GDPR: Πως επηρεάζει την ιστοσελίδα μου;

την Πέμπτη, 12 Απρίλιος 2018.

Ενέργειες συμμόρφωσης με την νέα ευρωπαϊκή νομοθεσία

GDPR: Πως επηρεάζει την ιστοσελίδα μου;

Στις 14 Απριλίου του 2016, το Ευρωπαικό Κοινοβούλιο ενέκρινε το Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) ή στην αγγλική γλώσσα General Data Protection Regulation (GDPR), ο οποίος τίθεται σε ισχύ από τις 25 Μαΐου 2018 και έρχεται για να αντικαταστήσει την οδηγία του 1995 για την Προστασία Δεδομένων. Η μη συμμόρφωση με εντολή της εποπτικής αρχής, επισύρει διοικητικά πρόστιμα που μπορούν να φτάσουν μέχρι και 20.000.000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

Νέες απαιτήσεις για μεγαλύτερη ιδιωτικότητα

Οι απαιτήσεις του GDPR, αφορούν την προστασία των προσωπικών δεδομένων, διασφαλίζοντας πως η συλλογή αυτών έγινε με τη συγκατάθεση (consent) του υποκειμένου. Επιπροσθέτως, η αποθήκευση, η συλλογή και ο διαμοιρασμός των προσωπικών δεδομένων πρέπει να συμμορφώνονται με τα δικαιώματα του υποκειμένου.

Τι είναι τα προσωπικά δεδομένα

Για να κατανοήσουμε, ποιες νέες απαιτήσεις εισάγει το GDPR, πρέπει να εξετάσουμε συνοπτικά ποια ορίζονται ως προσωπικά δεδομένα. Ο Κανονισμός, ήδη μας δίνει τον ορισμό των Προσωπικών Δεδομένων: “ Άρθρο 4 (1): Τα ‘προσωπικά δεδομένα’ είναι η οποιαδήποτε πληροφορία που σχετίζεται με οποιοδήποτε ήδη αναγνωρισμένο ή αναγνωρίσιμο φυσικό πρόσωπο (υποκείμενο των δεδομένων). Αναγνωρισμένο φυσικό πρόσωπο είναι αυτό το οποίο μπορεί να αναγνωριστεί, άμεσα ή έμμεσα, με πιο συγκεκριμένη αναφορά στα στοιχεία αναγνώρισης (όπως το όνομα, ο αριθμός αυθεντικοποίησης, οι πληροφορίες τοποθεσίας, ένα ηλεκτρονικό αναγνωριστικό) ή σε κάποιον/κάποιους παράγοντες (όπως φυσικός, ψυχολογικός, γενετικός, ψυχικός, οικονομικός, πολιτιστικός ή κοινωνικός) που στοχεύουν στην ταυτότητα αυτού του φυσικού προσώπου”.

Έτσι, στοιχεία όπως το email, το όνομα, η διεύθυνση, η ημερομηνία γέννησης κ.α. αποτελούν προσωπικά δεδομένα.

Άλλες μορφές ηλεκτρονικών αναγνωριστικών, περιγράφονται στον Ορισμό 30 του GDPR, όπου γίνεται κατανοητό ότι τα φυσικά πρόσωπα μπορούν να αναγνωριστούν μέσω ηλεκτρονικών αναγνωριστικών τα οποία παρέχονται από (η λίστα είναι εκ προθέσεως μη εξαντλητική):

  • Συσκευές
  • Εφαρμογές
  • Εργαλεία και
  • Πρωτόκολλα, όπως
  • IP (Internet Protocol) διευθύνσεις,
  • Αναγνωριστικά των Cookies, ή και άλλα όπως,
  • Radio Frequency Identification (RFID) ετικέτες (οι οποίες μας φέρνουν στο Internet of Things).

Απαιτήσεις συμμόρφωσης με τον Κανονισμό

Μία σύνοψη των σημαντικότερων νέων απαιτήσεων που ορίζονται από τον Κανονισμό με αναφορές στα αντίστοιχα σημεία του Κανονισμού είναι η ακόλουθη.

Απαιτήσεις GDPR Άρθρα & Ορισμοί
Συγκατάθεση του υποκειμένου (Consent) Ορισμοί 32, 42, Άρθρα 4 (11) και 13
Δικαίωμα στην ανάκληση συγκατάθεσης (Right to withdraw) Άρθρο 7, Ορισμοί 65 και αναφορά στον 42
Δικαίωμα στην πρόσβαση των δεδομένων (Right to access personal data) Άρθρο 15 και Ορισμός 63
Δικαίωμα στη φορητότητα δεδομένων (Right to data portability) Άρθρο 20 (1, 2, 3, 4)
Δικαίωμα στη λήθη (Right to be forgotten) Άρθρα 17, Ορισμοί 65 και 66
Απαιτήσεις ασφάλειας (Security requirements) Άρθρο 32 (a, b, c, d)
Ιδιωτικότητα βάσει σχεδίασης και εξ’ ορισμού (Privacy by design and by default) Άρθρο 25 (1, 2, 3) και Ορισμός 78
Περιορισμός του σκοπού και περιορισμός των δεδομένων (Purpose limitation and data minimization) Άρθρο 5
Εξατομίκευση και Μάρκετινγκ (Profiling and marketing) Άρθρα 21, 22 και Ορισμοί 70, 71
Ανακοίνωση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε 72 ώρες ενός περιστατικού διαρροής προσωπικών δεδομένων (Data breach notification) Άρθρα 33, 34 και Ορισμοί 85, 86, 87, 88
Ορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer) Άρθρο 37
Μεταφορά δεδομένων σε τρίτες χώρες (Transfer to third party countries) Άρθρο 13

Υπεύθυνοι επεξεργασίας (Data Controllers) και εκτελούντες την επεξεργασία (Data Processors)

Για να τεθούν σε εφαρμογή οι απαιτήσεις του GDPR, είναι απαραίτητο να κατανοήσετε το ρόλο σας απέναντι στον κανονισμό. Οι ρόλοι κατά τον κανονισμό, υπόκεινται στο διαχωρισμό του τρόπου επεξεργασίας των προσωπικών δεδομένων σε:

  • Υπεύθυνος επεξεργασίας (Data Controller): το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του, μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
  • Εκτελών την επεξεργασία (Data Processor): το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
  • Υποκείμενο των δεδομένων (Data subject): Το υποκείμενο των δεδομένων (data subject), δηλαδή το φυσικό πρόσωπο στο οποίο ανήκουν τα προσωπικά δεδομένα.

Οπότε, πως επηρεάζει το GDPR τις ιστοσελίδες μου

Κάθε Υπεύθυνος επεξεργασίας (ιδιώτης, εταιρεία, business unit, κλπ.) θα πρέπει να μεριμνήσει ώστε να πραγματοποιηθούν οι απαραίτητες οργανωτικές και/ή τεχνικές αλλαγές στον τρόπο επεξεργασίας των προσωπικών δεδομένων με σκοπό τη διασφάλιση του απορρήτου και των δικαιωμάτων του υποκειμένου. Επιπλέον, από τη στιγμή που χρειάζεστε τη συγκατάθεση του υποκειμένου για την επεξεργασία των προσωπικών του δεδομένων, πρέπει να είστε σε θέση να την αποδείξετε.

Κρυπτογράφηση επικοινωνιών

Θα πρέπει οι ιστοσελίδες να ενσωματώσουν τεχνικά μέτρα έτσι ώστε να εξασφαλίζουν το απόρρητο των επικοινωνιών των χρηστών που πλοηγούνται σε αυτές ή καταθέτουν σε αυτές (π.χ. μέσω μίας φόρμας) προσωπικά δεδομένα. Η εγκατάσταση ενός πιστοποιητικού SSL/TLS είναι η ενδεδειγμένη λύση έτσι ώστε όλες οι συνδέσεις με το περιεχόμενο της ιστοσελίδας να είναι κρυπτογραφημένες και ιδιωτικές.

Συγκατάθεση μεταφοράς δεδομένων σε τρίτους

Στις περιπτώσεις που χρησιμοποιούνται υπηρεσίες τρίτων που εμπλέκονται στη μεταφορά προσωπικών δεδομένων, είναι άκρως απαραίτητο να λαμβάνεται η συγκατάθεση του χρήστη για αυτές. Ο κύριος λόγος της συγκατάθεσης αφορά τη σκοπιμότητα για την οποία την μεταφορά των προσωπικών δεδομένων σε χώρες εκτός Ευρωπαϊκής Ένωσης για την ορθή λειτουργία των υπηρεσιών. Οι υπηρεσίες αυτές είναι υποχρεωμένες με τη σειρά τους, να συμφωνούν με την πολιτική απορρήτου σας και να διασφαλίζουν σε εσάς την ασφαλή μεταχείριση των προσωπικών δεδομένων που συλλέγουν. Οι υπηρεσίες τρίτων μερών είναι για παράδειγμα, οι υπηρεσίες Analytics, οι υπηρεσίες μαζικής αποστολής Newsletter κ.α.

Φόρμες επικοινωνίας

Οι φόρμες επικοινωνίας στις ιστοσελίδες αποτελούν τον τρόπο με τον οποίο ένας χρήστης μπορεί να επικοινωνεί με τους διαχειριστές της ή να υποβάλλει τυχόν αιτήματα, ερωτήσεις κ.α. Στην πλειονότητά τους, οι φόρμες επικοινωνίες απαιτούν ορισμένα προσωπικά στοιχεία (για παράδειγμα όνομα ή/και email) έτσι ώστε να μπορούν να εξυπηρετήσουν το σκοπό τους. Για να είστε σύμφωνοι με τα νέα δεδομένα που εισάγει το GDPR, θα πρέπει οι φόρμες που έχετε στην ιστοσελίδα σας, να ενημερώνουν τους χρήστες πριν από την υποβολή των στοιχείων τους, να απαιτούν τη συγκατάθεση τους ώστε να επεξεργαστείτε και να αποθηκεύσετε τα στοιχεία τους. Ακόμη, θα πρέπει οι χρήστες να ενημερώνονται με σαφή τρόπο, όπως για τον λόγο τον οποίο τους ζητάτε τα δεδομένα τους, για πόσο καιρό θα τα διατηρήσετε, που θα τα αποθηκεύσετε, αν θα τα μοιραστείτε με τρίτους, κ.α. Επιπλέον, ανά περίπτωση, θα πρέπει να τους παρέχετε ορισμένες περαιτέρω λειτουργικότητες όπως, η δυνατότητα να τα επεξεργάζονται, να τα διορθώνουν και εφόσον επιθυμούν να τα διαγράφουν.

Newsletter

Ένα ακόμη σημαντικό σημείο το οποίο θα πρέπει να προσέξουν οι ιδιοκτήτες ιστοσελίδων είναι οι τεχνολογίες ή οι υπηρεσίες που χρησιμοποιούνται με σκοπό τη συλλογή emails (συνήθως μέσω φορμών εγγραφής), καθώς και οι διαδικασίες μέσω των οποίων λαμβάνεται και αποδεικνύεται η συγκατάθεση των χρηστών που εγγράφονται στη λίστα του newsletter. Σαφώς η αποθήκευση θα πρέπει να είναι ασφαλής και σύννομη με το GDPR. Ειδικότερα αν χρησιμοποιείτε τρίτες υπηρεσίες για την συλλογή, αποθήκευση και αποστολή των newsletters σας, θα πρέπει αρχικά να εξασφαλίσετε ότι η υπηρεσίες αυτές συμμορφώνονται με το GDPR και ταυτόχρονα να ακολουθήσετε τις διαδικασίες που το GDPR ορίζει ως προς τη δική σας ευθύνη.

Πολιτική cookies

Τα cookies είναι μικρά αρχεία κειμένου τα οποία αποθηκεύονται στον φυλλομετρητή μας κατά την πλοήγησή μας στο διαδίκτυο. Οι πληροφορίες που συλλέγουν αφορούν είτε απλά την αυθεντικοποίηση ενός χρήστη, έτσι ώστε να κάνει ασφαλή περιήγηση στην ιστοσελίδα, είτε ακόμη και τη συλλογή δεδομένων σχετικών με όλη την προηγούμενη και παράλληλη δραστηριότητα ενός χρήστη ή άλλων προσωπικών δεδομένων π.χ. usernames, IP. Πολύ συχνά οι ιστοσελίδες σας, εγκαθιστούν και cookies τρίτων - για παράδειγμα υπηρεσίες Analytics - με σκοπό να μπορείτε να συλλέγετε δεδομένα σχετικά με την επισκεψιμότητα και τη συμπεριφορά των χρηστών σας. Για το σκοπό αυτό θα πρέπει να εξασφαλίζετε τη συγκατάθεση των χρηστών σας για την αποδοχή των cookies.

Δικαιώματα υποκειμένου

Για να επιτευχθούν οι όποιες αλλαγές πρέπει να γίνουν, θα πρέπει να μεριμνήσει ο Υπεύθυνος επεξεργασίας, ώστε να ληφθούν υπόψιν τα δικαιώματα που έχει το εκάστοτε υποκείμενο στα προσωπικά του δεδομένα. Φυσικά αυτό προϋποθέτει η ιστοσελίδα σας να παρέχει αυτές τις υπηρεσίες στα υποκείμενα που τη χρησιμοποιούν. Πιο συγκεκριμένα:

  • Δικαίωμα πρόσβασης του υποκειμένου: το υποκείμενο έχει το δικαίωμα να λαμβάνει επίσημη ενημέρωση από τον υπεύθυνο επεξεργασίας των προσωπικών του δεδομένων, για το κατά πόσο αυτά ή όχι, υφίστανται επεξεργασία. Επίσης το υποκείμενο, πρέπει να έχει δικαίωμα στην πρόσβαση αυτών των δεδομένων (πιο αναλυτικά: Άρθρο 15). Θα πρέπει λοιπόν, να δημιουργηθεί ένας νέος τομέας στην ιστοσελίδα σας, όπου ο χρήστης θα μπορεί να βλέπει και να επεξεργάζεται όσες πληροφορίες του έχουν ζητηθεί ή έχει συμπληρώσει.
  • Δικαίωμα διόρθωσης: το υποκείμενο έχει το δικαίωμα να απαιτήσει τη διόρθωση ανακριβών ή μη, δεδομένων που το αφορούν (πιο αναλυτικά: Άρθρο 16). Για να τηρηθεί αυτό το δικαίωμα, θα πρέπει είτε εσείς να διορθώσετε τις πληροφορίες που αιτήθηκε ο χρήστης, είτε να του παρέχετε τη δυνατότητα να το κάνει ο ίδιος μέσα από ένα λειτουργικό και φιλικό περιβάλλον της ιστοσελίδας σας.
  • Δικαίωμα στη λήθη: το υποκείμενο έχει το δικαίωμα να ζητήσει την άμεση διαγραφή των προσωπικών του δεδομένων (πιο αναλυτικά: Άρθρο 17). Στον ίδιο τομέα όπου υπόκεινται τα παραπάνω δικαιώματα, θα πρέπει να προσφέρετε στο χρήστη τη δυνατότητα να διαγραφεί άμεσα από τις υπηρεσίες σας και στην περίπτωση που χρειαστεί να τον διαβεβαιώνεται για το χρονικό διάστημα που θα χρειαστεί ώστε να πραγματοποιηθεί η διαγραφή.
  • Δικαίωμα περιορισμού της επεξεργασίας: το υποκείμενο έχει το δικαίωμα να εξασφαλίζει τον περιορισμό επεξεργασίας των προσωπικών του δεδομένων (πιο αναλυτικά: Άρθρο 18). Εφόσον ο χρήστης έχει αποδεχτεί τους τρόπους με τους οποίους εσείς επεξεργάζεστε τα προσωπικά του δεδομένα, θα πρέπει να μπορεί ανά πάσα στιγμή να περιορίσει αυτήν την επεξεργασία.
  • Δικαίωμα στη φορητότητα των δεδομένων: το υποκείμενο έχει το δικαίωμα να λαμβάνει τα προσωπικά του δεδομένα, όπως τα έχει υποβάλει στον υπεύθυνο επεξεργασίας, σε αναγνωσίμη μορφή. Επίσης μπορεί να τα διαβιβάσει σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον πρώτο. (πιο αναλυτικά: Άρθρο 20). Συνεπώς. στην περίπτωση που ο χρήστης δεν επιθυμεί να του παρέχετε πλέον τις υπηρεσίες σας και έχει αποφασίσει να μεταφέρει τα προσωπικά του δεδομένα σε άλλο πάροχο, εσείς θα πρέπει να του τα παρέχετε χωρίς αντίρρηση. Ταυτόχρονα, θα πρέπει το αρχείο των δεδομένων τους να είναι υπό μορφή αναγνώσιμη από μηχάνημα.
  • Δικαίωμα εναντίωσης: το υποκείμενο δικαιούται να αντιτάσσεται στην επεξεργασία των προσωπικών του δεδομένων, όταν οι λόγοι επεξεργασίας εναντιώνονται με τον προσωπικό χαρακτήρα του υποκειμένου (πιο αναλυτικά: Άρθρο 21).Αυτό σημαίνει ότι θα πρέπει να εξηγείτε ξεκάθαρα το σκοπό για τον οποίο επεξεργάζεστε τα δεδομένα, έτσι ώστε να αιτολογείται πλήρως η επεξεργασία τους και να περιορίζεται μια πιθανή εναντίωση.

Συμμόρφωση με το GDPR εντός της εταιρείας

Σίγουρα η συμμόρφωση της εταιρείας σας με το GDPR δε σταματάει στην ιστοσελίδα σας. Θα πρέπει να εντοπίσετε σε τι βαθμό σας επηρεάζει η νέα νομοθεσία ώστε να σχεδιάσετε και να υλοποιήσετε όλες τις ενέργειες συμμόρφωσης μe αυτή. Για παράδειγμα θα πρέπει να ελέγξετε αν απαιτείται να ορίσετε έναν Data Protection Officer (DPO), όπως προβλέπεται από το GDPR. Επίσης, και ανάλογα τη δραστηριότητα της επιχείρησής σας, του όγκου των προσωπικών δεδομένων και της συχνότητας της επεξεργασίας αυτών, απαιτείται μία σειρά εγγράφων που ορίζουν και διασφαλίζουν τις πολιτικές που ακολουθεί η επιχείρησή σας σε σχέση με το GDPR.

Είμαστε εδώ για εσάς

Η ομάδα της idcs έχει το απαραίτητο τεχνικό και θεωρητικό υπόβαθρο και βρισκόμαστε σε θέση να σας βοηθήσουμε να συμμορφωθείτε με το GDPR. Συμμετέχουμε ενεργά στις εξελίξεις και σχεδιάζουμε λύσεις που μπορούν να σας βοηθήσουν να καλύψετε κενά που εντοπίζονται στην ιστοσελίδα σας σε σχέση με τις νέες απαιτήσεις της νέας νομοθεσίας. Παράλληλα, έχουμε ξεκινήσει τη δωρεάν μελέτη των ιστοσελίδων, υπαρχόντων πελατών μας, έτσι ώστε να τους προτείνουμε τις λύσεις για να μπορέσουν ευκολότερα να επιτύχουν τεχνικά τη συμμόρφωση με το GDPR.

Μη αφήνετε απροστάτευτα τα δεδομένα των χρηστών σας. Το κόστος της μη συμμόρφωσης με το GDPR είναι αισθητά μεγαλύτερο από τις ενέργειες που θα σας καταστήσουν αξιόπιστη οντότητα στο νέο αναδυόμενο επιχειρηματικό περιβάλλον. Επικοινωνήστε μαζί μας για να εξετάσουμε μαζί ποια είναι τα επόμενα βήματα σας.

Πηγές:

Αφήστε το σχόλιό σας

Σχολιάζετε ως επισκέπτης

  • Κατασκευή e-shop

    H idcs σας αποκαλύπτει τα μυστικά του ηλεκτρονικού εμπορίου και σας βοηθάει να χτίσετε το δικό σας αποδοτικό e-shop.

    Μάθετε περισσότερα
  • SEO

    On-page και off-page search engine optimization. Τα σύγχρονα όπλα για την αύξηση του traffic στο website σας.

    Είστε έτοιμοι;
  • Inbound marketing

    Πως μπορείτε να φέρετε περισσότερη κίνηση στο website σας χωρίς διαφήμιση; Η απάντηση είναι το περιεχόμενο!

    Δείτε περισσότερα

idcs newsletter

Επικοινωνία

Διευθυνση: Κ. Βάρναλη 54, Χαλάνδρι, Αθήνα

Ταχυδρομικός κώδικας: 152 33

Τηλεφωνο: (+30) 210 68 56 825

email: Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.

 

Follow us

facebook   twitter   linkedin

Τεχνολογίες