Άρθρα » General
GDPR και Προστασία Προσωπικών Δεδομένων
ΕΙΣΑΓΩΓΗ ΣΤΟΝ GDPR
Ο όρος
Ο όρος GDPR έγινε γνωστός τελευταία, αν και είναι κάτι που σχεδιάστηκε αρκετά χρόνια πριν. Πρόκειται για κανονισμό - δημιούργημα της Ευρωπαϊκής Ένωσης, που αναφέρεται στους κανόνες διαχείρισης των προσωπικών δεδομένων των Ευρωπαίων πολιτών.
Σύμφωνα με τον κανονισμό:
Κάθε Ευρωπαίος πολίτης έχει δικαίωμα απόλυτου ελέγχου στα προσωπικά του δεδομένα, διορθώνοντάς τα ή και απαιτώντας τη διαγραφή τους.
Αντιλαμβάνεστε ότι ο κανονισμός αφορά οποιονδήποτε:
- έχει στην κατοχή του ή
- επεξεργάζεται προσωπικά δεδομένα πολιτών της ΕΕ.
Έναρξη ισχύος
Ο κανονισμός τίθεται σε ισχύ από την Παρασκευή 25 Μαΐου 2018, θέτοντας στο επίκεντρο τα προσωπικά δεδομένα του Ευρωπαίου πολίτη. Η μη συμμόρφωση από τους φορείς που κατέχουν και επεξεργάζονται προσωπικά δεδομένα (επιχειρήσεις εσωτερικού ή εξωτερικού, μικρές ή μεγάλες), επιφέρει δυσβάσταχτες κυρώσεις.
ΕΝΝΟΙΕΣ ΚΑΝΟΝΙΣΜΟΥ
Πριν προχωρήσουμε σε περιγραφές και αναλύσεις του κανονισμού σχετικά με τους εμπλεκόμενους και τις ενέργειες που απαιτούνται, ας προσδιορίσουμε τις βασικότερες έννοιες που χρησιμοποιεί πιο συχνά ο κανονισμός:
Προσωπικά Δεδομένα
Προσωπικά δεδομένα είναι όλες οι πληροφορίες με βάση τις οποίες μπορεί να ταυτοποιηθεί ένα άτομο, όπως:
- στοιχεία αναγνώρισης (όνομα, επώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.)
- φυσικά χαρακτηριστικά (ύψος, χρώμα ματιών κλπ.)
- εκπαίδευση, δεξιότητες, ικανότητες
- εργασία (προϋπηρεσία, εργασιακή συμπεριφορά, μέλος συνδικαλιστικών οργανώσεων κλπ.)
- οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, τραπεζικοί λογαριασμοί, οικονομική συμπεριφορά κλπ.)
- ενδιαφέροντα, δραστηριότητες, συνήθειες.
Σύμφωνα με τον κανονισμό GDPR, τα προσωπικά δεδομένα:
- Συλλέγονται για συγκεκριμμένους και σαφείς σκοπούς
- Είναι τροποποιήσιμα (ενημέρωση / διαγραφή)
- Υπόκεινται σε νόμιμη και διάφανη επεξεργασία
- Είναι ασφαλή και αυτό μπορεί να αποδειχτεί
- Διατηρούνται για καθορισμένο χρόνο, ό,σο χρειάζονται
- Η χρήση τους είναι οριοθετημένη
Επεξεργασία Δεδομένων
Είναι πράξεις πάνω στα προσωπικά δεδομένα, όπως:
- συλλογή
- αποθήκευση σε βάση δεδομένων
- χρήση
- διάδοση
- διαγραφή κλπ
Υπεύθυνος Προστασίας Δεδομένων (DPO officer)
Άτομο (ή υπηρεσία) που ορίζει τον τρόπο με τον οποίο γίνεται η επεξεργασία των προσωπικών δεδομένων, που δεν ανήκει απαραίτητα στο προσωπικό της εταιρείας που εξυπηρετεί.
Ο DPO officer προστατεύει την επιχείρηση ώστε να μη βρεθεί εκτεθειμμένη και την εκπροσωπεί έναντι των αρχών, αν χρειαστεί.
Μη θορυβείστε! Μόνο οι πολύ μεγάλες εταιρείες χρειάζονται τη βοήθεια μιας τέτοιας ειδικότητας.
Υπεύθυνος Επεξεργασίας Δεδομένων
Αυτός που κάνει χρήση των προσωπικών δεδομένων και μπορεί να είναι άτομο ή υπηρεσία.
ΔΙΚΑΙΩΜΑΤΑ ΕΥΡΩΠΑΙΟΥ ΠΟΛΙΤΗ ΣΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΤΟΥ
Προκειμένου να προστατεύσει τους πολίτες της ΕΕ, ο κανονισμός δίνει δικαιώματα:
- ενημέρωσης και πρόσβασης στα προσωπικά δεδομένα τους
- οριστικής διαγραφής των δεδομένων τους
- φορητότητας (να παραλάβουν ή να ζητήσουν μεταφορά των δεδομένων τους)
ΠΡΟΣΒΑΣΗ & ΧΡΗΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Μετά από ό,σα αναφέρθηκαν παραπάνω, είναι σαφές ότι ο κανονισμός GDPR αφορά οποιονδήποτε έχει στην κατοχή του και επεξεργάζεται ή όχι, δεδομένα Ευρωπαίων Πολιτών.
Παρακάτω αναφέρουμε τρόπους πρόσβασης και επεξεργασίας προσωπικών δεδομένων, ευαίσθητων και μη:
Φόρμες επικοινωνίας & αγορών
Συνήθως οι ιστοσελίδες μέσα από τις φόρμες επικοινωνίας, αλλά και τα ηλεκτρονικά καταστήματα μέσα από τις φόρμες πληρωμών, συλλέγουν πληροφορίες προσωπικών δεδομένων εκ φύσεως.
Θα παρατηρήσετε ότι αυτό δεν είναι κακό, αφού οι πληροφορίες δίνονται οικειοθελώς. Θα συμφωνήσουμε, αλλά θα επανέλθουμε σε αυτό λίγο παρακάτω.
Cookies
Είναι γνωστή η δυσπιστία που περιβάλλει το θέμα cookies και ακόμα δε λέει να λήξει. Είναι επικίνδυνο; Να τα απενεργοποιήσω;
Αν και αθώα, τα μπισκοτάκια εμπλέκονται στο θέμα "προσωπικά δεδομένα", με το να αποθηκεύουν συνήθειες και προτιμήσεις των επισκεπτών.
Marketing
Στοιχεία ταυτοποίησης χρησιμοποιούνται και από διάφορες πλατφόρμες marketing για απoστολή newsletter ή SMS, όπου χρησιμοποιείται τουλάχιστον η email διεύθυνση ή το κινητό του παραλήπτη.
Ακόμα, οι περισσότεροι ιδιοκτήτες ιστοσελίδων, χρησιμοποιούν Google Analytics για να ερμηνεύσουν τους επισκέπτες τους και αυτό γίνεται με συλλογή και καταγραφή συμπεριφορών των επισκεπτών.
ΕΝΕΡΓΕΙΕΣ ΣΥΜΜΟΡΦΩΣΗΣ ΜΕ ΤΟΝ GDPR
Αρκετές εταιρείες έχουν ήδη εκφράσει την ανησυχία τους για συμμόρφωση με τον κανονισμό GDPR και έχουν ήδη στείλει τα στελέχη τους να παρακολουθήσουν κάποιο σχετικό σεμινάριο.
Για όσους δεν έχουν κάνει κάτι μέχρι στιγμής, παραθέτουμε τα βασικά βήματα που πρέπει να ακολουθήσουν:
1. Φιλτραρισμα πληροφοριών
Ξεκινήστε ξεκαθαρίζοντας το είδος των πληροφοριών που χρειάζεστε για να λειτουργήσετε. (πχ. Όνομα χρήστη, συνθηματικό, ονοματεπώνυμο, τηλέφωνο, email).
Αν κάτι δεν πρόκειται να σας φανεί χρήσιμο, μην το ζητάτε. Αν για παράδειγμα δεν σας χρειάζεται η "ηλικία", μην τη ζητάτε. Αυτό απλοποιεί τα πράγματα.
2. Καθορισμός τρόπου επεξεργασίας
Καθορίστε το είδος της επεξεργασίας και τη διάρκεια αποθήκευσης.
Παράδειγμα: Τα καταστήματα κινητής τηλεφωνίας για να προμηθεύσουν κάρτα SIM, ψηφιοποιούν (σκανάρουν) τον αριθμό ταυτότητας του πελάτη και τον αποθηκεύουν στη βάση δεδομένων τους.
3. Καθορισμός μέσων αποθήκευσης
Καθορίστε τα μέσα στα οποία θα αποθηκεύετε δεδομένα.
Να θυμάστε: ίσως χρειαστεί να προβείτε σε άμεσες ενέργειες (αναφορικά με τα στοιχεία συγκεκριμένου ατόμου), οπότε πρέπει να γνωρίζετε "τί έχετε πού".
Παράδειγμα: Στο PC λογιστηρίου αποθηκεύονται τα στοιχεία πελατών για την τιμολόγηση και στο PC του marketing όνομα & email για τις αποστολές των Newsletters.
4. Εντοπισμός αποθηκευμένων δοδεμένων
Εντοπίστε όλα τα μέσα, στα οποία έχετε έως σήμερα αποθηκεύσει προσωπικά δεδομένα. Τα μέσα που βρίσκονται αποθηκευμένα θα πρέπει να είναι ίδια με αυτά που επιλέξατε στο προηγούμενο βήμα (3).
5. Ανανέωση πολιτικής απορρήτου
Είτε διατηρείτε "μια απλή ιστοσελίδα" είτε ένα ηλεκτρονικό κατάστημα, χρειάζεται να δημιουργήσετε ξεκάθαρη "Πολιτική απορρήτου", ενημερώνοντας τους επισκέπτες για το τί είδους προσωπικά δεδομένα συλλέγετε (αν τα συλλέγετε) και πώς τα αξιοποιείτε. Στο τέλος της παραγράφου, υποδείξτε συγκεκριμένη email διεύθυνσή σας, όπου μπορούν να αιτηθούν διαγραφή των δεδομένων τους.
- Αν χρησιμοποιείτε cookies, πείτε το (υπενθυμίζοντας ότι είναι ακίνδυνα), πείτε το λόγο που τα χρησιμοποιείτε πχ. "τα χρειάζεστε για στατιστικούς λόγους" και θυμίστε τους ότι μπορούν να τα απενεργοποιήσουν από τον φυλλομετρητή τους (browser).
- Αν το site σας χρησιμοποιεί sessions, δηλώστε το και εξηγήστε γιατί το κάνετε (πχ. τα χρησιμοποιείτε για τη διατήρηση της άδειας εισόδου επισκέπτη για περιορισμένο χρόνο και δυνατότητα αναστολής της άδειας εισόδου λίγο μετά).
- Αν αποθηκεύετε τα sessions στο server, δηλώστε το επίσης, εξηγώντας γιατί τα αποθηκεύετε.
6. Ενημέρωση τροποποίησης πολιτικής απορρήτου
Οι ιστοσελίδες με online λογαριασμούς εγγεγραμμένων χρηστών (B2B, eshop κλπ), δίνουν (το πιθανότερο) τη δυνατότητα επεξεργασίας των στοιχείων του συνδρομητή. Όμως, καλό θα ήταν να τους ενημερώσετε (την επόμενη φορά που θα δοκιμάσουν να συνδεθούν) για τη νέα "Πολιτική Απορρήτου" σας - δείτε προηγούμενο βήμα (5)
7. Newsletters, SMS (μαζική αποστολή)
Αν μέχρι τώρα χρησιμοποιούσατε αυτές τις μεθόδους επικοινωνίας με το κοινό σας, είναι ανάγκη να αποσπάσετε τη συγκατάθεση των (Ευρωπαίων θυμίζουμε) συνδρομητών σας για τις μελλοντικές αποστολές, με μια ακόμα αποκλειστική αποστολή για αυτό το σκοπό.
Θεωρήστε ότι αυτή τη στιγμή δεν έχετε την άδεια να ενοχλείτε κανέναν. Κάποιοι δε θα ανταποκριθούν και θα τους χάσετε. Το καλό είναι ότι στο εξής δε θα έχετε να φοβηθείτε τίποτε.
8. Ασφάλεια
Θωρακίστε τα μέσα αποθήκευσης προσωπικών δεδομένων! Λάβετε μέτρα.
Τα μέσα στα οποία αποθηκεύετε στοιχεία με προσωπικά δεδομένα πρέπει να είναι ασφαλή!
- Η πρόσβαση στα μέσα αυτά καλό είναι να προστατεύεται. Συνεπώς, ό,σο λιγότερα μέσα χρησιμοποιούμε, τόσο το καλύτερο!
- Πρέπει να είστε σε θέση να αποδείξετε ότι έχετε λάβει σοβαρά μέτρα προστασίας των προσωπικών δεδομένων που κατέχετε.
- Αν διαπιστωθεί παραβίαση ασφάλειας (διαρροή προσωπικών δεδομένων), οφείλετε να το δηλώσετε στην αρμόδια αρχή εντός 72 ωρών.
ΔΗΛΩΣΗ:
Το άρθρο αυτό είναι ενημερωτικό. Παρέχοντας τις παραπάνω οδηγίες δεν ενεργούμε ως νομικοί, ούτε παρέχουμε νομικές συμβουλές, ούτε ευθυνόμαστε για το πώς θα χρησιμοποιήσετε τις αναγραφόμενες πληροφορίες. Για χρήση των παραπάνω οδηγιών, συμφωνείτε με αυτή τη δήλωση.