Πιθανότατα να έχει πέσει τελευταία στην αντίληψή σας η online - και όχι μόνο - συζήτηση για τον GDPR.
O GDPR ( General Data Protection Regulation ) είναι ο νέος Nόμος της ΕΕ για την Προστασία των Προσωπικών Δεδομένων και τίθεται σε ισχύ σε λίγες μέρες, στις 25 Μαϊου 2018.
O νέος αυτός Νόμος επηρεάζει άμεσα ΟΛΟΥΣ όσους δραστηριοποιούνται εντός ΕΕ ( είτε είναι Φορείς, είτε Επιχειρήσεις, είτε Ιστοσελίδες ), και η σημασία του δεν πρέπει σε καμία περίπτωση να αγνοηθεί.
Παρακάτω θα προσπαθήσουμε να κάνουμε μιά πρώτη προσέγγιση για το θέμα, αν και το εύρος είναι αρκετά μεγάλο, και σε μεγάλο βαθμό άπτεται νομικών όρων και ορισμών.
Τι είναι λοιπόν και ποιούς αφορά ο GDPR ;
Καθώς η τεχνολογία εξελίσσεται και νέες δυνατότητες αλλά και διαδικτυακοί κίνδυνοι αναπτύσσονται, γίνεται αναγκαία η επικαιροποίηση των κανονισμών και νόμων για την online προστασία των χρηστών όσο αφορά την περιήγηση τους στο Διαδίκτυο.
Ένα μεγάλο κομμάτι αυτού είναι τα θέματα που αφορούν τα Προσωπικά Δεδομένα των χρηστών και πως αυτά μπορούν να προστατευθούν αποτελεσματικά.
Αυτό το κομμάτι καλύπτει ο GDPR, που βέβαια δεν αφορά μόνο το online κομμάτι.
Αφορά ΟΛΕΣ τις Επιχειρήσεις οι οποίες δραστηριοποιούνται εντός ΕΕ , είτε έχουν Online παρουσία ( π.χ Ιστοσελίδα ) είτε όχι.
Εφόσων οι Επιχειρήσεις αυτές συλλέγουν ή επεξεργάζονται με ΟΠΟΙΟΝΔΗΠΩΤΕ τρόπο Προσωπικά Δεδομένα Χρηστών ( ανεξάρτητα με το εύρος που αυτό γίνεται ) οφείλουν να συμμορφωθούν έως τις 25.5 με τον νέο Κανονισμό προστασίας τους.
Σε αντίθετη περίπτωση... έρχονται μεγάλα πρόστιμα ! ( Δείτε παρακάτω )
Τι θεωρούνται ως Προσωπικά Δεδομένα σύμφωνα με τον Κανονισμό ;
Σύμφωνα με τον Κανονισμό ( Κεφ.1, Άρθρο 4 ) προσωπικό δεδομένο θεωρείται ".. κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.."
Πρακτικά, Προσωπικά Δεδομένα θεωρούνται στοιχεία όπως :
Όνομ/μο Διεύθυνση E-mail διεύθυνση
Τηλεφωνικοί Αριθμοί ΑΦΜ Τοπολογικά Δεδομένα IP διεύθυνση
ενώ ευαίσθητα προσωπικά δεδομένα θεωρούνται στοιχεία όπως
Φύλο
Υγειονομικά Δεδομένα
Σεξουαλική προτίμηση
Θρησκευτικές πεποιθήσεις
Πολιτικες πεποιθήσεις
Μερικοί συχνοί τρόποι μέσω των οποίων μιά Iστοσελίδα μπορεί να συλλέγει Προσωπικά Δεδομένα Χρηστών είναι τα ακόλουθα
Φόρμες Εγγραφής Χρηστών
Σχόλια Χρηστών
Φόρμες Παραγγελίας E-Shop
Φόρμες Επικοινωνίας
Google Analytics ή άλλες Λύσεις παρακολούθησης επισκεψιμότητας
Φόρμες Newsletter
Εργαλεία ή πρόσθετα ασφαλείας
κτλ
Ποιές είναι οι βασικές αρχές του Κανονισμού ;
Σύμφωνα με τον Κανονισμό, οι επισκέπτες μιάς Ιστοσελίδας ( "υποκείμενα δεδομένων" ) έχουν τα ακόλουθα δικαιώματα όσο αφορά τα Προσωπικά Δεδομένα τους που συλλέγονται από την σελίδα αυτή
Δικαίωμα στην Ενημέρωση
Δικαίωμα στην Πρόσβαση
Δικαίωμα στην Διόρθωση
Δικαίωμα στην Διαγραφή ( "Δικαίωμα στην Λήθη " )
Δικαίωμα περιορισμών στην Επεξεργασία
Δικαίωμα στην Φορητότητα
Δικαίωμα στην Εναντίωση
Αναθεώρηση αυτοματοποιημένων αποφάσεων ή δημιουργίας Προφίλ
Πιό αναλυτικά
Δικαίωμα στην Πρόσβαση: Ο Χρήστης έχει δικαίωμα ανά πάσα στιγμή να γνωρίζει ποιά ακριβώς είναι τα Προσωπικά Δεδομένα του που ένα Website επεξεργάζεται, για ποιό λόγο το κάνει, και που ακριβώς βρίσκονται αυτά τα δεδομένα.
Δικαίωμα στην Διόρθωση: Ο Χρήστης έχει δικαίωμα ανά πάσα στιγμή, να μπορεί να διορθώσει, τροποποιήσει τα Προσωπικά του Δεδομένα
Δικαίωμα στην Λήθη: Ο Χρήστης έχει δικαίωμα ανά πάσα στιγμή να αιτηθεί την διαγραφή όλων των Προσωπικών Δεδομένων που μια ιστοσελιδα έχει συλλέξει απ' αυτόν
Δικαίωμα περιορισμών στην Επεξεργασία: Ο Χρήστης έχει δικαίωμα ανά πάσα στιγμή να ζητήσει τον περιορισμό στην επεξεργασία των δεδομένων του, εφόσων πιστεύει ότι έχουν συλλεχθεί παράνομα ή καταχρηστικά
Δικαίωμα στην Φορητότητα: Ο Χρήστης έχει δικαίωμα ανά πάσα στιγμή να του δωθούν σε φορητό ηλεκτρονικό μέσο το σύνολο των Προσωπικών Δεδομένων που ένα Website έχει συλλέξει απ' αυτόν
Δικαίωμα στην Εναντίωση: Ο Χρήστης έχει δικαίωμα ανά πάσα στιγμή να ζητήσει να μην επιτρέπεται η επεξεργασία των Δεδομένων του ή να ανακαλέσει προηγούμενη άδεια για την επεξεργασία τους.
Τι πρέπει να κάνει μιά online επιχείρηση για να συμμορφωθεί με τον Κανονισμό ;
Πλήρης καταγραφή όλων των Προσωπικών Δεδομένων που συλλέγει
Δημιουργία όλων των απαραίτητων 'μηχανισμών΄συμμόρφωσης, αυτοματοποιημένων ή μη σε σχέση με τα παραπάνω Δεδομένα ( σύμφωνα με τα παραπάνω αναφερθέντα )
Πληροφόρηση - Ενημέρωση των Επισκεπτών του Website
Εάν δεν έχετε ήδη, δημιουργήστε μιά σελίδα 'Πολιτικής Προσωπικών Δεδομένων" μέσα από την οποία θα ενημερώνετε το κοινό σας με σαφή, απλό και κατανοητό λόγο ποιά είναι τα Προσωπικά Δεδομένα που συλλέγετε κατά την περιήγησή τους στο Website και πως ακριβώς τα χρησιμοποιείτε.
4. Δημιουργία μιάς 'Νομικής Βάσης' για όλα τα Προσωπικά Δεδομένα που συλλέγει και επεξεργάζεται
5. Πρόσληψη DPO ( Προαιρετικά )
Ένας Data Protection Officer (DPO) είναι απαραίτητος μόνο στην περίπτωση που η Ιστοσελίδα σας συλλέγει μαζικά και σε καθημερινή βάση μεγάλο όγκο Προσωπικών Δεδομένων.
Πως θα εξακριβώσουμε τι Προσωπικά Δεδομένα χρησιμοποιούμε στην επιχείρηση μας ;
Χρήσιμες ερωτήσεις που μπορούν να βοηθήσουν προς αυτήν την κατεύθυνση είναι :
Ποιοί είναι οι Πελάτες σας ;
Τι Προσωπικά Δεδομένα συλλέγονται ;
Που αποθηκεύονται ; Tοπικά σε κάποιον server, σε κάποια εταιρία φιλοξενίας ; Στο Cloud ?
Υπάρχουν συνεργάτες με τους οποίους μοιράζεστε τα Προσωπικά Δεδομένα ;
Eίναι ασφαλή τα Προσωπικά Δεδομένα ;
Συγκεκριμένα, ανάλογα με την πλατφόρμα με την οποία είναι φτιαγμένη η Ιστοσελίδα σας, μπορείτε να ψάξετε σε
WordPress/Joomla plugins ή λοιπά πρόσθετα που συλλέγουν Προσωπικά Δεδομένα
Λίστες εγγεγραμμένων Χρηστών
Αρχεία pdf, Βάσεις Δεδομένων
Λϊστες Πελατών E-shop
Ε-mail και τα επισυναπτόμενά τους
Cloud storage: Dropbox, Google Drive, Amazon S3 Email marketing software: MailChimp και παρόμοια Social media plugins
Ελέγξτε , σε περίπτωση που μοιράζεστε Προσωπικά Δεδομένα με τρίτους Συνεργάτες, αν έχουν Πολιτική συμμόρφωσης με τον GDPR, κι αν όχι ζητήστε τους λεπτομέρειες ή αναζητήστε εναλλακτικούς συνεργάτες.
Για παράδειγμα, το MailChimp έχει πρόσφατα ανακοινώσει ότι έχει προσαρμόσει την Πολιτκή του με τον νέο Κανονισμό. Αναζητήστε λεπτομέρειες.
Tι επιπτώσεις υπάρχουν σε περίπτωση μη συμμόρφωσης ;
Σε περίπτωση μη συμμόρφωσης μιάς Εταιρικής Ιστοσελιδας με τον Κανονισμό GDPR τα πρόστιμα που προβλέπονται σε περίπτωση Καταγγελίας φτάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του ετήσιου τζίρου της Εταιρίας το περασμένο έτος. ( όποιο από το δύο είναι μεγαλύτερο )
Επίλογος
Η συμμόρφωση μιά Ιστοσελίδας και εν γένει μιάς Επιχείρισης με τον Κανονισμό Προσωπικών Δεδομένων GDPR αποτελεί πρόκληση, αλλά παράλληλα μπορεί να ειδωθεί και ως μιά ευκαιρία για αναβάθμιση της σχέσης της Επιχειρίσης με τους Πελάτες της στην κατεύθυνση παροχής ποιοτικότερων αλλά και ειλικρινέστερων Υπηρεσιών.
Ως Siteworks.gr έχουμε ενημερωθεί και εργασθεί σε συνεργασία με νομικό team, και είμαστε έτοιμοι να υποστηρίξουμε τεχνικά την συμμόρφωση της ιστοσελίδας σας με τον κανονισμό GDPR.
Παρακαλούμε ελάτε σε επικοινωνία μαζί μας για πληρέστερη και εξειδικευμένη ενημέρωση.
Απορίες ; Ρωτήστε μας παρακάτω, θα χαρούμε να απαντήσουμε.
-------------------------------
Οι πληροφορίες που αναφέρονται σ' αυτό το άρθρο σε καμία περίπτωση δεν αποτελούν νομικές συμβουλές ή οδηγίες. Για νομικές πληροφορίες συμμόρφωσης με τον Κανονισμό, ελάτε σε επαφή με τον δικηγόρο σας.