Πολιτική Απορρήτου

ΙΙ. ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ (ΓΚΠΔ) – ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ – ΠΟΛΙΤΙΚΗ COOKIES

  1. ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ – ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ

Σημειώνεται ότι, εφόσον μέσω του ιστοτόπου του Σωματείου συλλέγονται και επεξεργάζονται, αυτοματοποιημένα ή μη, δεδομένα προσωπικού χαρακτήρα των Επισκεπτών – Χρηστών, τα οποία στη συνέχεια περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης, θα πρέπει η διαδικασία αυτή να συμμορφώνεται με την κείμενη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, ήτοι τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων/ ΓΚΠΔ/ GDPR, εφεξής ως «ΓΚΠΔ»), το Ν. 4624/2019 και το Ν. 3471/2006, όπως ισχύουν, καθώς και κάθε άλλη σχετική εφαρμοστέα διάταξη.

Πιο συγκεκριμένα, μέσω του ιστοτόπου του Σωματείου θα πρέπει ο Επισκέπτης – Χρήστης αυτού να ενημερώνεται για τα ακόλουθα:

α) Για βασικές έννοιες – ορισμούς του δικαίου προστασίας δεδομένων προσωπικού χαρακτήρα: οι νομοθετικοί ορισμοί εννοιών όπως «δεδομένα προσωπικού χαρακτήρα», «επεξεργασία», «σύστημα αρχειοθέτησης», «υπεύθυνος επεξεργασίας», «εκτελών την επεξεργασία», «αποδέκτης», «συγκατάθεση», «παραβίαση δεδομένων προσωπικού χαρακτήρα», κ.λπ. θα πρέπει να τεθούν στην αρχή της εν λόγω Ενότητας του ιστοτόπου, προκειμένου ο Επισκέπτης να είναι σε θέση, βάσει αυτών, να λάβει ενημερωμένη απόφαση κάθε φορά για το εάν επιθυμεί να συγκατατεθεί στην επεξεργασία των προσωπικών του δεδομένων και για ποιους σκοπούς, να ανακαλέσει τυχόν τη συγκατάθεσή του και εν γένει να μπορεί να ασκήσει τα δικαιώματά του που απορρέουν από το ΓΚΠΔ.

β) Για το ποια δεδομένα και κατηγορίες δεδομένων προσωπικού χαρακτήρα συλλέγονται, αποθηκεύονται και επεξεργάζονται, για το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα του προσωπικού χαρακτήρα [βλ. και αμέσως κατωτέρω, υπό (γ)], τους σκοπούς επεξεργασίας αυτών, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων και ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς[1], τους τρόπους τυχόν κοινοποίησης δεδομένων (και ποιων δεδομένων) σε τρίτες εταιρείες ή άλλα νομικά ή φυσικά πρόσωπα ως μέρος τυχόν συμβάσεων του Σωματείου με αυτά και τους σκοπούς επεξεργασίας αυτών, την τυχόν μεταφορά των δεδομένων σε παραλήπτες που μπορεί να βρίσκονται σε άλλες χώρες εκτός από αυτήν στην οποία πραγματοποιήθηκε η αρχική συλλογή των προσωπικών δεδομένων (διασυνοριακή επεξεργασία[2]), το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό δεν είναι δυνατό, τουλάχιστον για τα κριτήρια που καθορίζουν το εν λόγω διάστημα [καλό θα ήταν να αναφέρονται και συγκεκριμένα παραδείγματα με περιόδους διατήρησης δεδομένων ανά σκοπό επεξεργασίας, π.χ. «η δήλωση συγκατάθεσής σας για αποστολή ενημερωτικού δελτίου (newsletter) τηρείται για όσο χρόνο σας αποστέλλεται newsletter από το Σωματείο, δυνάμει μη απεγγραφής σας, και, σε κάθε περίπτωση, όχι περισσότερο από έξι μήνες από τη διακοπή αποστολής του»], την ύπαρξη δικαιώματος υποβολής αιτήματος στον Υπεύθυνο Επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία, την ταυτότητα του Υπευθύνου Επεξεργασίας ή, κατά περίπτωση, του εκτελούντος την επεξεργασία για λογαριασμό του πρώτου, το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή (βλ. και κατωτέρω ενδεικτική διατύπωση για Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), για τις απαραίτητες παρεχόμενες πληροφορίες στην περίπτωση που τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων, για τις απαραίτητες παρεχόμενες πληροφορίες και κάθε διαθέσιμη πληροφορία σχετικά με την προέλευση των δεδομένων στην περίπτωση που τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, και για την ενδεχόμενη ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 του ΓΚΠΔ και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων, κ.λπ.[3]

γ) Για τα δικαιώματα του Επισκέπτη – Χρήστη του ιστοτόπου – υποκειμένου των δεδομένων και τον τρόπο άσκησης αυτών (μέσω της επικοινωνίας με τον Υπεύθυνο Επεξεργασίας), και ιδίως[4]: για το δικαίωμα στην ενημέρωση και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων στην περίπτωση που τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το ίδιο το υποκείμενο και σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, το δικαίωμα διόρθωσης ανακριβών δεδομένων προσωπικού χαρακτήρα, το δικαίωμα διαγραφής («δικαίωμα στη λήθη»), το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα στη φορητότητα των δεδομένων, το δικαίωμα εναντίωσης, το δικαίωμα ανάκλησης της προηγουμένως δοθείσας συναίνεσης, κ.λπ.

δ) Για τη/τις νόμιμη/ες βάση/εις για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των Χρηστών του ιστοτόπου από το Σωματείο[5], ήτοι, κατά περίπτωση (ενδεικτικά):

  • Την προηγούμενη συναίνεση του υποκειμένου των δεδομένων στην επεξεργασία των δεδομένων του προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς. Κατά τη συλλογή των προσωπικών δεδομένων των Χρηστών, θα πρέπει οι τελευταίοι να ενημερώνονται για το ποια δεδομένα είναι απαραίτητα σε σχέση με κάθε συγκεκριμένη υπηρεσία/ενέργεια, ή/και
  • Το γεγονός ότι η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του Σωματείου (π.χ. φορολογική νομοθεσία κ.λπ.), ή/και
  • Το γεγονός ότι η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης, της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, ή/και
  • Το γεγονός ότι η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον, ή/και
  • Το γεγονός ότι η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει το Σωματείο ή τρίτος (συλλογή και επεξεργασία των προσωπικών δεδομένων των Χρηστών του ιστοτόπου με τρόπο που εύλογα αναμένεται ως μέρος της λειτουργίας του Σωματείου και του ιστοτόπου αυτού), εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

ε) Για τους τρόπους επικοινωνίας με τον Υπεύθυνο Επεξεργασίας για κάθε ζήτημα ή αίτημα του υποκειμένου των δεδομένων – Χρήστη του ιστοτόπου που σχετίζεται με τη συλλογή και την επεξεργασία των προσωπικών δεδομένων του.

στ) Για το εφαρμοστέο δίκαιο (ιδίως τους ΓΚΠΔ, Ν. 4624/2019 και Ν. 3471/2006, όπως ισχύουν) και τους τρόπους επίλυσης τυχόν διαφορών απορρεουσών από ή σχετικών με την προστασία των προσωπικών δεδομένων των Χρηστών του ιστοτόπου του Σωματείου [π.χ. με διαμεσολάβηση σύμφωνα με τον Κανονισμό Διαμεσολάβησης του Ευρωπαϊκού Οργανισμού Διαμεσολάβησης και Διαιτησίας (Ε.Ο.ΔΙ.Δ.), ή με προσφυγή σε διαιτησία, ή με προσφυγή στα Δικαστήρια, ορισμός κατά τόπον αρμοδίων Δικαστηρίων κ.λπ.].

η) Για τη δυνατότητα προσφυγής, σε περίπτωση που το υποκείμενο των δεδομένων θεωρεί ότι υπάρχει παραβίαση των διατάξεων του ισχύοντος δικαίου για την προστασία των προσωπικών δεδομένων από το Σωματείο, στην αρμόδια Αρχή: π.χ. «Έχετε δικαίωμα να υποβάλλετε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εάν θεωρείτε ότι η επεξεργασία των προσωπικών σας δεδομένων παραβιάζει καθ’ οιονδήποτε τρόπο το ισχύον εθνικό και κανονιστικό πλαίσιο – δίκαιο για την προστασία των προσωπικών δεδομένων.

Στοιχεία επικοινωνίας με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Διεύθυνση: Λεωφ. Κηφισίας αρ. 1-3, Τ.Κ.: 115 23, Αθήνα, τηλέφωνο: 2106475600, διεύθυνση ηλεκτρονικού ταχυδρομείου (e-mail): contact@dpa.gr. Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε την ιστοσελίδα: https://www.dpa.gr/».

Ακόμη, όταν γίνονται σημαντικές αλλαγές – ενημερώσεις στην Πολιτική Απορρήτου ή στον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά δεδομένα των υποκειμένων προσωπικών δεδομένων – Χρηστών του ιστοτόπου, θα πρέπει να επικαιροποιείται αναλόγως η Πολιτική Απορρήτου προτού οι αλλαγές τεθούν σε ισχύ και να ενημερώνονται οι Χρήστες του ιστοτόπου με κάθε πρόσφορο μέσο. Καλό είναι να περιλαμβάνεται στον ιστότοπο ενημέρωση για την τελευταία τροποποίηση της Πολιτικής Απορρήτου (π.χ. «Η παρούσα Πολιτική Απορρήτου τροποποιήθηκε για τελευταία φορά την …»).

  1. ΠΟΛΙΤΙΚΗ COOKIES

Αναφορικά με τα cookies, επισημαίνεται ότι, σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αυτά ορίζονται ως μικρά αρχεία κειμένου με πληροφορίες, τα οποία αποθηκεύονται από τον διακομιστή (server) ενός ιστοτόπου στην τερματική συσκευή (π.χ. υπολογιστής, κινητό τηλέφωνο κλπ.) ενός επισκέπτη-χρήστη κατά την πλοήγηση σε αυτόν. Ο ιστοτόπος ανακτά τις εν λόγω πληροφορίες σε κάθε επίσκεψη, προκειμένου να προσφέρει σχετικές με αυτές υπηρεσίες. Χαρακτηριστικό παράδειγμα είναι οι προτιμήσεις του χρήστη σε μια ιστοσελίδα, όπως αυτές δηλώνονται από τις επιλογές που κάνει σε αυτή (π.χ. επιλογή συγκεκριμένων «κουμπιών», αναζητήσεων κ.λπ.).

Σύμφωνα με το άρθρο 4 παρ. 5 του Ν. 3471/2006, όπως ισχύει, η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνο αν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του μετά από σαφή και εκτενή ενημέρωση. Εξαίρεση στην υποχρέωση λήψης συγκατάθεσης, σύμφωνα με την ως άνω παράγραφο, αποτελεί η περίπτωση «τεχνικής φύσεως αποθήκευσης ή πρόσβασης» σε πληροφορίες με αποκλειστικό σκοπό τη «διενέργεια της διαβίβασης μίας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή η οποία [τεχνικής φύσεως αποθήκευση ή πρόσβαση] είναι αναγκαία για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας, την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδρομητής». Ουσιαστικά, δεν απαιτείται η συγκατάθεση του Χρήστη για τα cookies τα οποία θεωρούνται τεχνικώς απαραίτητα για την πραγματοποίηση της σύνδεσης στον ιστοτόπο ή για την παροχή της υπηρεσίας διαδικτύου. Τα cookies μπορεί να εγκαθίστανται από τον ίδιο τον πάροχο της ιστοσελίδας που επισκέπτεται  ο χρήστης (first-party cookies) ή από άλλους μέσω του παρόχου της ιστοσελίδας  που επισκέπτεται ο Χρήστης (third-party cookies).

Ο ΓΚΠΔ αναφέρεται επιγραμματικά στα cookies στην αιτιολογική σκέψη 30: «Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων. Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους».

Περαιτέρω, στην αιτιολογική σκέψη 25 της Οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 12ης Ιουλίου 2002 σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (Oδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), όπως τροποποιηθείσα ισχύει, αναφέρονται, μεταξύ άλλων, τα εξής:
«… η χρησιμοποίηση τέτοιων διατάξεων, των λεγόμενων “cookies” για παράδειγμα, μπορεί να αποτελεί θεμιτό και χρήσιμο μέσο, π.χ. για την ανάλυση της αποτελεσματικότητας του σχεδιασμού και της παρουσίασης μιας ιστοσελίδας και τον έλεγχο της ταυτότητας χρηστών που πραγματοποιούν συναλλαγές σε απευθείας σύνδεση (on-line). Όταν οι διατάξεις αυτές, όπως επί παραδείγματι τα “cookies”, προορίζονται για θεμιτούς σκοπούς, για να διευκολυνθεί φέρ’ ειπείν η παροχή υπηρεσιών στην κοινωνία των πληροφοριών, η χρησιμοποίησή τους θα πρέπει να επιτρέπεται υπό τον όρον ότι παρέχονται στους χρήστες σαφείς και ακριβείς πληροφορίες σύμφωνα με την οδηγία 95/46/ΕΚ για τον προορισμό των «cookies» ή τυχόν ανάλογων διατάξεων, ώστε να εξασφαλίζεται ότι είναι εν γνώσει του χρήστη οι πληροφορίες που αποθηκεύονται στον τερματικό εξοπλισμό που χρησιμοποιεί. Οι χρήστες θα πρέπει να έχουν την ευκαιρία να αρνηθούν την αποθήκευση «cookies» ή παρόμοιων διατάξεων στον τερματικό τους εξοπλισμό. Τούτο είναι ιδιαίτερα σημαντικό σε περιπτώσεις όπου πρόσβαση στον τερματικό εξοπλισμό, και επομένως και σε κάθε είδους ευαίσθητα δεδομένα προσωπικού χαρακτήρα που έχουν αποθηκευθεί σε ένα τέτοιο εξοπλισμό, έχουν και άλλοι εκτός από τον πρωταρχικό χρήστη. Οι πληροφορίες για τη χρήση διαφόρων διατάξεων που θα εγκατασταθούν στον τερματικό εξοπλισμό του χρήστη καθώς και το δικαίωμα να αρνηθεί αυτές τις διατάξεις, μπορούν να προσφέρονται μόνο μία φορά κατά τη διάρκεια της ίδιας σύνδεσης, και να καλύπτουν επίσης την μελλοντική ενδεχομένως χρήση αυτών των διατάξεων σε μεταγενέστερες συνδέσεις. Οι τρόποι της παροχής πληροφοριών, της παροχής του δικαιώματος άρνησης ή αίτησης συγκατάθεσης θα πρέπει να είναι όσο το δυνατόν προσιτότεροι για τον χρήστη. Για την πρόσβαση σε συγκεκριμένο περιεχόμενο ιστοσελίδων επιτρέπεται πάντως να τίθεται ως όρος η ενημερωμένη αποδοχή «cookies» ή παρόμοιων διατάξεων, εφόσον χρησιμοποιούνται για σύννομο σκοπό».

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε σχετικά το από 25.02.2020

με αρ. πρωτ. Γ/ΕΞ/1525 Δελτίο Τύπου με «Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες»[6], στο οποίο περιλαμβάνεται, υπό μορφή σημείων, καθοδήγηση για τη σύννομη χρήση cookies και συναφών τεχνολογιών, καθώς και σχετικές πρακτικές που πρέπει να αποφεύγονται.

Σημειώνεται ότι, εφόσον υπάρχουν πολλαπλοί σκοποί επεξεργασίας των προσωπικών δεδομένων του Χρήστη του ιστοτόπου, η συγκατάθεση του υποκειμένου των δεδομένων – Χρήστη θα πρέπει να παρέχεται ξεχωριστά για καθέναν από αυτούς. Ακόμη, σε περίπτωση που ο ιστότοπος χρησιμοποιεί τεχνολογίες, όπως τα cookies, που ανήκουν σε τρίτα μέρη (για παράδειγμα, μέσω plug-ins – πρόσθετων) για διαμοιρασμό περιεχομένου λ.χ. σε μέσα κοινωνικής δικτύωσης ή για την προβολή διαφημίσεων, ο ιδιοκτήτης του ιστοτόπου (το Σωματείο), που και σε αυτή την περίπτωση παραμένει ο υπεύθυνος επεξεργασίας, θα πρέπει να διασφαλίσει ότι το τρίτο μέρος επεξεργάζεται τα προσωπικά δεδομένα των Χρηστών με ενδεδειγμένο τρόπο.

Συνοψίζοντας, η εγκατάσταση cookies επιτρέπεται μόνο με την προηγούμενη σχετική συγκατάθεση του Χρήστη του ιστοτόπου και έπειτα από κατάλληλη ενημέρωσή του. Η συγκατάθεση για την εγκατάσταση cookies πρέπει να παρέχεται ελεύθερα, δηλαδή να δίνεται στο Χρήστη του ιστοτόπου η επιλογή για την απόρριψη τουλάχιστον ορισμένων από αυτά.

Προτείνεται να τεθεί στον ιστότοπο ξεχωριστή Ενότητα με τίτλο «Πολιτική Cookies», όπου θα παρέχεται ενημέρωση – τουλάχιστον – για το ποια προσωπικά δεδομένα των Χρηστών συλλέγονται και επεξεργάζονται μέσω cookies και για ποιο/ποιους σκοπό/ούς, ανάλογα με τις κατηγορίες τους («απαραίτητα» cookies, cookies «λειτουργικότητας», «χρηστικότητας και εξατομίκευσης», «διαφήμισης», «συλλογής δεδομένων ανάλυσης» κ.λπ.), για τις περιπτώσεις που η παροχή συγκατάθεσης του Χρήστη του ιστοτόπου είναι απαραίτητη και για τις συνέπειες μη παροχής αυτής (π.χ. η μη συγκατάθεση ούτε στα απολύτως απαραίτητα cookies μπορεί να μην επιτρέπει ορισμένες λειτουργίες, όπως πρόσβαση στον ιστότοπο), για τυχόν cookies που εγκαθίστανται από τρίτα μέρη μέσω του παρόχου του ιστοτόπου  (third-party cookies) για διαμοιρασμό περιεχομένου ή για προβολή διαφημίσεων, κ.ά.

ΙΙΙ. ΛΟΙΠΑ ΖΗΤΗΜΑΤΑ (ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ)

Θα μπορούσε, ακόμη, να προστεθεί στον ιστότοπο του Σωματείου Ενότητα σχετική με την Πολιτική Ασφάλειας, η οποία πραγματοποιείται μέσω Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ), για την προστασία των πληροφοριακών δεδομένων και ιδιαίτερα των προσωπικών δεδομένων των Χρηστών του ιστοτόπου από εκούσια ή ακούσια κλοπή, καταστροφή, ή χρήση κατά παράβαση νομικών διατάξεων.

H εφαρμογή Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών και Προστασίας Προσωπικών Δεδομένων (ΣΔΑΠ), σύμφωνα με σχετικά πρότυπα (ISO/IEC 27701:2019, ISO/IEC 27001:2013, ISO/IEC 27002:2013), στοχεύει κυρίως στα εξής (στόχοι για τους οποίους καλό είναι να ενημερώνεται ο Χρήστης του ιστοτόπου, εφόσον παρέχεται προστασία μέσω ΣΔΑΠ):

  • Προστασία των φυλασσόμενων αρχείων, των υπολογιστικών πόρων και της διακινούμενης στις υπηρεσίες του Σωματείου πληροφορίας από κάθε απειλή, εσωτερική ή εξωτερική, σκόπιμη ή τυχαία,
  • Συστηματική αποτίμηση και αξιολόγηση των κινδύνων που αφορούν στη διασφάλιση πληροφοριών, με στόχο την ορθή και έγκαιρη διαχείρισή τους,
  • Αρχειοθέτηση δεδομένων, αποφυγή ιών και εξωτερικών εισβολών, έλεγχο πρόσβασης στα συστήματα, καταγραφή όλων των περιστατικών ασφαλείας και διαχείριση απρόσμενων εξελίξεων,
  • Διαρκής ενημέρωση της διοίκησης και του προσωπικού του Σωματείου σε θέματα ασφάλειας πληροφοριών,
  • Πιστή εφαρμογή και συνεχής βελτίωση του ΣΔΑΠ, σε συμμόρφωση με τις απαιτήσεις των σχετικών προτύπων.

Μπορεί να οριστεί σχετικά και Υπεύθυνος Διαχείρισης Ασφάλειας Πληροφοριών, ο οποίος θα έχει την ευθύνη για τον έλεγχο και την παρακολούθηση της λειτουργίας του ΣΔΑΠ και την ενημέρωση του εμπλεκόμενου προσωπικού για την Πολιτική Ασφάλειας Πληροφοριών και Προστασίας Προσωπικών Δεδομένων. Το σύνολο του προσωπικού που εμπλέκεται στις δραστηριότητες και διαδικασίες που αφορούν την Ασφάλεια Πληροφοριών και την Προστασία Προσωπικών Δεδομένων θα έχει την ευθύνη να εφαρμόζει την Πολιτική Ασφάλειας και τις ανάλογες διαδικασίες του ΣΔΑΠ στον τομέα της εργασίας του και θα δεσμεύεται στην τήρηση των αρχών σε σχέση με την Ασφάλεια Πληροφοριών και την Προστασία Προσωπικών Δεδομένων.

[1] Όταν τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις, σύμφωνα με το άρθρο 46 του ΓΚΠΔ σχετικά με τη διαβίβαση (παρ. 2 του άρθρου 15 του ΓΚΠΔ).

[2] Κατά την έννοια του ΓΚΠΔ (άρθρο 4 περ. 23), η διασυνοριακή επεξεργασία αφορά αποστολή και επεξεργασία δεδομένων προσωπικού χαρακτήρα σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία εντός της Ευρωπαϊκής Ένωσης.

[3] Βλ. ιδίως το άρθρο 15 του ΓΚΠΔ αναφορικά με το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων, καθώς και τα άρθρα 13-14 του ΓΚΠΔ.

[4] Βλ. Κεφάλαιο ΙΙΙ (άρθρα 12-22) του ΓΚΠΔ.

[5] Σύμφωνα με το άρθρο 6 παρ. 1 του ΓΚΠΔ.

[6] https://www.dpa.gr/el/enimerwtiko/deltia/systaseis-gia-ti-symmorfosi-ypeythynon-epexergasias-dedomenon-me-tin-eidiki.