σ είναι πάντοτε κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»). Επιπλέον, είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται. Ο Σ.Α.Σ διασφαλίζει ότι λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («αρχή της ακρίβειας»).
- Επιπρόσθετα, τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο ΓΚΠΔ για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»). Ο Σ.Α.Σ συγκεκριμένα υποχρεούται να τηρεί αρχείο με τα προσωπικά δεδομένα των ωφελούμενων, των μελών του, συλλόγων, ομοσπονδιών, ενώσεων, των ψηφοφόρων του, των δημοσιογράφων και των εργαζομένων του για όσο χρόνο απαιτείται στο πλαίσιο εκπλήρωσης των καθηκόντων του, για την ομαλή εκτέλεση του έργου του, για την ορθή εκτέλεση των εργασιακών συμβάσεων με τους υπαλλήλους του, και για όσο χρονικό διάστημα είναι απαραίτητο για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
- Τέλος, τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια τους, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
- το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας
- τους σκοπούς της επεξεργασίας,
- περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,
- τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,
- όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,
- όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διατήρησης των διαφόρων κατηγοριών δεδομένων,
- όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1.
- Αρχείο Δραστηριοτήτων Επεξεργασίας Δεδομένων
- Ο Σ.Α.Σ είναι υποχρεωμένος να τηρεί αρχείο δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:
- Προσωπικά Δεδομένα που συλλέγονται
- Ο Σ.Α.Σ αποτελεί τον Υπεύθυνο Επεξεργασίας των προσωπικών δεδομένων των υποκειμένων που συλλέγει και επεξεργάζεται. Για να παρέχει τις υπηρεσίες του με τον καλύτερο δυνατό τρόπο, συλλέγει τα εξής:
- Ωφελούμενοι: Αιτήματα, συνηγορίες ωφελούμενων. Κατόπιν συγκατάθεσης ωφελούμενου: ονοματεπώνυμο, έτος γέννησης, φύλο, νομικό καθεστώς, διεύθυνση κατοικίας ή άλλη διεύθυνση, εκπαιδευτικό επίπεδο, αν εργάζεται ή όχι, τηλέφωνο, email, τρόπος υποβολής αιτήματος, ιδιότητα (π.χ. επαγγελματίας, εκπρόσωπος, συγγενής ωφελούμενου κα). Άνευ συγκατάθεσης: εργασία/απασχόληση, τηλέφωνο, email, εργασία/απασχόληση, εκπαιδευτικό επίπεδο, διεύθυνση.
- Ενδιαφερόμενοι (Δημοσιογράφοι, εργαζόμενοι σε Δημόσιους φορείς, Δήμαρχοι, εκπρόσωποι ειδικών σχολείων): Όνομα, Επίθετο, τηλέφωνο, email, θέση εργασίας.
- Μέλη Διοικητικών Συμβουλίων Συλλόγων - Σωματείων, Ομοσπονδιών/Ενώσεων: Όνομα, επίθετο, κινητό τηλέφωνο, email
- Ψηφοφόροι Σωματείων, Εκλεγμένοι Εκπρόσωποι Συλλόγων - Σωματείων: Όνομα, επίθετο, πατρώνυμο ψηφοφόρων, αποτελέσματα εκλογών με ονοματεπώνυμα εκλεγμένων εκπροσώπων
- Συμμετέχοντες σε εκδηλώσεις του Σ.Α.Σ: Όνομα, επίθετο, email, τηλέφωνο, αιτήσεις συμμετοχής.
Τεχνικά και Οργανωτικά Μέτρα Προστασίας
- Ο Σ.Α.Σ εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με το εθνικό και ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.
- Λαμβάνοντας υπόψη το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο Σ.Α.Σ έχει λάβει τα κάτωθι μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, τα οποία περιλαμβάνουν:
- την ψευδωνυμοποίηση και την κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα,
- τη δυνατότητα διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,
- τη δυνατότητα αποκατάστασης της διαθεσιμότητας της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα εν ευθέτω χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,
- τη διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
- Σε τρίτους συνεργάτες του:
- Σε τρίτους με τους οποίους δεν διατηρεί συνεργασία:
- Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας από την Σ.Α.Σ, λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 33 του ΓΚΠΔ), ο Σ.Α.Σ ως υπεύθυνος επεξεργασίας θα γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, θα συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
Αποδέκτες των Προσωπικών Δεδομένων των Υποκειμένων
Ο Σ.Α.Σ κοινολογεί τα προσωπικά δεδομένα των υποκειμένων που επεξεργάζεται σε τρεις διαφορετικές κατηγορίες αποδεκτών:
Ο Σ.Α.Σ διατηρεί εξωτερικές συνεργασίες με τρίτους στους οποίους συγκαταλέγονται: μηχανικοί πληροφορικής και προμηθευτές τεχνολογικού εξοπλισμού, νομικοί σύμβουλοι, Εποπτικές Αρχές των προγραμμάτων, αρχές χρηματοδότησης, καθώς και άλλοι Φορείς Δημοσίων Συμφερόντων (π.χ. Ελληνική Στατιστική Αρχή).
Όλοι οι συνεργάτες του Σ.Α.Σ προβαίνουν σε επεξεργασία προσωπικών δεδομένων στο όνομα και για λογαριασμό του, δυνάμει ισχυρών συμβατικών δεσμεύσεων και έχουν επιλεγεί με κριτήριο την ουσιαστική εφαρμογή υψηλού επιπέδου μέτρων ασφάλειας αναφορικά με την προστασία των προσωπικών δεδομένων.
Ο Σ.Α.Σ κοινολογεί τα προσωπικά δεδομένα των υποκειμένων που επεξεργάζεται σε τρίτους αποδέκτες (με τους οποίους δεν διατηρεί συνεργασία) μόνο στις ακόλουθες περιπτώσεις:
- Σε περίπτωση που χρειάζεται να υπερασπιστεί το συμφέρον του υποκειμένου (π.χ. σε Υπουργεία, Οργανισμούς, Δήμους, Περιφέρειες, Κέντρα Κοινωνικής πρόνοιας και εν γένει στο σύνολο του Δημόσιου Τομέα και των φορέων του)
- Για λόγους διαφύλαξης ζωτικών τους συμφερόντων
- Εφόσον απαιτείται από συγκεκριμένη νομοθετική διάταξη
- Σε περίπτωση επίσημης δικαστικής, αστυνομικής απόφασης ή εισαγγελικής παραγγελίας, κατόπιν στάθμισης των προστατευόμενων από το Σύνταγμα και τον νόμο δικαιωμάτων και εννόμων αγαθών.
- Σε τρίτους Φορείς, όπως Σωματεία ή Ομοσπονδίες, κατόπιν γραπτού αιτήματος του υποκειμένου:
- Να ενημερώνονται σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν (δικαίωμα πρόσβασης)
- Να ζητούν τη διόρθωση εσφαλμένων, ανακριβών ή ελλιπών δεδομένων προσωπικού χαρακτήρα που τους αφορούν (δικαίωμα διόρθωσης)
- Να υποβάλλουν αίτημα για τη διαγραφή δεδομένων προσωπικού χαρακτήρα όταν δεν είναι πλέον απαραίτητα ή εάν η επεξεργασία είναι παράνομη (δικαίωμα διαγραφής ή «δικαίωμα στη λήθη»).
- Να εναντιώνονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή τους (δικαίωμα εναντίωσης)
- Να υποβάλλουν αίτημα για περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένες περιπτώσεις (δικαίωμα περιορισμού της επεξεργασίας)
- Να λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα σε κοινώς χρησιμοποιούμενο μορφότυπο, αναγνώσιμο από μηχάνημα και να τα αποστέλλουν σε κάποιον άλλον υπεύθυνο επεξεργασίας (δικαίωμα φορητότητας δεδομένων),
- Να υποβάλλουν αίτημα έτσι ώστε αποφάσεις που βασίζονται σε αυτοματοποιημένη επεξεργασία, και βασίζονται στα δεδομένα προσωπικού χαρακτήρα, να γίνονται από φυσικά πρόσωπα και όχι μόνο από υπολογιστές,
- Να υποβάλουν καταγγελία στην Α.Π.Δ.Π.Χ., η οποίο αποτελεί αρμόδια Εποπτική Αρχή για την Ελλάδα.
Διευκρινίζεται ότι ο Σ.Α.Σ δε φέρει ουδεμία ευθύνη για την ανωτέρω επεξεργασία των προσωπικών σας δεδομένων από τρίτους, σε περίπτωση που η κοινοποίηση πραγματοποιείται κατόπιν δικού σας αιτήματος.
Τα δικαιώματα των υποκειμένων των δεδομένων
Ο Σ.Α.Σ αναγνωρίζει τα δικαιώματα των υποκειμένων αναφορικά με την προστασία των προσωπικών δεδομένων τους. Έτσι τα υποκείμενα των δεδομένων έχουν το δικαίωμα:
Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα και πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ισχύουν σε ολόκληρη την Ε.Ε., ανεξάρτητα από το πού γίνεται η επεξεργασία των δεδομένων και πού έχει έδρα ο Σ.Α.Σ.
Ο Σ.Α.Σ θα απαντήσει σε ενδεχόμενα αιτήματα των υποκειμένων για άσκηση των ανωτέρω δικαιωμάτων τους εντός μηνός από την παραλαβή τους, εξαιρετικά δε αυτή η προθεσμία μπορεί να παραταθεί κατά 2 ακόμα μήνες, εφόσον απαιτείται περαιτέρω χρόνος.
Για την διεκπεραίωση οποιουδήποτε από τα παραπάνω δικαιώματα, απαιτείται η ταυτοποίηση του υποκειμένου μέσω επίσημου νομιμοποιητικού εγγράφου ή εξουσιοδότησης νομίμως υπογεγραμμένης με γνήσιο της υπογραφής, προκειμένου ο Σ.Α.Σ να διασφαλίσει την ακεραιότητα και την εμπιστευτικότητα των δεδομένων.
Σε περίπτωση που ένα υποκείμενο των δεδομένων χρειάζεται περαιτέρω διευκρινίσεις ή πληροφορίες σχετικά με τα ανωτέρω δικαιώματα του, μπορεί να επικοινωνήσετε με τους Υπεύθυνους του Σ.Α.Σ, τα στοιχεία των οποίων αναφέρονται παρακάτω.
Υπεύθυνοι
Σας γνωρίζουμε ότι μπορείτε να επικοινωνείτε για οποιοδήποτε ζήτημα σας απασχολεί σχετικά με την ασφάλεια των δεδομένων σας με τον Υπεύθυνο Προστασίας Δεδομένων που έχει ορισθεί για το Σ.Α.Σ στον τηλεφωνικό αριθμό: 2103634377, καθώς και στο email:
Έχετε το δικαίωμα να προσφύγετε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για ζητήματα που αφορούν την επεξεργασία προσωπικών σας δεδομένων. Για την αρμοδιότητα της Αρχής και τον τρόπο υποβολής καταγγελίας, μπορείτε να επισκεφθείτε την ιστοσελίδα της (www.dpa.gr / Τα δικαιώματά μου / Υποβολή καταγγελίας), όπου μπορείτε να βρείτε αναλυτικές πληροφορίες. Ωστόσο, θα χαιρόμασταν ιδιαίτερα αν μας δίνατε την ευκαιρία να επιλύσουμε οποιοδήποτε παράπονο σας το συντομότερο δυνατό, προτού προβείτε σε καταγγελία ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Οι ανωτέρω όροι καθώς και οποιαδήποτε τροποποίηση τους, διέπονται και συμπληρώνονται από το ελληνικό δίκαιο, το δίκαιο της Ευρωπαϊκής Ένωσης και τις σχετικές διεθνείς συνθήκες. Οποιαδήποτε διάταξη των ανωτέρω όρων καταστεί αντίθετη προς το νόμο, παύει αυτοδικαίως να ισχύει και αφαιρείται από το παρόν, χωρίς σε καμία περίπτωση να θίγεται η ισχύς των λοιπών όρων.