Συμμόρφωση website / eshop με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR)

01
Ιούν
2018
Συμμόρφωστε το website σας με τον GDPR

Είτε είστε ιδιοκτήτης eshop, είτε διαθέτετε ένα εταιρικό website που λαμβάνει μηνύματα μέσω φόρμας επικοινωνίας, θα πρέπει πλέον οι διαδικασίες σας να είναι εναρμονισμένες με τον  Γενικό Κανονισμό Προστασίας Δεδομένων ή αλλιώς GDPR.

Τα βασικά σημεία του GDPR

Σίγουρα το τελευταίο διάστημα έχετε συναντήσει πολλά άρθρα στο διαδίκτυο σχετικά με την οδηγία GDPR. Την έχει θεσπίσει η ΕΕ και αφορά όλες τις επιχειρήσεις που δραστηριοποιούνται ή συναλλάσσονται με αυτή. Σας παραθέτουμε εδώ απαντήσεις σε ορισμένα από τα βασικότερα ερωτήματα:

Τι είναι το GDPR και πότε εφαρμόζεται;

Το GDPR (General Data Protection Regulation) είναι μια νέα οδηγία της Ευρωπαϊκής Ένωσης, η οποία φέρνει σημαντικές αλλαγές στην ασφάλεια δεδομένων και στην προστασία της ιδιωτικής ζωής. Η επίσημη έναρξη εφαρμογής της ήταν η 25η Μαΐου του 2018. Περισσότερες πληροφορίες μπορείτε να βρείτε στην επίσημη ιστοσελίδα ενημέρωσης www.eugdpr.org.

Ποιος είναι ο αρμόδιος φορέας για την Ελλάδα;

Ο αρμόδιος φορέας που θα εποπτεύει και θα επιβάλλει τις κυρώσεις που θα προκύπτουν από την μη εφαρμογή της οδηγίας σε μια επιχείρηση ή ένα οργανισμό είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα / DPA (dpa.gr). Θα έχει εξουσία να επιβάλλει κλιμακούμενα πρόστιμα έως 20 εκατομμύρια ευρώ ή, σε περίπτωση εταιρείας, έως το 4% του ετήσιου κύκλου εργασιών της.

Ποια θεωρούνται ως δεδομένα προσωπικού χαρακτήρα;

Ως προσωπικά δεδομένα χαρακτηρίζεται κάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο. what-is-personal-data-graphicΜερικά παραδείγματα τέτοιων πληροφοριών είναι:
  • στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.),
  • φυσικά χαρακτηριστικά (χρώμα ματιών, ύψος κλπ),
  • εκπαίδευση,
  • εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ),
  • οικονομική κατάσταση (φορολογική δήλωση, οικονομική συμπεριφορά κλπ),
  • ενδιαφέροντα,
  • δραστηριότητες,
  • συνήθειες,
  • παρουσίες σε χώρους (πχ check-in)


Τι είναι o Data Protection Officer (DPO);

Εάν κάποια εταιρεία ή οργανισμός διαχειρίζεται ή επεξεργάζεται πληροφορίες Υποκειμένων σε μεγάλη κλίμακα ή επεξεργάζεται ειδικές κατηγορίες δεδομένων (ευαίσθητα προσωπικά δεδομένα), θα πρέπει να ορίσει ένα Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer – DPO). Κύριο αντικείμενο του DPO είναι να προάγει μια κουλτούρα με στόχο τη γενικότερη προστασία προσωπικών δεδομένων που διαθέτει και επεξεργάζεται η εταιρεία ή ο οργανισμός.

Ποιοι οργανισμοί πρέπει να ορίζουν DPO;

Ο ορισμός DPO είναι υποχρεωτικός όταν:
  • Η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα (συμπεριλαμβανομένων και φυσικών ή νομικών προσώπων δημοσίου ή ιδιωτικού δικαίου που ασκούν δημόσια εξουσία). Εξαιρούνται τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
  • Απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (π.χ. ασφαλιστικές ή τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας, όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, όπως για σκοπούς συμπεριφορικής διαφήμισης).
  • Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (π.χ. στο πλαίσιο παροχής υπηρεσιών υγείας από νοσοκομεία) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.
Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη:
  • ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του πληθυσμού,
  • ο όγκος και το εύρος των δεδομένων,
  • η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας,
  • η γεωγραφική έκταση της επεξεργασίας.
Παραδείγματα που δεν συνιστούν επεξεργασία μεγάλης κλίμακας είναι, μεταξύ άλλων, η επεξεργασία δεδομένων ασθενών από ιδιώτη ιατρό και η επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο.

Οι βασικές ενέργειες που πρέπει να υλοποιηθούν βάση του κανονισμού GDPR

Τι θα πρέπει να κάνω για την επιχείρησή μου;

Οι ενέργειες που θα μπορούσε να εφαρμόσει μια εταιρεία ή ένας οργανισμός προκειμένου να εναρμονιστεί με το GDPR, ουσιαστικά απορρέουν από μια γενικότερη κουλτούρα που θα πρέπει να αναπτύξει η εταιρεία ή ο οργανισμός σχετικά με τη προστασία προσωπικών δεδομένων.

Eνδεικτικά και μόνο αναφέρουμε μερικά παραδείγματα:
  • Φύλαξη/ασφάλιση του χώρου ή του μέσου που φέρει έντυπα ή ψηφιακά δεδομένα προσωπικού χαρακτήρα.
  • Απόκρυψη από κοινή θέα και πρόσβαση οποιουδήποτε είδους μέσου καταγραφής στοιχείων φυσικών προσώπων, είτε πρόκειται για έντυπο είτε για ηλεκτρονικό.
  • Υπογραφή συμβάσεων ευθύνης / εχεμύθειας από το προσωπικό της εταιρείας που έρχεται σε επαφή με προσωπικά δεδομένα.
  • Γενική ενημέρωση και εκπαίδευση προσωπικού σε θέματα ασφάλειας δεδομένων.

Τι ενέργειες επιπλέον μπορώ να εφαρμόσω στο eshop μου;

Αντίστοιχες διαδικασίες που απορρέουν από την οδηγία του GDPR αφορούν και τα ηλεκτρονικά καταστήματα. Ενδεικτικά σας αναφέρουμε τις εξής ενέργειες:
  • SSL πιστοποιητικό. 
    Αγορά και εγκατάσταση πιστοποιητικού SSL για το e-shop σας. Εάν το site σας δεν κρυπτογραφεί τα δεδομένα μέσω κάποιου SSL ήδη, τότε θα πρέπει να το εντάξετε στις άμεσες προτεραιότητες σας. Όπως έχουμε αναφέρει σε προηγούμενο άρθρο το πιστοποιητικό SSL προσφέρει ιδιωτικότητα και ασφάλεια στις συναλλαγές και στην μεταφορά των δεδομένων των χρηστών.
SSL-HTTPS
  • Πολιτική απορρήτου. 
     Αναθεώρηση της πολιτικής διατήρησης προσωπικών δεδομένων στο e-shop/website σας. Θα πρέπει να αναφέρεστε λεπτομερώς και ξεκάθαρα σχετικά με τον τρόπο με τον οποίο συλλέγετε, επεξεργάζεστε και αποθηκεύετε τα δεδομένα των χρηστών σας. Ακόμη,σημαντικό είναι να αναφέρετε τον χρόνο που σκοπεύετε να διατηρήσετε τα δεδομένα και τον τρόπο που μπορούν οι χρήστες να δουν και διαγράψουν τα δεδομένα τους.
  • Ηλεκτρονικές φόρμες.
    Πληροφόρηση των επισκεπτών/πελατών σχετικά με τη χρήση των δεδομένων που εισάγουν στη παραγγελία, στην εγγραφή τους ή στην εισαγωγή μιας φόρμας επικοινωνίας κλπ. Θα χρειαστεί να προστεθούν μηχανισμοί συγκατάθεσης (πχ check boxes) τα οποία δεν θα πρέπει να έχουν συμπληρωθεί προηγουμένως, αλλά να τα επιλέξει ο χρήστης. Τα προ-συμπληρωμένα κουτάκια δεν θεωρούνται ελεύθερη συγκατάθεση. Οι χρήστες θα πρέπει να έχουν την δυνατότητα να δίνουν διαφορετική συγκατάθεση ανάλογα με τον τύπο της επεξεργασίας των δεδομένων που γίνεται κάθε φορά. Επίσης αν παρέχετε τα δεδομένα των χρηστών σας σε τρίτους, θα πρέπει να ενημερώσετε τους χρήστες σχετικά και να προσθέσετε ακόμη ένα κουτί συγκατάθεσης όπου θα ζητάτε την συγκατάθεση του χρήστη.
  • Εύκολη απεγγραφή ή ανάκληση άδειας ή επεξεργασίας.
    Οι χρήστες θα πρέπει έχουν την δυνατότητα απεγγραφής ή ανάκλησης της συγκατάθεσης τους από διαδικασίες και ενέργειες που επεξεργάζονται τα δεδομένα τους.  Για παράδειγμα, θα πρέπει να δίνειτε την δυνατότητα στους χρήστες να απεγγραφούν από τo newsletter με εύκολο τρόπο και οποιαδήποτε στιγμή το επιθυμούν. Επίσης πρέπει να υπάρχει η δυνατότητα πρόσβασης και αλλαγής των προσωπικών δεδομένων του χρήστη μέσα από το προφίλ του.

Σε περίπτωση που το e-shop σας είναι συνδεδεμένο με ERP ή λογιστικό πρόγραμμα, θα πρέπει να συμβουλευτείτε ένα σύμβουλο GDPR και να σας ενημερώσει για την περίπτωση σας καθώς και τι άλλες αλλαγές απαιτούνται τόσο στο e-shop όσο και στο ERP σας.

Webtrails – Στοχευμένες ενέργειες προσαρμογής

Στην Webtrails διαθέτουμε μεγάλη εμπείρια στην ανάπτυξη ιστοσελίδων και e-shop. Μπορούμε να σας βοηθήσουμε να υλοποιήσετε βήμα-βήμα τις απαραίτητες ενέργειες για το eshop ή το website σας ώστε να είστε σύμφωνοι με τις οδηγίες του νέου κανονισμού.

Performance-Marketing

  • Μπορούμε να εγκαταστήσουμε το κατάλληλο SSL πιστοποιητικό για τη σελίδα σας που θα βελτιώσει και θα ενισχύσει την αξιοπιστία της.
  • Σε συνεργασία με έμπειρους συνεργάτες μας μπορούμε να σας βοηθήσουμε να αναθεωρήστε τους όρους της σελίδας σας και να καταγράψετε την πολιτική διατήρησης προσωπικών δεδομένων βάση του νέου κανονισμού.
  • Με πολυετή εμπειρία στο χώρο του web development μπορούμε να αναπτύξουμε για εσάς τους απαραίτητους μηχανισμούς για το eshop ή το website σας ώστε να συλλέγετε με ορθό τρόπο την συγκατάθεση τους για την παροχή των δεδομένων τους.

Όποια και αν είναι η ψηφιακή σας ανάγκη μπορείτε να επικοινωνήστε μαζί μας και να προτείνουμε για εσάς στοχευμένες ενέργειες διασφάλισης των δεδομένων που διαχειρίζεστε. Καλέστε μας στο  2810.235.631, ή στείλτε μας στο email [email protected] ή συμπληρώστε την παρακάτω φόρμα.