Ένας νέος κανονισμός της ΕΕ για την προστασία προσωπικών δεδομένων τίθεται σε ισχύ στις 25 Μαΐου 2018. Σας παρέχουμε τα βασικά βήματα τα οποία μπορείτε να ακολουθήσετε έτσι ώστε ή ιστοσελίδα σας να αρχίσει να συμμορφώνεται με τον καινούριο κανονισμό καθώς και μια γενική επεξήγηση της όλης οδηγίας GDPR.
Θεωρούμε ότι 6 είναι τα βασικά βήματα που θα πρέπει να ακολουθήσετε για να διασφαλίσετε ότι η ιστοσελίδα σας θα είναι συμβατή με τον Κανονισμό Προστασίας Γενικών Δεδομένων:
- Λάβετε την συγκατάθεση για την χρήση cookies.
- Έλεγχος και βελτίωση της πολιτικής σας για την προστασία προσωπικών δεδομένων
- Σιγουρευτείτε ότι τα plugins (επεκτάσεις – πρόσθετα εφαρμογής site) συμμορφώνονται με τον Κανονισμό GDPR.
- Περιορίστε τα δεδομένα που συλλέγετε και αποθηκεύετε μέσω αιτήσεων υποβολής εξηγώντας με κατάλληλα λόγια για πιο λόγο τα συλλέγετε και πώς τα προστατεύετε.
- Κάντε ένα ξεκαθάρισμα στις λίστες αλληλογραφίας σας (newsletters).
- Γενικές τεχνικές οδηγίες ασφάλειας που απαιτούνται σύμφωνα με τον Κανονισμό Προστασίας Γενικών Δεδομένων
Αναλυτικά:
Λήψη συγκατάθεσης από τον χρήστη για την χρήση cookies
Ο κανονισμός για την προστασία των προσωπικών δεδομένων διατυπώνει ότι τα cookies αποτελούν προσωπικά δεδομένα, καθώς μπορούν να χρησιμοποιηθούν για την ταυτοποίηση ενός ατόμου. Πρέπει να αποκτάτε ξεκάθαρη και ακριβή συγκατάθεση από τους χρήστες σας για την τοποθέτηση cookies και την παρακολούθηση τους. Αυτό μπορεί να επιτευχθεί με ένα αναδυόμενο παράθυρο κατά την πρώτη επίσκεψη του χρήστη, το οποίο θα επιτρέπει στους χρήστες να δώσουν την συγκατάθεση τους ή να απορρίψουν την χρήση cookies. Για να συμμορφωθείτε, δεν μπορείτε να έχετε μια προκαθορισμένη απάντηση (όπως αποδοχή) αλλά θα πρέπει να ζητάτε από τον χρήστη να διαλέξει μια επιλογή.
Αν ο χρήστης δεν δώσει την συγκατάθεση, δεν θα έχετε το δικαίωμα να τοποθετήσετε cookies στον περιηγητή (browser) του. Το site θα μπορεί να είναι προσβάσιμο ακόμα και χωρίς την χρήση cookies, αν και δεν θα είναι διαθέσιμες λειτουργίες όπως η εξατομίκευση.
Επειδή τόσο η προώθηση ιστοσελίδων S.E.O. όσο και η διαφήμιση στο internet (π.χ. διαφήμιση μέσω Facebook ή Google με την χρήση μεθόδων και εργαλείων όπως το Remarketing ) εγκυμονούν πολλούς κινδύνους για να δεχθείτε πρόστιμα, θα πρέπει να βεβαιωθείτε ότι οι εταιρείες που έχουν αναλάβει για λογαριασμό σας την διαφημιστική προώθηση της ιστοσελίδας σας έχουν πάρει συγκεκριμένα μέτρα και μπορούν εγγράφως να σας διαβεβαιώσουν για την πλήρη συμβατότητα των ενεργειών τους με τον GDPR.
Βελτιώστε την πολιτική σας για την προστασία των προσωπικών δεδομένων
Ενημερώστε την πολιτική σας για την προστασία προσωπικών δεδομένων έτσι ώστε να διασφαλίσετε ότι η συλλογή και η χρήση των δεδομένων γίνεται για κάποιο σκοπό και με διαφάνεια. Αυτό περιλαμβάνει την λεπτομερή εξήγηση των πρακτικών που χρησιμοποιείτε για την συλλογή δεδομένων, την χρήση cookies και τους κανόνες για το απόρρητο των στοιχείων που αφορούν το site και πότε μπορεί να γίνει κοινοποίηση των στοιχείων ενός χρήστη.
Η πολιτική σας για την προστασία των προσωπικών δεδομένων πρέπει να προσδιορίζει το είδος των δεδομένων που συλλέγετε, που τα χρησιμοποιείτε και πως τα προστατεύετε.
Μην κάνετε απλά μια αντιγραφή και επικόλληση μιας πολιτικής κάποιου άλλου website. Είναι σχεδόν απίθανο να περιέχει τις σωστές πληροφορίες για το δικό σας site. Αν το βρίσκετε κατάλληλο μπορείτε να προσθέσετε στοιχεία όπως:
- Δεν πουλάμε ή διαθέτουμε δεδομένα.
- Δεν κοινοποιούμε δεδομένα εκτός αν αναγκαστούμε από τον νόμο ή εισαγγελική αρχή.
- Ζητάμε μόνο προσωπικά στοιχεία τα οποία είναι απαραίτητα για την παροχή μιας υπηρεσίας που παρέχουμε.
Μετά από αυτό, αναφέρετε τι είδος στοιχεία συλλέγετε, που τα χρησιμοποιείτε και πως τα προστατεύετε.
Αν και όλες αυτές οι προσπάθειες για διαφάνεια μπορεί να έχουν σαν αποτέλεσμα την δημιουργία μιας μεγάλης και περίπλοκης πολιτικής για την προστασία των προσωπικών δεδομένων, καλό θα ήταν να προσπαθήσετε να την φτιάξετε έτσι ώστε να την κάνετε όσο πιο απλή και κατανοητή γίνεται, ενώ ταυτόχρονα να παραμένει πλήρης.
Διασφαλίστε ότι τα plugins σας συμμορφώνονται με τον κανονισμό προστασίας προσωπικών δεδομένων
Πολλά plugins (πρόσθετα ιστοσελίδας) χρησιμοποιούν δεδομένα του χρήστη (φόρμες επικοινωνίας κλπ). Είναι σημαντικό να ελέγξετε ποια plugins κάνουν χρήση των δεδομένων του χρήστη και τι τα κάνουν αυτά τα δεδομένα, επειδή και τα plugins πρέπει να συμμορφώνονται με τον κανονισμό προστασίας γενικών δεδομένων. Πολλά plugins, για παράδειγμα, χρησιμοποιούν cookies. Τέτοια χρήση πρέπει να αναγράφεται στην πολιτική σας για το απόρρητο των προσωπικών δεδομένων και πρέπει να υπόκειται στην συγκατάθεση του χρήστη.
Χρήσιμα plugins έχουν εμφανιστεί στην ενότητα για την προστασία προσωπικών δεδομένων σε plugin του WordPress αλλα και του Joomla!.
Είναι δική σας ευθύνη να διασφαλίσετε ότι όλα τα plugins σας μπορούν να προωθούν, διαθέτουν και διαγράφουν τα στοιχεία του χρήστη που συλλέγουν.
Περιορίστε τα δεδομένα που συλλέγετε και αποθηκεύετε μέσω αιτήσεων υποβολής
Οι αιτήσεις (φόρμες) έχουν την δυνατότητα να συλλέξουν πολλά ενδιαφέροντα προσωπικά δεδομένα αλλα καλό είναι να μην το κάνετε χωρίς λόγο. Συλλέξτε τα απαραίτητα πεδία που πραγματικά χρειάζεστε για την υπηρεσία που θα προσφέρετε. Μην κρατάτε τα δεδομένα για περισσότερο από όσο χρειάζεται. Να θυμάστε ότι πολλά plugins αιτήσεων αποθηκεύουν τις υποβληθείσες αιτήσεις σε μια βάση δεδομένων. Τέτοια plugins τροποποιούνται έτσι ώστε να περιλαμβάνουν μια επιλογή πχ “να μην γίνει αποθήκευση των δεδομένων της αίτησης” στις ρυθμίσεις και μπορείτε να την χρησιμοποιήσετε.
Κάντε εκκαθάριση στις λίστες της αλληλογραφίας σας
Αν η ιστοσελίδα σας διαθέτει λίστα αλληλογραφίας (Newsletter) καλό θα είναι να χρησιμοποιείτε διαδικασίες με πρότυπα, όπως η διπλή επιλογή για συμμετοχή στην λίστα σας με την επιβεβαίωση του email ενός νέου subscriber, (double opt-in).
Η διπλή επιλογή για συμμετοχή σημαίνει ότι αφού ο χρήστης δώσει το email του, του στέλνετε ένα μήνυμα που περιέχει έναν σύνδεσμο επαλήθευσης, πάνω στον οποίο πρέπει να κάνει κλικ ο χρήστης για να ολοκληρώσει την συνδρομή του. (Μπορείτε να χρησιμοποιήσετε την Newsletter πλατφόρμα του Mailchimp όπου παρέχει τέτοια δυνατότητα).
Με την double opt-in ενέργεια θα μπορείτε να αποδείξετε σε τυχόν έλεγχο ότι υπήρξε η κατάλληλη μορφή συγκατάθεσης. Αν αγοράζετε λίστες αλληλογραφίας από τρίτους, καλό θα είναι αν σταματήσετε αμέσως να το κάνετε. Αν χρησιμοποιείτε μια λίστα στην οποία οι επαφές δεν έχουν δώσει συγκατάθεση για τέτοια χρήση, αυτό συνεπάγεται ότι έχετε παραβιάσει τον κανονισμό για την προστασία των προσωπικών δεδομένων.
Η υπάρχουσα λίστα αλληλογραφίας σας οπωσδήποτε θα πρέπει να εξεταστεί ότι συμβαδίζει με τα παραπάνω γιατι αν εγγράψατε συνδρομητές χωρίς την συγκατάθεση τους, αυτά τα αρχεία δεν συμμορφώνονται με τον κανονισμό προστασίας προσωπικών δεδομένων.
Άλλες τεχνικές λύσεις που απαιτούνται με τον Κανονισμό Προστασίας Γενικών Δεδομένων
α) GDPR στo ηλεκτρονικό κατάστημα
Ιδιαίτερη προσοχή πρέπει να δοθεί στα ηλεκτρονικά καταστήματα eshops που μέσω του συστήματος εγγραφής μελών διατηρούν το πελατολόγιο τους. Τα eshops είναι πολύ πιο ευάλωτα από τις απλές CMS ιστοσελίδες. Σε περίπτωση που το e-shop σας είναι συνδεδεμένο με ERP ή λογιστικό πρόγραμμα, θα πρέπει οπωσδήποτε να συμβουλευτείτε ένα σύμβουλο GDPR και να σας ενημερώσει για την περίπτωση σας και τι άλλες αλλαγές απαιτούνται τόσο στο e-shop όσο και στο ERP σας
β) Δικαίωμα σε πρόσβαση και φορητότητα δεδομένων
Θα πρέπει ο χρήστης να έχει την δυνατότητα ώστε να έχει πρόσβαση στα στοιχεία του και να μπορεί να τα μεταβάλει.
Εφαρμόσετε μια μέθοδο για να εξάγετε τα δεδομένα του χρήστη σε αρχείο CSV ή excel ή ότι άλλο αρχείο λίστας. Αν χρησιμοποιείτε ένα CMS όπως Joomla, WordPress ή άλλο, μπορεί να είστε σε θέση να πραγματοποιήσετε την ενέργεια αυτή μέσα από ένα plugin. Υπάρχουν ήδη plugins που κυκλοφορούν με σκοπό να βοηθήσουν να επιτευχθεί αυτή η δυνατότητα.
γ) Δικαίωμα διαγραφής από χρήστη
Βεβαιωθείτε ότι εφαρμόζετε μια διαδικασία για την διαγραφή των προσωπικών δεδομένων όταν αυτό ζητηθεί. Υπάρχουν εξαιρέσεις που σας επιτρέπουν να διατηρήσετε αυτά τα δεδομένα, αλλά γενικά, αν ο χρήστης σας ζητήσει να τα διαγράψετε, τότε εσείς πρέπει να το πράξετε. Αυτό περιλαμβάνει και περιεχόμενο το οποίο έχει δημιουργηθεί από τον χρήστη, όπως σχόλια σε forum ή blog και υποβολές αιτήσεων. Στα συστήματα CMS, όπως το WordPress και το Joomla! έχουν δημιουργηθεί αυτοματοποιημένοι τρόποι διαγραφής για “διαγραφή του λογαριασμού μου”.
δ) Απόρρητο και διαρροή
Σιγουρευτείτε ότι έχετε λάβει μέτρα για να προστατέψετε τα δεδομένα σας και να περιορίσετε την διαρροή τους (με hacking, υποκλοπή απο διαχειριστή κ.α). Να συλλέγετε δεδομένα τα οποία είναι απαραίτητα και να αποφεύγετε να ανοίγετε πεδία με απαντήσεις σε ερωτήσεις χωρίς ουσία. Μπορείτε όμως με να τις προσθέσετε σε φόρμες εγγραφής των πελατών σας ακολουθώντας τους παραπάνω κανόνες που αναφέραμε.
Διασφαλίστε το site σας με HTTPS, το οποίο αποκρυπτογραφεί τις επικοινωνίες ανάμεσα στην ιστοσελίδα και τον περιηγητή (browser) του χρήστη. Εφαρμόστε περιορισμένη πρόσβαση έτσι ώστε να έχουν πρόσβαση μόνο άτομα τα οποία πραγματικά χρειάζονται τα συγκεκριμένα δεδομένα. Διαγράψτε τα δεδομένα που δεν χρησιμοποιείτε πλέον.
Η συμμόρφωση με τον κανονισμό για την προστασία των προσωπικών δεδομένων, δεν απλή. Ανάλογα με το μέγεθος μιας επιχείρησης ανάλογη είναι και η πολυπλοκότητα που θα πρέπει να αντιμετωπίσουμε.
Ακολουθώντας τις παραπάνω ενέργειες θα εναρμονιστείτε και θα κινηθείτε προς την σωστή κατεύθυνση.
Αν χρησιμοποιείτε ένα σύστημα CMS όπως Joomla!, WordPress ή άλλο τότε να προσέξτε για αλλαγές στον πυρήνα (core) και τα plugins (πρόσθετα – επεκτάσεις cms) έτσι ώστε να επιτύχετε την πλήρη συμμόρφωση.
Συνοπτικά
Τα παραπάνω γραφόμενα δεν πρέπει να ερμηνευτούν σαν νομικές ή φορολογικές συμβουλές. Είναι μια πρώτη αναφορά για το τι θα πρέπει να προσέχουμε για να ξεκινήσουμε να οργανώνουμε σωστά τα δεδομένα που έχουμε από άτομα που στο παρελθόν είχαμε συνδιαλλαγή. Αυτά τα άτομα εν ολίγοις θα πρέπει να γνωρίζουν τι κάνουμε με τα προσωπικά τους δεδομένα και αν είναι σωστά διαφυλαγμένα.
Ξέχωρα από αυτό θα πρέπει να λαβαίνουμε από 25/05 και μετά την ξεκάθαρη συγκατάθεσή των χρηστών που θα μας επισκέπτονται ώστε να μας εμπιστεύονται τα προσωπικά τους δεδομένα με σκοπό να τους προσφέρουμε τις υπηρεσίες μας.
Πάντα θα πρέπει να συμβουλεύεστε έναν ειδικό για όλα τα παραπάνω.
H NETFOCUS είναι στη διάθεσή σας για οποιαδήποτε διευκρίνιση και φυσικά βοήθεια για να επιτύχετε την συμμόρφωση με το GDPR.
Panagiotis Bonelis
(Marketing & Web Consultant)