Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Επιμελητηρίου Χαλκιδικής
1. Γενικά
1.1 Εισαγωγή
Το Επιμελητήριο Χαλκιδικής («Επιμελητήριο» ή «Οργανισμός») εγγυάται και σέβεται το ιδιωτικό απόρρητο των φυσικών προσώπων που συναλλάσσονται μαζί του, καθώς και την προστασία των προσωπικών δεδομένων των μελών του, των εργαζομένων του, των συνεργατών του, των χρηστών του διαδικτύου και οποιουδήποτε τρίτου, σύμφωνα με τον Ευρωπαϊκό Κανονισμό 2016/679 και το Ν. 4624/2019 (ΦΕΚ Α’ 137), είτε αυτά τηρούνται διαδικτυακά είτε στις εγκαταστάσεις του. Το παρόν κείμενο πολιτικής περιγράφει τόσο τη συλλογή και επεξεργασία δεδομένων των χρηστών κατά την επίσκεψη ή χρήση των παρεχόμενων υπηρεσιών του Ιστοχώρου του Επιμελητηρίου, όσο και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από το Επιμελητήριο στις εγκαταστάσεις του και σε όλα τα ψηφιακά περιβάλλοντα στα πλαίσια των επιταγών της κείμενης νομοθεσίας, του καταστατικού του σκοπού, αλλά και κατά τη διεκπεραίωση καθημερινών δραστηριοτήτων.
Με την επίσκεψή σας στον ιστοχώρο μας, αποδέχεστε τους όρους που περιγράφονται στην πολιτική αυτή. Ο επισκέπτης του Ιστοχώρου μας ή/και χρήστης των υπηρεσιών μας οφείλει να διαβάσει προσεκτικά τους όρους και τις προϋποθέσεις προστασίας των προσωπικών του πληροφοριών που αναφέρονται εδώ. Ενδέχεται να προβούμε σε τροποποίηση των όρων προστασίας των προσωπικών σας δεδομένων. Για αυτό παρακαλούμε, να ελέγχετε τακτικά τους εν λόγω όρους για τυχόν αλλαγές, καθ’ όσον με την επίσκεψή σας αποδέχεστε τους παρόντες όρους και τις τροποποιήσεις τους.
1.2 Ταυτότητα του Υπεύθυνου Επεξεργασίας
Υπεύθυνος επεξεργασίας είναι το Ν.Π.Δ.Δ. με την επωνυμία «Επιμελητήριο Χαλκιδικής» που εδρεύει στον Πολύγυρο Χαλκιδικής, οδός Πολυτεχνείου 58, ΤΚ 63100, τηλ. 2371024200, 2371024300, email: info@epihal.gr
1.3 Ορισμοί
- Δεδομένα προσωπικού χαρακτήρα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
- Ειδικές Κατηγορίες Προσωπικών Δεδομένων («ευαίσθητα δεδομένα»): δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς τα γενετικά
δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
- Επεξεργασία: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
- Ανωνυμοποίηση: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο,
- Ψευδωνυμοποίηση: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,
- Υπεύθυνος επεξεργασίας: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
- Εκτελών την επεξεργασία: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
- Αποδέκτης: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
- Συγκατάθεση του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων δηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, τα δεδομένα προσωπικού χαρακτήρα που το αφορούν να αποτελέσουν αντικείμενο επεξεργασίας,
- Παραβίαση δεδομένων προσωπικού χαρακτήρα: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
- Υφιστάμενη νομοθεσία: Οι διατάξεις της εκάστοτε υφιστάμενης Ελληνικής, Ενωσιακής ή άλλης Νομοθεσίας στην οποία υπάγεται το Επιμελητήριο και ορίζουν ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα, όπως ενδεικτικά:
- ο Νόμος Ν. 4624/2019 (ΦΕΚ Α’ 137) για τα μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680,
- ο Νόμος Ν. 4623/2019 (ΦΕΚ Α’ 134) άρθρο 47 για τα δεδομένα του δημοσίου τομέα,
- ο Νόμος 2472/1997 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως ισχύει
- ο Νόμος 3471/2006 για την προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση του ν. 2472/1997, όπως ισχύει,
- η Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) όπως έχει τροποποιηθεί,
- ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού́ χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, ΓΚΠΔ) και αντίστοιχα εφαρμοστικοί του νόμοι.
- Επίσης, το Επιμελητήριο συμμορφώνεται με το σύνολο της Επιμελητηριακής νομοθεσίας, όπως το Ν. 2081/1992 για τη ρύθμιση του θεσμού των Επιμελητηρίων, όπως τροποποιηθείς ισχύει από το Ν.4497/2017 για τον εκσυγχρονισμό της Επιμελητηριακής νομοθεσίας, καθώς και το σύνολο των οικείων Υπουργικών Αποφάσεων και Εγκυκλίων, τη νομοθεσία που διέπει τη λειτουργία του ως Ν.Π.Δ.Δ. όπως ενδεικτικά ο Κώδικας Διοικητικής Διαδικασίας και την υποχρέωση ανάρτησης πράξεων στη Διαύγεια (Ν. 3861/2010) κοκ. Το ανωτέρω νομοθετικό πλαίσιο δύναται επίσης να ρυθμίζει ζητήματα που αφορούν την τήρηση υποχρέωσης απορρήτου, εμπιστευτικότητας καθώς και προστασίας προσωπικών δεδομένων.
- Παράλληλα, το Επιμελητήριο ακολουθεί το νομοθετικό πλαίσιο λειτουργίας του Γ.Ε.ΜΗ, όπως αυτό ρυθμίζεται ενδεικτικά από το Ν. 4919/2022 (ΦΕΚ Α’ 71/07-04-2022), το Ν. 3419/2005 (ΦΕΚ Α’ 297/06-12-2005), όπως ισχύει, καθώς και το Ν. 4155/2013 για το Εθνικό Σύστημα Ηλεκτρονικών Δημοσίων Συμβάσεων και άλλες διατάξεις (ΦΕΚ Α΄120/2013).
2. Βασικές Αρχές Επεξεργασίας Δεδομένων
Η επεξεργασία των προσωπικών δεδομένων από τον Υπεύθυνο επεξεργασίας ακολουθεί τις αρχές επεξεργασίας προσωπικών δεδομένων που κατοχυρώνονται στο άρθρο 5 του Κανονισμού. Ειδικότερα:
- Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»).
- Πριν από κάθε επεξεργασία, γίνεται έλεγχος της νομιμότητας της επεξεργασίας και καταχωρούνται οι σχετικές πληροφορίες στο αρχείο δραστηριοτήτων της επεξεργασίας.
- Για την επίτευξη του σκοπού της διαφάνειας στην επεξεργασία δεδομένων τηρούνται πλήρως οι διατάξεις του Κανονισμού για την ενημέρωση του υποκειμένου των δεδομένων και οι πληροφορίες σχετικά με την πολιτική και τις δραστηριότητες επεξεργασίας δεδομένων που ακολουθεί το Επιμελητήριο ανακοινώνονται στα υποκείμενα των δεδομένων, σε κατανοητή μορφή, με σαφή και απλή γλώσσα.
- Τα δεδομένα προσωπικού χαρακτήρα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς («περιορισμός του σκοπού»).
- Τα προσωπικά δεδομένα των υποκειμένων των δεδομένων που συλλέγονται για καθορισμένους σκοπούς δεν χρησιμοποιούνται για σκοπούς διαφορετικούς από αυτούς που αναφέρονται στο αρχείο δραστηριοτήτων επεξεργασίας.
- Τα δεδομένα προσωπικού χαρακτήρα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»):
- Ο Οργανισμός συλλέγει μόνο τις απολύτως απαραίτητες πληροφορίες για το σκοπό επεξεργασίας.
- Όλα τα έντυπα συγκατάθεσης και ενημέρωσης περιέχουν ενημέρωση για την επεξεργασία δεδομένων.
- Ο Οργανισμός φροντίζει για τον επανέλεγχο των διαδικασιών συλλογής προσωπικών δεδομένων, ώστε να γίνεται ο έλεγχος για την αναγκαιότητα και αναλογικότητα τους.
- Τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»):
- Τα δεδομένα προσωπικού χαρακτήρα πρέπει να ελέγχονται ως προς την ακρίβειά τους.
- Ο Οργανισμός είναι υπεύθυνος για την εκπαίδευση του προσωπικού στον έλεγχο της ακρίβειας δεδομένων.
- Το υποκείμενο των δεδομένων οφείλει να επιβεβαιώνει ότι τα προσωπικά δεδομένα που το αφορούν είναι ακριβή και ενημερωμένα, ήδη κατά τη συλλογή τους και πρέπει να ενημερώνει τον Οργανισμό για οποιαδήποτε αλλαγή στα προσωπικά του δεδομένα, ώστε να δύναται να γίνει διόρθωση των ανακριβών δεδομένων στα αρχεία του Οργανισμού.
- Τα δεδομένα προσωπικού χαρακτήρα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· («περιορισμός της περιόδου αποθήκευσης»)
- Μετά το πέρας του χρόνου διατήρησης, τα προσωπικά δεδομένα πρέπει να ψευδωνυμοποιούνται ή άλλως να ανωνυμοποιούνται.
- Μόλις παρέλθει η περίοδος διατήρησης των προσωπικών δεδομένων, πρέπει αυτά να καταστρέφονται σύμφωνα με τη διαδικασία ασφαλούς καταστροφής.
- Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
- Ο υπεύθυνος πληροφοριακών συστημάτων θα πρέπει να αξιολογεί τους κινδύνους ασφάλειας και να λαμβάνει τα ενδεδειγμένα μέτρα
- Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).
3. Συλλογή και Επεξεργασία Προσωπικών Δεδομένων στον Ιστοχώρο μας
Κατά την επίσκεψη και πλοήγηση στον Ιστοχώρο μας συλλέγουμε τα παρακάτω προσωπικά δεδομένα:
α) δεδομένα πλοήγησης
Ο ιστοχώρος μας συγκεντρώνει στοιχεία αναγνώρισης των χρηστών του χρησιμοποιώντας τεχνολογίες, όπως τα cookies ή/και την παρακολούθηση διευθύνσεων Πρωτοκόλλου Internet (IP).
Τα cookies είναι μικρά αρχεία κειμένου που αποθηκεύονται στο σκληρό δίσκο κάθε επισκέπτη/ χρήστη και δεν λαμβάνουν γνώση οποιουδήποτε εγγράφου ή αρχείου από τον υπολογιστή του.
Επιπλέον, συλλέγονται αυτόματα πληροφορίες σχετικά με τις τοποθεσίες που επισκέπτεται ο επισκέπτης και σχετικά με τους συνδέσμους σε ιστοχώρους τρίτων που ενδέχεται να επιλέξει ο χρήστης.
Η επεξεργασία των παραπάνω δεδομένων γίνεται με σκοπό να σας παρέχουμε απρόσκοπτη πρόσβαση στις πληροφορίες του Ιστοχώρου μας.
β) Φόρμα επικοινωνίας
Εφόσον χρησιμοποιείτε τη φόρμα επικοινωνίας μας για να επικοινωνήσετε με τον ιστοχώρο μας, συλλέγουμε το ονοματεπώνυμό σας και τη διεύθυνση ηλεκτρονικής αλληλογραφίας σας, με τη συγκατάθεσή σας, ώστε να επικοινωνήσουμε μαζί σας.
Επιπλέον, παρέχουμε στα μέλη μας τη δυνατότητα αξιοποίησης ορισμένων on line υπηρεσιών μας
γ) Προβολή και διαφήμιση των επιχειρήσεων των μελών μας
Εφόσον το επιθυμείτε και μετά από παροχή προηγούμενης συγκατάθεσής σας, μπορείτε να αξιοποιήσετε τις on line υπηρεσίες του Επιμελητηρίου μας και μέσω της εφαρμογής «Επιχειρηματικός Οδηγός» να διαφημίσετε και προβάλετε την επιχείρησή σας. Στα πλαίσια αυτά επεξεργαζόμαστε στοιχεία της επιχείρησής σας και δεδομένα επικοινωνίας με αυτή. Με τον τρόπο αυτό, οποιοσδήποτε τρίτος (άλλες επιχειρήσεις-μέλη του Επιμελητηρίου ή μη μέλη αυτού και άλλα επιμελητήρια, ή άλλοι τρίτοι για προώθηση της επιχειρηματικότητας και σύναψη συνεργασιών), έχει τη δυνατότητα να αναζητήσει τις επιχειρήσεις των μελών μας χρησιμοποιώντας σύνθετα κριτήρια και να δει στοιχεία για αυτές.
δ) Περαιτέρω, στον Ιστοχώρο μας ενδέχεται να παρέχονται σύνδεσμοι, οι οποίοι ανακατευθύνουν τον χρήστη σε ιστότοπους τρίτων. Το Επιμελητήριο δεν ελέγχει τους εν λόγω ιστότοπους τρίτων και δεν ευθύνεται για το περιεχόμενο που αναρτάται σε αυτούς ή σε περαιτέρω συνδέσμους που εμφανίζονται σε αυτούς και δεν ευθύνεται για τις πρακτικές ιδιωτικού απορρήτου τρίτων ή για το περιεχόμενο των ιστότοπων τρίτων.
4. Επεξεργασία Προσωπικών Δεδομένων από τον Οργανισμό
Το Επιμελητήριο συλλέγει και επεξεργάζεται δεδομένα των εγγεγραμμένων μελών του, των εργαζομένων του, των συνεργατών του και γενικά φυσικών προσώπων με τα οποία συναλλάσσεται (εξωτερικούς συνεργάτες, ιδιοκτήτες ατομικών επιχειρήσεων, νομίμους ή άλλους εκπροσώπους νομικών προσώπων και υπαλλήλους ή τρίτους ενδιαφερόμενους) στα πλαίσια των καταστατικών του σκοπών, αλλά και για τη διεκπεραίωση καθημερινών δραστηριοτήτων.
Για τη συλλογή των απαιτούμενων και αναγκαίων δεδομένων προσωπικού χαρακτήρα χρησιμοποιεί πολλαπλά φυσικά ή/και ψηφιακά κανάλια επικοινωνίας. Αυτά μπορεί να συνίστανται σε έγγραφα, τα οποία χρησιμοποιούνται στις εγκαταστάσεις του ή/και σε ψηφιακά έντυπα και φόρμες, τα οποία διατίθενται μέσω του διαδικτύου, καθώς και σε έγγραφα τα οποία ενδέχεται να συμπληρώνονται ενώπιον τρίτων, οι οποίοι συναλλάσσονται ή συνεργάζονται με το Επιμελητήριο.
Επίσης, το Επιμελητήριο ενδέχεται να κάνει χρήση ερωτηματολογίων ή/και να διεξάγει έρευνες, σύμφωνα και με την κείμενη επιμελητηριακή νομοθεσία, προκειμένου να συλλέξει περαιτέρω δημογραφικά στοιχεία ή άλλες ειδικότερες πληροφορίες για τα μέλη του, τους συνεργάτες του ή/και τρίτους ενδιαφερόμενους-συναλλασσόμενους.
Επιπλέον, στο πλαίσιο διοργάνωσης εκδηλώσεων, ημερίδων και διαφόρων επαγγελματικών δραστηριοτήτων εκπαίδευσης, είτε στις εγκαταστάσεις του Επιμελητηρίου, είτε σε εγκαταστάσεις τρίτου συνεργαζόμενου με το Επιμελητήριο, ο Οργανισμός ενδέχεται να συλλέξει πληροφορίες των συμμετεχόντων φυσικών προσώπων (μελών ή μη), οι οποίες μπορεί να κοινοποιηθούν περαιτέρω, όπως λ.χ. σε συνδιοργανωτές της εκδήλωσης ή σε τρίτους παρόχους υπηρεσιών. Ωστόσο, το Επιμελητήριο θα παρέχει πάντοτε στους συμμετέχοντες τη δυνατότητα να αρνηθούν κάθε περαιτέρω επεξεργασία των προσωπικών τους δεδομένων, υπό τον όρο ότι δεν ορίζεται διαφορετικά από το νόμο.
Ταυτόχρονα, δεδομένου του ειδικότερου επαγγελματικού κλάδου στον οποίο δραστηριοποιείται κάποιο φυσικό πρόσωπο (μέλος ή μη), το Επιμελητήριο ενδέχεται, επίσης, να συλλέξει πληροφορίες για αυτό από διάφορους τρίτους (π.χ. συνεργαζόμενα επαγγελματικά σωματεία και λοιποί συνεργάτες), στους οποίους έχει παρασχεθεί προηγούμενη συγκατάθεση του μέλους, εφόσον απαιτείται.
Ειδικότερα, το Επιμελητήριο προβαίνει σε επεξεργασία δεδομένων, στην οποία περιλαμβάνονται:
α) ως υπεύθυνος επεξεργασίας, η τήρηση του μητρώου Επιμελητηρίου, μητρώο ασφαλιστικών διαμεσολαβητών και μεσιτών ακινήτων, ανταποδοτικές δράσεις, ηλεκτρονική επικοινωνία, λογιστήριο, χρηματικοί κατάλογοι, μισθοδοσία, καταστάσεις προμηθευτών και πελατών, τήρηση πρωτοκόλλου, αρχείο και τήρηση πρακτικών Δ.Σ. και Δ.Ε., ιστοσελίδα, σελίδα στο facebook, αρχείο προσωπικού, αρχείο προκηρύξεων θέσεων, αρχείο δικαστικών υποθέσεων και καταγγελιών, αρχειοθέτηση διαδικασιών συμβάσεων με τρίτους κλπ., τεκμηρίωση αρχαιρεσιών και επιχειρηματική πληροφόρηση
β) ως εκτελών την επεξεργασία, την καταχώρηση στο ΓΕΜΗ.
Στα πλαίσια αυτά οι πληροφορίες που συλλέγονται άμεσα ή έμμεσα για την απόκτηση και τήρηση της ιδιότητας του μέλους και την εγγραφή στο ΓΕΜΗ είναι:
- ονοματεπώνυμο,
- πατρώνυμο, μητρώνυμο,
- ημερομηνία και τόπος γέννησης,
- φύλο και υπηκοότητα,
- επωνυμία επιχείρησης,
- διεύθυνση κατοικίας,
- ηλεκτρονική διεύθυνση,
- τηλέφωνο,
- ΑΔΤ και ΑΦΜ,
- επαγγελματικά στοιχεία δραστηριότητας,
- στοιχεία νομίμου εκπροσώπου,
- οικονομικά στοιχεία,
- υπογραφή.
Το Επιμελητήριο συλλέγει και επεξεργάζεται προσωπικά δεδομένα των υπαλλήλων του, στα οποία περιλαμβάνονται:
- στοιχεία ταυτοποίησης, π.χ. ονοματεπώνυμο, ημερομηνία γέννησης, φύλο, ΑΔΤ κλπ.,
- στοιχεία οικογενειακής κατάστασης
- εργασιακά στοιχεία (ημερομηνία πρόσληψης, κωδικός ειδικότητας ΣΕΠΕ-ΟΑΕΔ),
- οικονομικά στοιχεία, (π.χ., αριθ. τραπεζικών λογαριασμών κλπ.)
- ασφαλιστικά στοιχεία (π.χ. ΑΜΚΑ, ΑΦΜ κλπ. )
- στοιχεία επικοινωνίας (π.χ. τηλέφωνο, email κλπ.)
- στοιχεία που αφορούν την υγεία,
- στοιχεία για την εκπαίδευση, κατάρτιση και προϋπηρεσία.
Η συλλογή των δεδομένων αυτών γίνεται με τη συνδρομή των υπαλλήλων κατά τον διορισμό τους. Περαιτέρω, η επεξεργασία τους λαμβάνει χώρα για σκοπούς που συνδέονται με την υπαλληλική σχέση και υπό την προϋπόθεση ότι τα δεδομένα αυτά είναι αναγκαία για τη λειτουργία της υπαλληλικής σχέσης.
Στον Οργανισμό δεν λαμβάνονται αποφάσεις για τους υπαλλήλους που βασίζονται αποκλειστικά σε αυτοματοποιημένη επεξεργασία.
Το Επιμελητήριο δύναται να συλλέγει και να επεξεργάζεται δεδομένα που ανήκουν σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (ευαίσθητα προσωπικά δεδομένα), όπως δεδομένα που αφορούν στην υγεία ή σε ποινικές καταδίκες ή αδικήματα, όπως αντίγραφα ποινικού μητρώου, στο πλαίσιο διαγωνισμών για την ανάθεση έργων ή για την τήρηση των μητρώων ασφαλιστικών διαμεσολαβητών και μεσιτών αστικών συμβάσεων, και πάντα σε εξαιρετικές περιπτώσεις και προκειμένου να ανταποκριθεί στις υποχρεώσεις του.
5. Σκοποί και Νόμιμες Βάσεις Επεξεργασίας
H νόμιμη βάση επεξεργασίας των προσωπικών δεδομένων σας εξαρτάται από τους σκοπούς της επεξεργασίας.
Το Επιμελητήριο συλλέγει και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα αποκλειστικά εντός του πλαισίου των θεσμοθετημένων αρμοδιοτήτων του για τους εξής νόμιμους σκοπούς:
- Για την καταχώριση μελών στο μητρώο του Επιμελητηρίου, την τήρηση του μητρώου μελών, χορήγηση πιστοποιητικών και βεβαιώσεων και ταμειακή ενημερότητα νόμιμη βάση επεξεργασίας είναι η εκπλήρωση καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που του έχει ανατεθεί ως Επιμελητηριακή Αρχή [άρθρ. 6§1 περ. ε ΓΚΠΔ],
- Για τις ενέργειες σχετικά με την εύρυθμη λειτουργία των υπηρεσιών του Γ.Ε.ΜΗ. κατ’ εφαρμογή της υφιστάμενης νομοθεσίας νόμιμη βάση επεξεργασίας είναι η εκπλήρωση καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που του έχει ανατεθεί ως Επιμελητηριακή Αρχή [άρθρ. 6§1 περ. ε ΓΚΠΔ],
- Για την εγγραφή στο μητρώο ασφαλιστικών διαμεσολαβητών και μεσιτών ακινήτων νόμιμη βάση επεξεργασίας είναι η εκπλήρωση καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που του έχει ανατεθεί ως Επιμελητηριακή Αρχή [άρθρ. 6§1 περ. ε ΓΚΠΔ],
- Για την εκτέλεση ανταποδοτικών δράσεων, συμμετοχή σε εκδηλώσεις, διεξαγωγή σεμιναρίων, εκπαιδευτικών προγραμμάτων, χορήγηση σχετικών πιστοποιητικών νόμιμη βάση επεξεργασίας είναι η συμμόρφωση με έννομη υποχρέωση [άρθρ. 6§1 περ. γ ΓΚΠΔ],
- Για το λογιστήριο, καταχώριση τιμολογίων και εξόφληση, σύνταξη χρηματικών καταλόγων νόμιμη βάση επεξεργασίας είναι η συμμόρφωση με έννομη υποχρέωση [άρθρ. 6§1 περ. γ ΓΚΠΔ],
- Για την ανταπόκριση στις υποχρεώσεις του ως εργοδοτικός φορέας που απασχολεί προσωπικό, την μισθοδοσία υπαλλήλων του, τη συναλλαγή του με εξωτερικούς συνεργάτες και προμηθευτές έναντι φορέων κοινωνικής ασφάλισης, ασφαλιστικών και φορολογικών αρχών νόμιμη βάση επεξεργασίας είναι η συμμόρφωση με έννομη υποχρέωση [άρθρ. 6§1 περ. γ ΓΚΠΔ] ή/και η εκτέλεση σύμβασης [άρθρ. 6§1 περ. β ΓΚΠΔ],
- Για την τήρηση πρωτοκόλλου εισερχομένων – εξερχομένων εγγράφων νόμιμη βάση επεξεργασίας είναι η συμμόρφωση με έννομη υποχρέωση [άρθρ. 6§1 περ. γ ΓΚΠΔ],
- Για τη διεξαγωγή αρχαιρεσιών, την τήρηση πρακτικών Δ.Σ. και Δ.Ε. νόμιμη βάση επεξεργασίας είναι η συμμόρφωση με έννομη υποχρέωση [άρθρ. 6§1 περ. γ ΓΚΠΔ],
- Για την αρχειοθέτηση διαδικασιών συμβάσεων με τρίτους, προσφορές, διαγωνισμούς νόμιμη βάση επεξεργασίας είναι η συμμόρφωση με έννομη υποχρέωση [άρθρ. 6§1 περ. γ ΓΚΠΔ],
- Για την διαχείριση και τήρηση αρχείου δικαστικών υποθέσεων νόμιμη βάση επεξεργασίας είναι ο σκοπός των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας [άρθρ. 6§1 περ. στ ΓΚΠΔ],
- Για την επιχειρηματική πληροφόρηση για σκοπούς προάσπισης της εμπορικής πίστης και της ασφάλειας των συναλλαγών νόμιμη βάση επεξεργασίας είναι ο σκοπός των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας [άρθρ. 6§1 περ. στ ΓΚΠΔ],
- Για την προσβολή του Επιμελητηρίου στο διαδίκτυο μέσω της ιστοσελίδας του, τη διαχείριση της σελίδας του στο Facebook, καθώς και την ηλεκτρονική επικοινωνία, την αποστολή newsletters και ενημερώσεων νόμιμη βάση επεξεργασίας είναι ο σκοπός των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας [άρθρ. 6§1 περ. στ ΓΚΠΔ] ή/και η συγκατάθεση [άρθρ. 6§1 περ. α ΓΚΠΔ].
6. Δικαιώματα των Υποκειμένων
Το Επιμελητήριο αναγνωρίζει και σέβεται τα ακόλουθα δικαιώματα των υποκειμένων των δεδομένων, ήτοι των μελών του, υπαλλήλων του, προμηθευτών, συνεργατών και τρίτων:
1. Δικαίωμα ενημέρωσης: ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων μια σειρά από πληροφορίες, όπως είναι η ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας, οι σκοποί της επεξεργασίας, οι κατηγορίες προσωπικών δεδομένων, οι αποδέκτες των δεδομένων, η διαβίβαση δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό, ο χρόνος αποθήκευσης των δεδομένων, το δικαίωμα καταγγελίας κοκ.
2. Δικαίωμα πρόσβασης στα δεδομένα: το δικαίωμα του υποκειμένου των δεδομένων να λαμβάνει επιβεβαίωση από τον υπεύθυνο επεξεργασίας για την επεξεργασία προσωπικών δεδομένων και η πρόσβαση σε μια σειρά από πληροφορίες.
3. Δικαίωμα διόρθωσης: το δικαίωμα του υποκειμένου των δεδομένων να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση ανακριβών δεδομένων καθώς και τη συμπλήρωση ελλιπών δεδομένων.
4. Δικαίωμα περιορισμού της επεξεργασίας: το δικαίωμα του υποκειμένου των δεδομένων να απαιτήσει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας υπό συγκεκριμένες προϋποθέσεις.
5. Δικαίωμα εναντίωσης στην επεξεργασία: το δικαίωμα του υποκειμένου των δεδομένων να αντιταχθεί στην επεξεργασία των δεδομένων σας υπό συγκεκριμένες προϋποθέσεις, ιδίως όταν πρόκειται για κατάρτιση «προφίλ» ή για σκοπούς απευθείας εμπορικής προώθησης.
6. Δικαίωμα στη λήθη: το δικαίωμα του υποκειμένου των δεδομένων, όταν δεν επιθυμεί πλέον την επεξεργασία και διατήρηση των προσωπικών του δεδομένων, να ζητήσει τη διαγραφή τους, υπό την προϋπόθεση ότι τα δεδομένα δεν τηρούνται για κάποιο συγκεκριμένο νόμιμο και δηλωμένο σκοπό.
7. Δικαίωμα στη φορητότητα των δεδομένων: το δικαίωμα του υποκειμένου των δεδομένων να λάβει ή να ζητήσει τη μεταφορά των δεδομένων του, σε μηχαναγνώσιμη μορφή, από έναν υπεύθυνο επεξεργασίας σε άλλον υπό συγκεκριμένες προϋποθέσεις.
Για την άσκηση των δικαιωμάτων σας, μπορείτε να μας στείλετε μήνυμα ηλεκτρονικού ταχυδρομείου στην ηλ. διεύθυνση: info@epihal.gr
7. Ασφάλεια Προσωπικών Δεδομένων
Ως γενική αρχή, το Επιμελητήριο, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων.
Ειδικότερα, το Επιμελητήριο έχει εκπονήσει σχέδιο διαχείρισης ασφάλειας πληροφοριών και εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία προσωπικών δεδομένων και τη διαχείριση της επικινδυνότητας, στα οποία συμπεριλαμβάνονται τεχνολογίες κρυπτογράφηση, τείχος προστασίας, προστασία από ιούς και άλλο κακόβουλο λογισμικό κλπ. Εφαρμόζει δε, πολιτική καθαρού γραφείου, προκειμένου να παρέχει την καλύτερη προστασία στις προσωπικές πληροφορίες που χειρίζεται.
Για δε την προστασία των προσωπικών δεδομένων των χρηστών και επισκεπτών του Ιστοχώρου του χρησιμοποιεί ασφαλή σύνδεση και μέτρα ασφαλείας δεδομένων για την αποτροπή του κινδύνου απώλειας, κακής χρήσης, μη εξουσιοδοτημένης πρόσβασης και κοινοποίησης των προσωπικών σας πληροφοριών.
Επιπλέον, καταγράφει τις δραστηριότητες επεξεργασίας στο αρχείο δραστηριοτήτων επεξεργασίας μαζί με τα ανάλογα τεχνικά μέτρα προστασίας.
8. Χρόνος Διατήρησης των δεδομένων
Το Επιμελητήριο δεν διατηρεί τα προσωπικά δεδομένα σε μορφή που επιτρέπει τον προσδιορισμό των υποκειμένων των δεδομένων για μεγαλύτερο χρονικό διάστημα από αυτό που είναι αναγκαίο, σε σχέση με τον σκοπό, για τον οποίο συλλέχθηκαν αρχικά τα δεδομένα.
Εξαίρεση από τον κανόνα αυτό υπάρχει μόνο για την περίπτωση που συντρέχουν ιδιαίτεροι λόγοι, όπως είναι, λ.χ., λόγοι αρχειοθέτησης, λόγοι δημόσιου συμφέροντος, επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς και βρίσκουν εφαρμογή κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων.
Η περίοδος διατήρησης για κάθε κατηγορία προσωπικών δεδομένων καθορίζεται στο αρχείο δραστηριοτήτων επεξεργασίας. Κατά κανόνα είναι εικοσαετία από τη λήξη της ιδιότητας, αν δεν υπάρχει άλλος λόγος για τη διατήρηση περαιτέρω των προσωπικών πληροφοριών.
Τα προσωπικά δεδομένα που αφορούν τους επισκέπτες του Ιστοχώρου ή/και χρήστες των ηλεκτρονικών μας υπηρεσιών συλλέγονται και διατηρούνται για τον απολύτως απαραίτητο χρόνο και μετά διαγράφονται.
Τα προσωπικά δεδομένα των υπαλλήλων διατηρούνται για όσο χρόνο επιβάλλεται από την δημοσιοϋπαλληλική και ασφαλιστική νομοθεσία.
9. Διαβίβαση δεδομένων σε Τρίτους
Είναι πιθανόν το Επιμελητήριο να διαβιβάζει τα ανωτέρω δεδομένα σε τρίτους, ιδίως επειδή αυτό προβλέπεται από την υφιστάμενη νομοθεσία ως υποχρέωση του ή εναλλακτικά σύμφωνα με τις εγγυήσεις που προβλέπονται στην υφιστάμενη νομοθεσία. Στις περιπτώσεις αυτές, οφείλει να ενημερώνει επαρκώς τα υποκείμενα των δεδομένων προτού προβεί στην εν λόγω διαβίβαση.
Το Επιμελητήριο δεν προβαίνει σε διαβίβαση δεδομένων προς τρίτες χώρες ή διεθνείς οργανισμούς.
10. Διαχείριση Περιστατικών Παραβίασης Προσωπικών Δεδομένων
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, το Επιμελητήριο γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η γνωστοποίηση πρέπει να περιέχει σύνολο σχετικών πληροφοριών (φύση/έκταση του περιστατικού, κατηγορίες προσώπων που επλήγησαν, αιτία και συνέπειες αυτού, ενέργειες που έγιναν προς αντιμετώπισή του, κ.ά.). Ακόμα και αν οι σχετικές αυτές πληροφορίες δεν είναι όλες διαθέσιμες κατά την υποβολή της γνωστοποίησης, αυτή θα πρέπει να υποβληθεί ως αρχική και να ακολουθήσει στο μέλλον, χωρίς αδικαιολόγητη καθυστέρηση, επικαιροποίησή της (με υποβολή συμπληρωματικής γνωστοποίησης).
Όταν η γνωστοποίηση στην αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο οργανισμός ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων. Στην ανακοίνωση στο υποκείμενο των δεδομένων περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που λαμβάνει ο Oργανισμός. Η ανακοίνωση στα φυσικά πρόσωπα θα πρέπει να γίνει με τον πλέον πρόσφορο και αποτελεσματικό τρόπο, με τη μορφή προσωποποιημένης πληροφόρησης και όχι μέσω κάποιας γενικού χαρακτήρα ανακοίνωσης, στο βαθμό που αυτό είναι εφικτό.
Η ανακοίνωση αυτή παραλείπεται στις περιπτώσεις που αναφέρονται στο άρθρο 34 παρ. 3 του Κανονισμού.
11. Εκπαίδευση
Το Επιμελητήριο φροντίζει έτσι ώστε το προσωπικό που εμπλέκεται στη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα να είναι επαρκώς ενημερωμένο και εκπαιδευμένο, λαμβάνοντας υπόψιν τις συμβουλές και τις προτάσεις του ΥΠΔ αλλά και εν γένει τις διαθέσιμους μεθόδους εκπαίδευσης και ενημέρωσης προκειμένου να επιλεγούν οι πιο κατάλληλες ανά περίσταση.
12. Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ)
Το Επιμελητήριο Χαλκιδικής έχοντας σχετική νόμιμη υποχρέωση σύμφωνα με τις επιταγές του ΓΚΠΔ έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO) με τον οποίο μπορείτε να επικοινωνείτε στο Email: dpo@epichal.gr υπόψιν DPO.
- Δικαίωμα Καταγγελίας
Σύμφωνα με τον Κανονισμό αριθ. 679/2016, έχετε το δικαίωμα, εάν θεωρείτε ότι παραβιάζονται τα δικαιώματά σας όσον αφορά την προστασία των προσωπικών σας δεδομένων, να υποβάλετε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία εδρεύει στην Αθήνα (Κηφισίας 1-3, Τ.Κ. 115 23) και στο τηλέφωνο 2106475600 ή στη διεύθυνση ηλεκτρονικής αλληλογραφίας complaints@dpa.gr.