Οι διάφοροι σύλλογοι που δραστηριοποιούνται σε τοπικό ή και πανελλήνιο επίπεδο, λειτουργώντας με την μορφή σωματείου ιδιωτικού δικαίου, έχουν κι αυτοί την υποχρέωση συμμόρφωσής τους με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR).
Έχοντας ασχοληθεί ως δικηγόρος με την συμμόρφωση σωματείων προς τον GDPR προσπάθησα να κωδικοποιήσω τα βήματα που πρέπει να ακολουθήσουν για να μην προκύψουν προβλήματα. Θυμίζω ότι ο GDPR προσθέτει νέες υποχρεώσεις που αν δεν τηρηθούν υπάρχει ο κίνδυνος να ακυρωθούν ακόμη και δικαστικά οι αποφάσεις των διοικήσεων των σωματείων για διάφορους λόγους, οπότε μια σοβαρή διοίκηση που επιδιώκει την ομαλή λειτουργία του σωματείου πρέπει να έχει ολοκληρώσει την συμμόρφωση καταλλήλως.
1. Κατάρτιση αρχείου δραστηριοτήτων επεξεργασιών
Διαδικασίες όπως η υποβολή αίτηση για απόκτηση της ιδιότητας μέλους, η καταβολή χρηματικού ποσού απο τα μέλη προς το ταμείο, η υποβολή υποψηφιότητας για τις εσωτερικές εκλογές και η χρήση λίστας e-mail για αποστολή υλικού προς μέλη - υποστηρικτές - τρίτους δημοσιογράφους είναι ορισμένες από τις ροές δεδομένων που πρέπει να καταγραφούν στο Αρχείο Δραστηριοτήτων και να φυλάσσεται μαζί με τα υπόλοιπα έγγραφα του σωματείου όπως επιβάλλει το άρθρο 30 ΓΚΠΔ.
2. Ενημερώσεις υποκειμένων των δεδομένων
Όλες οι διαδικασίες εισροής δεδομένων προς το σωματείο πρέπει να γίνονται ύστερα από την κατάλληλη ενημέρωση των υποκειμένων των δεδομένων κατά τα άρθρα 12-14 του ΓΚΠΔ. Αυτό σημαίνει ενημέρωση πριν από την αποστολή ενημερωτικών e-mail, ενημέρωση εισόδου σε χώρο που βιντεοσκοπείται, ενημέρωση για την χρήση κάθε προσωπικού δεδομένου που συλλέγεται για τους σκοπούς της λειτουργίας του σωματείου. Η ενημέρωση δεν αφορά μόνο μέλη και υποστηρικτές αλλά και προμηθευτές του σωματείου, εφοσον είναι φυσικά πρόσωπα.
3. Συγκατάθεση του υποκειμένου των δεδομένων
Σε ορισμένες περιπτώσεις η επεξεργασία προσωπικών δεδομένων προϋποθέτει την γραπτή συγκατάθεσή τους, η οποία πρέπει να τηρείται από την διοίκηση του σωματείου σε φυσική ή ψηφιακή μορφή ώστε να είναι ανά πάσα στιγμή αποδείξιμη η συλλογή της.
5. Πολιτική προστασίας προσωπικών δεδομένων
Νέες υποχρεώσεις που εισάγει ο ΓΚΠΔ αφορούν την ειδοποίηση της Αρχής σε περίπτωση διαρροής ή άλλων παραβιάσεων προσωπικών δεδομένων, από τον υπεύθυνο επεξεργασίας. Αυτό σημαίνει ότι χρειάζεται μια εσωτερική πολιτική προστασιας που θα υποδεικνύει τον υπεύθυνο που έχει την υποχρέωση να προχωρήσει στην εφαρμογή των σχετικών διατάξεων γνωστοποίησης της Αρχής ή και των υποκειμένων των δεδομένων
6. Σχέσεις με εκτελούντες την επεξεργασία
Εάν το σωματείο απασχολεί συνεργάτες που επεξεργάζονται προσωπικά δεδομένα (π.χ. λογιστές, δικηγόρους) για λογαριασμό του σωματείου, πρέπει να συντάξει και να υπογράψει τις σχετικές συμβάσεις κατά το άρθρο 28 του ΓΚΠΔ.
7. Υπεύθυνος Προστασίας Δεδομένων
Ανάλογα με τις δραστηριότητές του, ένα σωματείο ιδίως αν δραστηριοποιείται σε περιφερειακό, εθνικό ή και υπερεθνικό επίπεδο θα πρέπει να ορίσει ένα πρόσωπο ως DPO και να γνωστοποιήσει τα στοιχεία επικοινωνίας του προς τα υποκείμενα των δεδομένων στο πλαίσιο της σχετικής ενημέρωσης.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου