GDPR κανονισμός: Τι είναι και πως θα επηρεάσει την επιχείρησή σας

Addicted Design Greece Addicted twitter Addicted Google plus Yiannis Freris Google plus Γιάννης Φρέρης Linkedin 

GDPR κανονισμός: Τι είναι και πως θα επηρεάσει την επιχείρησή σας

Ο νέος Κανονισμός της Ευρωπαϊκής Ένωσης (Ε.Ε.) για την Γενική Προστασία Δεδομένων (General Data Protection Regulation) (GDPR – 2016/679) αποτελεί μία από τις μεγαλύτερες αλλαγές στη νομοθεσία περί προστασίας των δεδομένων της τελευταίας εικοσαετίας και έχει άμεση εφαρμογή σε όλα τα Κράτη-Μέλη από 25/05/2018 χωρίς την προϋπόθεση κρατικής νομοθεσίας. Αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ», που είχε ενσωματωθεί στην Ελληνική Νομοθεσία με το Ν. 2472/1997 και θα επιβάλλονται πρόστιμα σε όσους δεν τον έχουν εφαρμόσει. GDPR Κανονισμός

Ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ στοχεύει στη διεύρυνση της προστασίας των δεδομένων στην εποχή των big data και του cloud computing, εξασφαλίζοντας ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό δικαίωμα, το οποίο θα ρυθμίζεται με συνέπεια σε όλη την Ευρώπη. Στόχος του είναι να διευκολύνει τη ροή δεδομένων προσωπικού χαρακτήρα σε όλα τα 28 κράτη μέλη της ΕΕ ενδυναμώνοντας παράλληλα τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων καθώς και το νομικό πλαίσιο σε όλα τα κράτη – μέλη.

 

O Γενικός Κανονισμός Προστασίας Δεδομένων εφαρμόζεται σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, Ξενοδοχεία, ηλεκτρονικά καταστήματα κ.λπ.), οι οποίοι διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.

 

Ο έλεγχος θα πραγματοποιείται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Σε περίπτωση παραβίασης προβλέπονται αρχικά πρόστιμα ύψους 10.000.000 ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) με κορύφωση πρόστιμα ύψους 20.000.000 ευρώ ή 4% του συνολικού παγκόσμιου κύκλου εργασιών του προηγούμενου οικονομικού έτους. Επίσης ορίζεται δικαίωμα αποζημίωσης του υποκειμένου και ευθύνη του υπεύθυνου επεξεργασίας.

 

Προκλήσεις του GDPR στο επιχειρηματικό περιβάλλον

Οι σημαντικότερες δυσκολίες που έχουν να αντιμετωπίσουν οι επιχειρήσεις είναι:

  • Η ακριβής γνώση για το ποια δεδομένα συλλέγουν και επεξεργάζονται σε κάθε φάση των δραστηριοτήτων τους, ποιοι εμπλέκονται και με ποια εργαλεία και διαδικασίες γίνεται η επεξεργασία.
  • Ο καθορισμός και διαχωρισμός των επιχειρησιακών αναγκών, ώστε να διασφαλίζονται όλες οι απαιτούμενες συγκαταθέσεις του υποκειμένου και να μη γίνεται πλεονάζουσα επεξεργασία.
  • Ο συστηματικός έλεγχος για την κάλυψη των απαιτήσεων του GDPR σε κάθε στάδιο επεξεργασίας των δεδομένων.
  • Η αξιολόγηση των κινδύνων που ενδέχεται να οδηγήσουν σε παραβίαση των προσωπικών δεδομένων, με αποτέλεσμα βαρύτατες οικονομικές κυρώσεις και επιπτώσεις στην εταιρική φήμη.
  • Η παρουσίαση των σημαντικότερων κινδύνων και των τρόπων αντιμετώπισής τους στη Διοίκηση με πρακτικό τρόπο, ώστε να αποφασισθεί ένα ρεαλιστικό πλάνο και προϋπολογισμός συμμόρφωσης.
  • Η λήψη αποτελεσματικών και οικονομικών μέτρων για τον περιορισμό του κινδύνου παραβιάσεων του GDPR, χωρίς να θίγονται οι επιχειρησιακές προτεραιότητες.

 

Σε ότι αφορά τα προσωπικά δεδομένα οι επιχειρήσεις καλούνται :

  • Να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα.
  • Να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν.
  • Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα που απαιτείται, να λαμβάνουν – κατά περίπτωση – την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων.
  • Να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις.
  • Να παρέχουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με το νέο κανονισμό.
  • Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για: Ανάκληση της συγκατάθεσης, πρόσβαση στα δεδομένα, διόρθωση των δεδομένων, διαγραφή των δεδομένων, περιορισμό της επεξεργασίας, παράδοση των δεδομένων σε ηλεκτρονική μορφή, μεταφορά των δεδομένων σε άλλο φορέα.
  • Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους.
  • Να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους.
  • Να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση.
  • Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.

 

Παραδείγματα δεδομένων προσωπικού χαρακτήρα

  • Όνομα και επώνυμο
  • Διεύθυνση κατοικίας
  • Ηλεκτρονική διεύθυνση, π.χ. όνομα.επώνυμο@εταιρεία.com
  • Αναγνωριστικός αριθμός κάρτας
  • Δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο)*
  • Διεύθυνση διαδικτυακού πρωτοκόλλου (IP)
  • Αναγνωριστικό cookie*
  • Το αναγνωριστικό διαφήμισης του τηλεφώνου σας
  • Δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο.

 

Προσωπικά δεδομένα: τα δικαιώματα των καταναλωτών

  • Ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας (ταυτότητα και στοιχεία υπεύθυνου επεξεργασίας, είδος δεδομένων, σκοπός επεξεργασίας, πιθανοί αποδέκτες των δεδομένων κ.λπ.).
  • Δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία.
  • Δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας.
  • Αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις (ανάκληση συγκατάθεσης, παράνομη απόκτηση, απουσία επιτακτικών και νόμιμων λόγων επεξεργασίας κ.λπ.).
  • Δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.

 

Επιπροσθέτως, ο υπεύθυνος επεξεργασίας προσωπικών δεδομένων υποχρεούται:

  • Να λαμβάνει η επιχείρηση τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, όπου αυτή απαιτείται και να είναι σε θέση να αποδεικνύει τη συγκατάθεση αυτή αν του ζητηθεί.
  • Να μην προβαίνει η εταιρεία σε επεξεργασία προσωπικών δεδομένων, ανηλίκων κάτω των 16 ετών, χωρίς προηγούμενη συγκατάθεση του γονέα. Ο υπεύθυνος επεξεργασίας, θα πρέπει να επαληθεύει τη συγκατάθεση αυτή, με κάθε μέσο που του προσφέρει η διαθέσιμη τεχνολογία. Τα κράτη μέλη μπορούν να θεσπίζουν μικρότερο ηλικιακό όριο, σε καμία περίπτωση όμως το όριο δε θα πρέπει να είναι μικρότερο από τα 13 έτη.
  • Να μην επεξεργάζεται ο φορέας δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό.

 

Παραδείγματα επεξεργασίας Προσωπικών Δεδομένων

  • Διαχείριση προσωπικού και μισθοδοσία.
  • Προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα.
  • Αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων.
  • Καταστροφή διά τεμαχισμού εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα.
  • Δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο.
  • Αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC.
  • Μαγνητοσκόπηση (τηλεόραση κλειστού κυκλώματος).

 

GDPR & Λειτουργίες και Πρακτικές Ιστοσελίδων

Μια σύντομη λίστα με λειτουργίες και πρακτικές ιστοσελίδων που υπόκεινται στον Γενικό Κανονισμό Προστασίας Δεδομένων :

  • Google Analytics
  • Ιστοσελίδες με φόρμες εγγραφών
  • Λειτουργίες ecommerce που συλλέγουν πληροφορίες πληρωμών, παραγγελιών κτλ
  • Φόρμες εγγραφής στο newsletter
  • Scripts, τα οποία χρησιμοποιούν cookies
  • Χρήση συστημάτων σχολιασμού (π.χ. Disqus κτλ)
  • Ιστοσελίδες με φόρμα επικοινωνίας

 

Σημεία Κλειδιά για την συμμόρφωση της ηλεκτρονικής επιχείρησής σας με τον GDPR

  1. Πολιτική Απορρήτου

Στην πολιτική απορρήτου χρειάζεται να γίνεται λεπτομερής και ξεκάθαρη αναφορά σχετικά με τον τρόπο με τον οποίο γίνεται η επεξεργασία και αποθήκευση των δεδομένων των χρηστών. Η πολιτική για την προστασία των προσωπικών δεδομένων πρέπει να προσδιορίζει το είδος των δεδομένων που συλλέγετε, που τα χρησιμοποιείτε και πως τα προστατεύετε. Επίσης χρειάζεται να αναφέρεται ο χρόνος διατήρησης των δεδομένων καθώς και ο τρόπος με τον οποίο   μπορούν οι χρήστες να δουν και διαγράψουν τα δεδομένα τους.

  1. Κρυπτογράφηση των δεδομένων με SSL

Είναι απαραίτητο το eshop ή η ιστοσελίδα της επιχείρησής σας να κρυπτογραφεί τα δεδομένα μέσω κάποιου SSL. Το SSL πιστοποιητικό είναι το 1ο βήμα για τον GDPR και αυτό γιατί προσφέρει ιδιωτικότητα και ασφάλεια στις συναλλαγές και στην μεταφορά των δεδομένων των χρηστών. Η Addicted σας παρέχει Δωρεάν SSL πιστοποιητικό Ασφαλείας με κάθε φιλοξενία και για όσο καιρό φιλοξενούμε την ιστοσελίδα σας.

  1. Ηλεκτρονικές φόρμες

Οι ιστοσελίδες , οι οποίες έχουν φόρμες (επικοινωνίας, υποστήριξης, πωλήσεων κ.α.) θα χρειαστεί να προσθέσουν κουτάκια (check boxes) συγκατάθεσης τα οποία δεν θα πρέπει να έχουν συμπληρωθεί προηγουμένως, αλλά να τα επιλέξει ο χρήστης, μιας και τα προ-συμπληρωμένα κουτάκια δεν θεωρούνται ελεύθερη συγκατάθεση. Οι χρήστες θα πρέπει να έχουν την δυνατότητα να δίνουν διαφορετική συγκατάθεση ανάλογα με τον τύπο της επεξεργασίας των δεδομένων που γίνεται κάθε φορά.

  1. Εύκολη απεγγραφή ή ανάκληση άδειας

Θα πρέπει να δίνεται στους χρήστες η δυνατότητα απεγγραφής ή ανάκλησης της συγκατάθεσης τους από διαδικασίες και ενέργειες που επεξεργάζονται τα δεδομένα τους.  Για παράδειγμα, θα πρέπει ο χρήστης να έχει τη δυνατότητα απεγγραφής από τo newsletter με εύκολο τρόπο και οποιαδήποτε στιγμή το επιθυμεί.

  1. Cookies

Σε περίπτωση χρήσης cookies, είναι απαραίτητο οι επισκέπτες να ενημερώνονται κατά την είσοδο τους στο site και να γίνεται σχετική αναφορά στην πολιτική απορρήτου. Ακόμη, θα πρέπει να δίνεται η δυνατότητα απενεργοποίησης των cookies μέσα από τις ρυθμίσεις του browser. Σε περίπτωση, χρήσης cookies τρίτων (π.x Google Analytics), χρειάζεται να γίνει σχετική αναφορά μέσα στην πολιτική απορρήτου. Σε περίπτωση που ο χρήστης δεν δώσει ρητή συγκατάθεση , δεν μπορούν να τοποθετηθούν cookies στον περιηγητή του. Το site θα μπορεί να είναι προσβάσιμο ακόμα και χωρίς την χρήση cookies, αν και δεν θα είναι διαθέσιμες λειτουργίες όπως η εξατομίκευση.

Επειδή τόσο η προώθηση ιστοσελίδων μέσω της χρήσης backlinks και άλλων μεθόδων όσο και η διαφήμιση στο internet (π.χ. διαφήμιση στα Social Media μέσω Facebook, Instagram ή και μέσω Google Adwords με την χρήση τακτικών / μεθόδων / εργαλείων remarketing ) εγκυμονούν κινδύνους, χρειάζεται οι εταιρείες που έχουν αναλάβει για λογαριασμό σας την διαφημιστική προώθηση της ιστοσελίδας σας να έχουν πάρει συγκεκριμένα μέτρα και να μπορούν εγγράφως να σας βεβαιώσουν για την πλήρη συμβατότητα των ενεργειών τους με τον GDPR.

  1. Καταγραφή IP

Σε περίπτωση που γίνεται καταγραφή των IP διευθύνσεων των χρηστών ή επισκεπτών του site, θα πρέπει να γίνεται σχετική αναφορά μέσα στην πολιτική απορρήτου, καθώς οι IP διευθύνσεις αποτελούν “προσωπικά δεδομένα” των ατόμων.

  1. Διαφήμιση στα social media

Αν πρόκειται να γίνει χρήση των email των εγγεγραμμένων μελών της ιστοσελίδας ή του ηλεκτρονικού καταστήματος, ώστε να τρέξει μια διαφημιστική καμπάνια στα social media, θα πρέπει πρώτα να έχει γίνει σχετική ενημέρωση. Επίσης, πρέπει να δίνεται η δυνατότητα απεγγραφής από τις συγκεκριμένες ενέργειες μάρκετινγκ.

  1. Re-marketing

Το re-marketing λειτουργεί με την χρήση cookies τα οποία  “σημαδεύουν” και παρακολουθούν τους χρήστες του εκάστοτε site. Η χρήση και ο τρόπος λειτουργίας αυτών τους θα πρέπει να αναγράφεται με σαφήνεια μέσα στην πολιτική απορρήτου της ιστοσελίδας.

  1. Online Πληρωμές

Σε περίπτωση που το ηλεκτρονικό κατάστημα χρησιμοποιεί πύλες πληρωμών όπως PayPal, Stripe, Sagepay κ.α. για τις χρηματοπιστωτικές συναλλαγές των πελατών και τα προσωπικά τους στοιχεία περνάνε πρώτα από το e-shop, θα χρειαστεί να γίνεται κρυπτογράφηση αυτών των πληροφοριών μέσω ssl πιστοποιητικού.

Σε περίπτωση που το e-shop αποθηκεύει τα προσωπικά στοιχεία μετά την αποστολή των πληροφοριών στην πύλη πληρωμών, τότε θα χρειαστεί να γίνει τροποποίηση της πολιτικής απορρήτου και των διεργασιών του ηλεκτρονικού καταστήματος ώστε να αφαιρεθούν τυχόν προσωπικά στοιχεία μετά από εύλογο χρονικό διάστημα (π.χ. 90 ημέρες). Η νομοθεσία του GDPR δεν είναι ρητή για τον αριθμό των ημερών που αποθηκεύονται τα προσωπικά δεδομένα των πελατών. Τέλος, αν ζητηθεί χρειάζεται να υπάρχει δυνατότητα αφαίρεσης όλων των πληροφοριών που αφορούν κάθε πελάτη.

  1. Διαχείριση των plugins

Χρειάζεται να γίνει έλεγχος των plugins, τα οποία χρησιμοποιούν τα δεδομένα του χρήστη. Πολλά plugins, για παράδειγμα, χρησιμοποιούν cookies. Τέτοια χρήση πρέπει να αναγράφεται στην πολιτική σας για το απόρρητο των προσωπικών δεδομένων και πρέπει να υπόκειται στην συγκατάθεση του χρήστη.

Είναι ήδη σε εξέλιξη προσπάθειες για την δημιουργία πρότυπου plugin που να συνάδει με τον κανονισμό προστασίας προσωπικών δεδομένων για το WordPress.

  1. Διαρροή Πληροφοριών

Ο GDPR ορίζει ως καθήκον των επιχειρήσεων και οργανισμών, σε περίπτωση παραβίασης των δεδομένων, να ειδοποιήσουν εντός 72 ωρών την Αρχή Προστασίας Προσωπικών Δεδομένων της χώρας που εδρεύουν.


About the Author

Yiannis Freris

Ο Γιάννης Φρέρης έχει εμπειρία απο το 1998 στη δημιουργία επιτυχημένων ιστοσελίδων την προώθηση τους στις μηχανές αναζήτησης και στην υλοποίηση διαφημίσεων σε εστιασμένο κοινό. Δείτε δείγματα απο Project που εχουμε υλοποιήσει στο Portfolio μας.

Συνδεθείτε μαζί μας στα Social Media και ενημερωθείτε για ολες τις εξελίξεις:
  Γιάννης Φρέρης Linkedin Addicted Design Greece Addicted twitter Addicted Google plus Yiannis Freris Google plus

Comments are closed.