I club sono riconosciuti come Persone responsabili ai sensi dell'art. 4 n. 7 GDPR obbligati a soddisfare tutti i requisiti di protezione dei dati e a dimostrarne l'osservanza (art. 5 par. 2). GDPR - responsabilità). L'attuazione pone regolarmente notevoli sfide pratiche, soprattutto per le associazioni più piccole organizzate su base volontaria. Le spiegazioni che seguono riassumono i principali obblighi dell'associazione.
Liceità del trattamento dei dati
La base giuridica centrale per l'elaborazione dei dati nell'associazione è l'art. 6 par. 1 lett. b. GDPR - l'adempimento dell'accordo di associazione, specificato nello statuto dell'associazione. Inoltre interessi legittimi (Art. 6 comma 1 lettera f)) GDPR) o il consenso (art. 6, par. 1, lett. a). GDPR) il Elaborazione giustificare. Questi ultimi sono particolarmente necessari se i dati vengono elaborati o pubblicati al di là degli scopi dell'iscrizione (ad es. Fotoliste di compleanno, appelli per donazioni via e-mail). Il Consenso deve essere volontaria, informata, inequivocabile, destinata e revocabile in qualsiasi momento. Deve essere documentata per iscritto o elettronicamente e non deve essere nascosta in dichiarazioni generiche.
Con il Elaborazione categorie particolari di dati personali (art. 9 GDPR) - ad es. Dati sulla salute - è regolarmente un'esplicita Consenso richiesto. In genere si tratta di gruppi di auto-aiuto, sindacati o organizzazioni religiose.
Responsabilità organizzativa nell'associazione
Il Consiglio direttivo dell'associazione è legalmente ed effettivamente responsabile dell'osservanza delle norme sulla protezione dei dati (art. 26 (1) frase 2 BGB in combinato disposto con l'art. 24 GDPR). Art. 24 GDPR). Ha un'adeguata Misure tecniche e organizzative per garantire la liceità del trattamento dei dati.
Ciò include anche la delega di compiti, per i quali deve essere garantita un'attuazione conforme alla protezione dei dati. Anche in caso di delega, la responsabilità generale rimane in capo al Consiglio di amministrazione.
Obblighi di riservatezza e di informazione
Tutti i membri dell'associazione con il Elaborazione le persone incaricate del trattamento dei dati personali sono Riservatezza di impegnarsi. Anche se il GDPR nessun regolamento corrispondente all'art. 5 BDSG vecchia versione, ma un impegno documentato a rispettare i principi di protezione dei dati di cui all'art. 5 par. 1 GDPR richiesto.
Inoltre, si deve garantire che le persone interessate - in particolare i membri, i volontari e i fornitori di servizi - siano informate del Elaborazione i vostri dati ai sensi degli artt. 13 e 14 GDPR essere informati. Questo Obbligo di informazione dovrebbe essere integrato nel modulo di adesione, in cui si raccomanda di fornire informazioni successive per le adesioni esistenti.
Sicurezza del trattamento nell'organizzazione
La sicurezza del Elaborazione dei dati personali è un principio centrale del Regolamento generale sulla protezione dei dati. Ai sensi dell'art. 32 GDPR sono Persone responsabili - club - sono obbligati a fornire un'adeguata Misure tecniche e organizzative (TOM) per garantire un livello di protezione adeguato al rischio. Queste misure devono essere riviste regolarmente e, se necessario, adeguate.
Le misure tecniche di protezione sono, ad esempio Cifratura dei dati memorizzati e trasmessi (ad es. trasporto e crittografia end-to-end per le e-mail), protezione con password e autenticazione a due fattori per l'accesso ai dati dei membri, aggiornamenti regolari della sicurezza e software antivirus, account utente separati per i sistemi condivisi, meccanismi di blocco automatico in caso di inattività.
Le misure organizzative dell'associazione comprendono: un concetto di autorizzazione e di ruolo chiaramente regolamentato per l'utilizzo dei dati, la formazione dei membri del consiglio direttivo e dei volontari sul trattamento sicuro dei dati personali, la creazione di un concetto di protezione dei dati e di sicurezza informatica, la definizione di canali di segnalazione in caso di incidenti legati alla protezione dei dati, regolamenti scritti sull'utilizzo di dispositivi privati ("Portate il vostro dispositivo") e il loro controllo.
Inoltre, i concetti di back-up, registrazione degli accessi e cancellazione dei dati non più necessari devono essere intesi come componenti dell'organizzazione della protezione dei dati.
Suggerimento di lettura: Newsletter tra GDPR ed ePrivacy - il consenso non è sempre necessario
Diritti degli interessati
Le organizzazioni devono stabilire procedure interne per garantire che le richieste degli interessati siano elaborate in modo rapido, completo e conforme alle norme sulla protezione dei dati. Ciò include, in particolare, la creazione di un punto di contatto centrale per le questioni relative alla protezione dei dati, la formazione delle persone responsabili e il Documentazione le richieste di informazioni in entrata e le relative fasi di elaborazione.
Ai sensi dell'art. 15 GDPR avere colpiti le persone hanno il diritto di essere informate sui dati personali che le riguardano. Questo Diritto all'informazione si estende, tra l'altro, agli scopi di Elaborazionele categorie di dati trattati, i destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati, il periodo di conservazione previsto o i criteri per determinarlo e l'esistenza di ulteriori destinatari. Diritti degli interessati. Anche sull'origine dei dati (se non sono stati raccolti dall'interessato) e sull'esistenza di un processo decisionale automatizzato, compresi i seguenti dati Profilazione devono essere informati.
Inoltre Parti interessate in determinate condizioni legali il diritto di
- Correzione dati non corretti (art. 16 GDPR),
- Cancellazione ("Diritto all'oblio", art. 17 GDPR),
- Limitazione del Elaborazione (Art. 18 GDPR),
- Portabilità dei dati (art. 20 GDPR) e
- Contraddizione contro il Elaborazione i loro dati (art. 21 GDPR).
Le associazioni hanno l'obbligo di adempiere a questi diritti in modo tempestivo - di solito entro un mese - e di colpiti persona sulle misure adottate. Se le richieste vengono respinte, devono essere fornite le motivazioni e deve essere notificato il diritto di presentare un reclamo all'autorità di controllo della protezione dei dati.
Responsabile della protezione dei dati e registro delle attività di trattamento nell'organizzazione
Deve essere nominato un responsabile per la protezione dei dati se almeno 20 persone Dati personali automaticamente (§ 38 BDSG). Ciò include anche i volontari e i dipendenti a tempo parziale. Se non vi è alcun obbligo di nomina, la nomina volontaria può essere consigliabile in caso di rischi particolari, ad esempio nel caso di gruppi di auto-aiuto o associazioni politiche.
Ogni club deve inoltre avere un Registro delle attività di trattamento ai sensi dell'art. 30 GDPR devono essere mantenuti. Ciò deve includere tutti i processi di elaborazione dei dati regolari, in particolare l'amministrazione dei soci, la contabilità dei contributi o la gestione di un sito web. L'eccezione ai sensi dell'art. 30 comma 5 GDPR non entra quasi mai in gioco nella pratica, poiché i club vengono regolarmente Dati personali processo.
Valutazione dell'impatto sulla protezione dei dati
Uno Valutazione dell'impatto sulla protezione dei dati (DSFA) ai sensi dell'art. 35 GDPR deve essere effettuata se un Elaborazione è probabile che comporti un rischio elevato per i diritti e le libertà degli interessati. Questo è raramente il caso delle attività tipiche di un'associazione, ma potrebbe diventare rilevante se:
- estensivo Dati sulla salute vengono raccolti ed elaborati in gruppi di auto-aiuto,
- sistematico Tracciamento o Sorveglianza video viene effettuata,
- le categorie di dati particolarmente sensibili sono analizzate con procedure di IA o di profilazione.
Se la DPIA è obbligatoria, deve essere effettuata e documentata prima dell'inizio del trattamento dei dati. Inoltre, devono essere specificate anche le misure di minimizzazione del rischio e, se applicabile, le misure di minimizzazione del rischio. Autorità di vigilanza se non è possibile minimizzare il rischio.
In caso di dubbio, le organizzazioni dovrebbero verificare la necessità di una DPIA ed effettuare una valutazione strutturata dei rischi per tutelarsi. Tuttavia, per molte operazioni di trattamento standard, come l'amministrazione dei soci o la contabilità dei contributi, non vi è generalmente alcun obbligo di effettuare una DPIA.
Ai sensi dell'art. 32 GDPR sono adatti Misure tecniche e organizzative per la sicurezza del trattamento dei dati. Ciò include in particolare Cifraturaconcetti di autorizzazione, separazione tra database associativi e privati e gestione efficace dei dispositivi finali utilizzati anche nell'ufficio domestico. Si raccomanda anche un concetto di sicurezza informatica. L'invio di dati personali via e-mail dovrebbe essere almeno criptato per il trasporto; per i dati particolarmente sensibili si raccomanda la crittografia end-to-end. Quando si utilizzano dispositivi privati, occorre fare attenzione a classificare e separare i dati, ad esempio utilizzando account utente separati.
Pubblicazione di informazioni sul club
Nel caso di pubblicazione di dati personali - come nomi, funzioni, immagini o date di nascita - è generalmente necessaria un'autorizzazione documentata. Consenso da ottenere. Questo vale in particolare per
- Foto individuali e di gruppo durante gli eventi,
- Elenchi di risultati di tornei o competizioni,
- Menzione di partecipazioni onorarie o di anniversari,
- Pubblicazione dei verbali delle riunioni o delle persone di contatto sul sito web.
Per Foto Si applicano anche le sezioni 22 e 23 della KUG. Sebbene questi permettano in alcuni casi la pubblicazione senza Consenso (ad esempio, immagini di riunioni o eventi storici), ma esistono notevoli incertezze legali, soprattutto nel caso della distribuzione digitale. Nel contesto dell'associazione, un Consenso che deve essere inequivocabile, volontaria e revocabile.
Particolare cautela è richiesta anche nella trasmissione dei dati ai fornitori di servizi: Se un terzo esterno non si limita a fornire assistenza, ma elabora anche i dati per conto dell'azienda, ciò costituisce regolarmente una Elaborazione dell'ordine ai sensi dell'art. 28 GDPR Ciò richiede un contratto separato.
Per motivi di tracciabilità e responsabilità, ogni trasferimento di dati - soprattutto su Internet - dovrebbe essere documentato internamente per poter dimostrare la conformità ai requisiti di protezione dei dati in caso di reclami o verifiche da parte delle autorità di controllo.
Trasferimenti di dati a Terza parte - in particolare alle organizzazioni affiliate, alle associazioni, ai fornitori di servizi esterni o al pubblico attraverso i siti web, necessitano di una base giuridica. La pubblicazione di dati personali su Internet costituisce un trasferimento di dati ai sensi della Convenzione di Ginevra. GDPR ed è regolarmente possibile solo sulla base di una Consenso ammissibile. Lo stesso vale per Fotoverbali delle riunioni e liste di risultati, a meno che non venga fatta un'eccezione in conformità con il Legge sul diritto d'autore (§§ 22, 23 KUG). Per sicurezza, il Consenso essere documentati in ogni caso, soprattutto per le foto individuali e di gruppo.
Elaborazione degli ordini e sito web
Se viene incaricato un fornitore di servizi esterno con la Elaborazione dei dati personali, è necessario un contratto di elaborazione degli ordini ai sensi dell'art. 28 GDPR. GDPR da concludere. È il caso, ad esempio, di commissionare fornitori di servizi informatici, consulenti fiscali o fornitori di hosting.
Il sito web dell'associazione deve includere un'informativa sulla privacy in conformità a GDPR essere facilmente accessibile e reperibile in ogni sottopagina. Tra le altre cose, deve contenere informazioni sul titolare del trattamento, sul responsabile della protezione dei dati (se nominato), sulle finalità, sulle modalità di trattamento dei dati. Base giuridicai periodi di conservazione e i diritti degli interessati. Sono inoltre obbligatori banner per il consenso ai cookie e informazioni trasparenti sugli strumenti di tracciamento e analisi.
I social media
In base all'attuale situazione giuridica, l'uso delle pagine fan di Facebook e di altri social network non è consigliabile, in quanto non soddisfano i requisiti di protezione dei dati previsti dalla legge. GDPR - in particolare per quanto riguarda la responsabilità congiunta e i trasferimenti da paesi terzi. In caso di utilizzo obbligatorio, è necessario adottare misure tecniche aggiuntive (ad esempio, soluzioni a due clic).
Fonte: Protezione dei dati nell'associazione secondo il GDPR
Avete bisogno di supporto per l'implementazione nella vostra organizzazione? Offriamo consulenza pratica sulla protezione dei dati e soluzioni digitali - efficienti, comprensibili e conformi alla legge.
Contattateci: possiamo aiutarvi!
☎️ +49 (228) 926165-100
📧verona@2b-advice.com
German 
English 
Italian 
French