Νέα νομοθεσία GDPR και συμμόρφωση ιστοσελίδας
Τι είναι το GDPR – Ποιους αφορά το νέο θεσμικό πλαίσιο; Είστε έτοιμοι;
Είναι η ιστοσελίδα σας συμβατή με τον Ευρωπαϊκό Κανονισμό;
Τι πρέπει να κάνω για την ιστοσελίδα μου;
Το Ευρωπαϊκό Κοινοβούλιο στις αρχές του 2016 πέρασε τον νέο κανονισμό EU General Data Protection Regulation (GDPR) ο οποίος θα τεθεί σε ισχύ από τις 25 Μαΐου 2018.
Η νέα νομοθεσία για την προστασία των προσωπικών δεδομένων αναμένεται να αντικαταστήσει την Ευρωπαϊκή οδηγία του 1995.
Πιο συγκεκριμένα η ΕΕ συμφώνησε για μια σημαντική μεταρρύθμιση του πλαισίου προστασίας των δεδομένων δίνοντας την έγκρισή της για το πακέτο μεταρρύθμισης της προστασίας των δεδομένων.
Τα προσωπικά δεδομένα θεωρούνται ως ένα πολύτιμο περιουσιακό στοιχείο και οι κανόνες που τους διέπουν αναμένεται να γίνουν αυστηρότεροι.
Τι είναι GDPR;
Είναι ο Νέος Γενικός Κανονισμός Προστασίας δεδομένων και ορίζει τα προσωπικά δεδομένα ως τα δεδομένα αυτά που επιτρέπουν την άμεση ή έμμεση εξακρίβωση της ταυτότητας του ατόμου.
Ουσιαστικά στοχεύει να προσφέρει στους πολίτες της ΕΕ μια ενιαία προσέγγιση όσον αφορά τη προστασία της ιδιωτικής ζωής στην Ευρωπαϊκή Ένωση.
Ο νόμος εφαρμόζεται σε εταιρίες οι οποίες επεξεργάζονται και διαχειρίζονται προσωπικά δεδομένα Ευρωπαίων πολιτών, είτε η έδρα τους βρίσκεται εντός Ευρωπαϊκής Ένωσης είτε εκτός.
Δεν αναφέρεται μόνο σε ιστοσελίδες ή e-shop αλλά σε οποιοδήποτε μέσο διαχείρισης δεδομένων χρησιμοποιεί μια επιχείρηση.
Ποια είναι τα κύρια στοιχεία των νέων κανόνων για την προστασία των δεδομένων;
Η παρακάτω λίστα επισημάνει το συμπέρασμα των άρθρων που επηρεάζουν την λειτουργία μιας απλής ιστοσελίδας ή ενός ηλεκτρονικού καταστήματος.
Για την πληρέστερη ενημέρωση σας καλό είναι να διαβάσετε μόνη σας την παραπάνω νομοθεσία και να συμβουλευτείτε έναν δικηγόρο.
- Σε όλες τις περιπτώσεις χρειάζεται η αποκλειστική άδεια για την συλλογή Προσωπικών ή και Ευαίσθητων Δεδομένων με τρόπο τέτοιο ώστε να μπορεί να αποδειχθεί ότι ο χρήστης έδωσε μια τέτοια συγκατάθεση (Άρθρο 6 – 7).
- Κατά την συλλογή Προσωπικών Δεδομένων απαιτείται η ειδική πληροφόρηση προς τους χρήστες σε ότι αφορά τα στοιχεία της επιχείρησης και τους λόγους χρήσης των πληροφοριών αυτών (Άρθρο 13).
- Τα άτομα που έχουν συναινέσει στο παρελθόν για την δράση αυτή και τα Προσωπικά τους Δεδομένα έχουν αποθηκευτεί στα μέσα της επιχείρησης, έχουν το δικαίωμα, οποιαδήποτε στιγμή, να ζητήσουν την απόσυρση όλων αυτών των δεδομένων, να ζητήσουν αντίγραφο αυτών και να μην ξαναχρησιμοποιηθούν για οποιονδήποτε λόγο (Άρθρο 7 – 17 – 20).
- Επιβάλλονται σημαντικά πρόστιμα τα οποία, ανάλογα με το είδος της παραβίασης, μπορούν να φτάσουν τα €20.000.000 ή το 4% του συνολικού ετησίου κύκλου εργασιών μιας επιχείρησης (Άρθρο 83).
- Όλοι οι παραπάνω κανόνες ισχύουν για επιχειρήσεις εντός ή εκτός Ευρωπαϊκής Ένωσης αλλά που δραστηριοποιούνται ή έχουν πελάτες, πολίτες και κατοίκους της Ε.Ε. (Άρθρο 3).
Τι ορίζονται ως Προσωπικά Δεδομένα;
Όλες οι πληροφορίες που σχετίζονται με τον επισκέπτη/χρήστη μιας ιστοσελίδας μπορούν να ορισθούν ως Προσωπικά Δεδομένα.
Αυτά μπορεί να είναι:
- Όνομα
- Διεύθυνση email
- Πληροφορίες Τοποθεσίας
- Διεύθυνση IP
Τι ορίζονται ως Ευαίσθητα Προσωπικά Δεδομένα;
Τα ευαίσθητα προσωπικά δεδομένα είναι κατηγορίες που χρήζουν ειδικής προστασίας, καθότι η επεξεργασία τους μπορεί να κρύβει κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες του ατόμου.
Αυτά μπορεί να είναι:
- η φυλετική ή εθνοτική καταγωγή
- τα πολιτικά φρονήματα
- οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις
- η συμμετοχή σε συνδικαλιστική οργάνωση
- η υγεία ή η σεξουαλική ζωή
Πρακτικές συμβουλές για την συμμόρφωση της ιστοσελίδας στον νέο νόμο GDPR
Για την πληρέστερη συμμόρφωση στον νέο νόμο μην επαναπαυτείτε σε τεχνικές αλλαγές που θα γίνουν στις ιστοσελίδες σας από τους τεχνικούς.
Θα πρέπει οπωσδήποτε να ασχοληθείτε αρκετά, να συμβουλευτείτε ειδικούς και αναλάβετε δράσεις που θα σας διευκολύνουν από μια δύσκολη θέση στο μέλλον.
1. Ελέγξτε όλα τα σημεία συλλογής Προσωπικών Δεδομένων και Χαρτογραφήστε τα.
Πρέπει να γίνει μια προσεκτική έρευνα αρχικά για τις πηγές εύρεσης τέτοιων δεδομένων και έπειτα για τις πληροφορίες που αντλούνται από αυτές.
Οι περισσότερες εταιρίες δεν αντιλαμβάνονται τις μισές πληροφορίες που αποθηκεύουν – οι πληροφορίες αυτές χαρακτηρίζονται ως “dark” data.
Αναζητείστε στις παρακάτω πηγές και σημειώστε τα δεδομένα που χειρίζεστε, έμμεσα ή άμεσα.
- Ιστοσελίδα ή ηλεκτρονικό κατάστημα.
- Ηλεκτρονικά αρχεία που διατηρούνται στους υπολογιστές του φυσικού καταστήματος ή γραφείου, όπως βάσεις δεδομένων σε excel, πληροφορίες σε pdf, ακόμα και αρχεία που αποθηκεύονται στο cloud.
- Σημειώστε τις πληροφορίες που συλλέγετε στα Social Media ή messagin apps, όπως το Facebook Messenger.
- Τσεκάρετε τα Email που στέλνετε Newsletter και ελέγξτε τα Email Marketing Software. *
- Και φυσικά, αναβαθμίστε τα Managment Software (ERP-CRM) της εταιρίας σας.
Αφού εντοπίσεις όλα τα δεδομένα που αποθηκεύεις, οργάνωσε ένα αρχείο με αυτά και διάγραψε ό,τι δεν χρειάζεται πλέον.
2. Κάντε δοκιμές ως πελάτες από την εγγραφή νέου εώς την ολική διαγραφή όλων των στοιχείων του.
Δαπανήστε λίγο χρόνο ώστε να χρησιμοποιήσετε τις εφαρμογές που διαθέτετε σε νέους πελάτες.
Αρχειοθετήστε και οργανώστε τα στοιχεία αυτά και προετοιμαστείτε ώστε έγκαιρα να διαγράψετε χωρίς προβλήματα τα προσωπικά δεδομένα οποιουδήποτε πελάτη σας.
Ότι αφορά τις φορολογικές σας υποχρεώσεις και πως αυτές συνδυάζονται με τον παραπάνω νόμο, θα πρέπει να ρωτήσετε τον λογιστή σας και να προετοιμαστείτε κατάλληλα ώστε να απαντήσετε σε ένα τέτοιο αίτημα και να το ολοκληρώσετε, νόμιμα.
3. Αναθεωρείστε και αλλάξτε τα νομικά έγγραφα που ήδη χρησιμοποιείτε
Οι παραπάνω αλλαγές σίγουρα επηρεάζουν οποιαδήποτε κείμενα που έχετε ήδη γράψει για τους όρους χρήσης και την πολιτική απορρήτου.
Διαβάστε ξανά τα κείμενα αυτά και με την γνώση που μόλις αποκτήσατε συμπληρώστε με απλές λέξεις τα περί Προσωπικών Δεδομένων που αναλύσαμε παραπάνω.
Ξανασκεφτείτε να προσθέσετε κάποια κείμενα σε μέσα καθημερινής χρήσης, όπως είναι τα email ή SMS που στέλνετε στους πελάτες σας.
4. Συμβουλευτείτε και ορίστε έναν Υπεύθυνο Προστασίας Δεδομένων
Σε μερικές περιπτώσεις είναι αναγκαίος ο καθορισμός ενός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer), κυρίως για τις δημόσιες αρχές, τους οργανισμούς που παρακολουθούν συστηματικά δεδομένα σε μεγάλη κλίμακα και τους οργανισμούς που παρακολουθούν ευαίσθητα δεδομένα σε μεγάλη κλίμακα ή επεξεργάζονται ποινικά μητρώα.
Τι ισχύει για τα Newsletter
Όλα τα παραπάνω ισχύουν γενικευμένα για ιστοσελίδες και προγράμματα διαχείρισης.
Η μαζική αποστολή Newsletters είναι ένα άλλο θέμα.
Εδώ και πολύ καιρό υπάρχει \”νομοθεσία\” περί αποστολής μηνυμάτων όμως και σε αυτήν την διαδικασία θα πρέπει να γίνει μια προσαρμογή.
Όπως ειπώθηκε και παραπάνω, θα πρέπει κατά την συμπλήρωση των στοιχείων του στην φόρμα του subscribe να υπάρχει η ένδειξη ότι συναινεί ο χρήστης για την συγκεκριμένη χρήση, στην συγκεκριμένη εταιρία, δηλαδή την αποστολή μηνυμάτων.
Εάν γίνεται αυτό εως τώρα, θα πρέπει μόνο να προσαρμοστεί το κείμενο με τους όρους χρήσης.
Στην περίπτωση που η mailing list αποκτήθηκε χωρίς φόρμα εγγραφής (subscribe) και χωρίς ο χρήστης να έχει συναινέσει για αυτή την δράση, θα πρέπει οπωσδήποτε να σταλεί ένα μαζικό επιβεβαιωτικό email που θα περιέχει ξεκάθαρα μια ενέργεια από τον χρήστη ώστε να γραφτεί κανονικά.
Σε οποιαδήποτε άλλη περίπτωση η αποστολή newsletter θεωρείται παράνομη.
Ο παραπάνω τρόπος περιγράφεται για την πλατφόρμα του MailChimp από εδώ.
Οι μεγάλες εταιρίες, παίρνοντας τα παραπάνω δεδομένα, προχωρούν στην ενημέρωση των χρηστών είτε με ενέργεια επιβεβαίωσης ή απλώς ενημέρωση για τους \”νέους\” όρους χρήσης.