fbpx

GDPR – Βασικές κατευθύνσεις για ιδιοκτήτες ιστοσελίδων
Ο Νέος Γενικός Κανονισμός της ΕΕ (2016/679) για την Προστασία των Προσωπικών Δεδομένων είναι πλέον γεγονός. Η εφαρμογή του στις 25/5/2018 θα βρει αρκετές επιχειρήσεις εκτεθειμένες. Πως ακριβώς όμως ο GDPR επηρεάζει τους ιδιοκτήτες ιστοσελίδων, είτε πρόκειται για προσωπικά blogs, είτε για εταιρικές παρουσιάσεις; Σε μια προσπάθεια να βοηθήσουμε τους συνεργάτες μας, παρουσιάζουμε έναν συνοπτικό μα ουσιώδη οδηγό που θα σας βοηθήσει να κάνετε τα σωστά βήματα προς την εναρμόνιση του ιστότοπού σας με τον Νέο Κανονισμό.
Βήματα Εναρμόνισης με τον GDPR:

Επικαιροποιήστε την πολιτική απορρήτου σας
Ενημερώστε την πολιτική απορρήτου σας ώστε να διασφαλίσετε ότι οι διαδικασίες  συλλογής και χρήσης των δεδομένων των επισκεπτών σας είναι διαφανείς. Συμπεριλάβετε απαραιτήτως και λεπτομερώς τον τρόπο με τον οποίο συλλέγετε δεδομένα, τον τρόπο χρήσης των cookies και τους κανόνες απορρήτου σχετικά με το αν και πότε τα δεδομένα των χρηστών που συλλέγετε μπορούν να επεξεργαστούν ή και να διατεθούν σε τρίτους. Μην παραλείψετε να συμπεριλάβετε πληροφορίες σχετικά με δεδομένα που συλλέγονται από πρόσθετα τρίτων (πχ google analytics, facebook κλπ).

Ως γενικό κανόνα θα πρέπει να έχετε κατά νού ότι η πολιτική απορρήτου σας πρέπει να καθορίζει:

  • το είδος των δεδομένων που συλλέγετε
  • με ποιόν τρόπο τα χρησιμοποιείτε
  • με ποιόν τρόπο τα προστατεύετε

Η πρακτική της απλής αντιγραφής των όρων χρήσης κάποιου τρίτου, πλέον δεν είναι καθόλου ασφαλής. Απαιτείται προσαρμογή των όρων στο δικό σας αντικείμενο καθώς απαιτείται η διευκρίνηση των παραπάνω κανόνων ανάλογα με το είδος της επιχείρησης και την δραστηριότητά της. Όσο κι αν φαινομενικά όλη αυτή η διαδικασία φαίνεται χρονοβόρα και ίσως πολύπλοκη για την επιχείρηση, σκεφτείτε ότι με αυτό τον τρόπο θωρακίζεστε έναντι κακόβουλων ενεργειών, ισχυροποιείτε την αξιοπιστία της επιχείρησής σας και σίγουρα κερδίζετε το πελατειακό σας κοινό που είναι πια ιδιαίτερα ευαισθητοποιημένο σε θέματα προστασίας των προσωπικών του δεδομένων.

Λάβετε σαφή συγκατάθεση για την χρήση των Cookies
Σύμφωνα με το GDPR τα Cookies αποτελούν προσωπικά δεδομένα, αφού μπορούν να χρησιμοποιηθούν για την αναγνώριση ενός ατόμου. Είναι λοιπόν ξεκάθαρο ότι πρέπει να αποκτήσετε σαφή και συγκεκριμένη συγκατάθεση από τους χρήστες για την τοποθέτηση και την παρακολούθηση των cookies στις συσκευές τους. Αυτό συνιστάται να γίνεται μέσω ενός αναδυόμενου παραθύρου κατά την πρώτη επίσκεψη ενός χρήστη στην ιστοσελίδα σας, που του επιτρέπει να συναινέσει ή να απορρίψει τη χρήση των cookies.
Προσοχή! Σύμφωνα με το GDPR για να υπάρχει απόλυτη συμμόρφωση, δεν επιτρέπεται να υπάρχει προεπιλεγμένη απάντηση αποδοχής, αλλά ρητά να απαιτείται από τον χρήστη να επιλέξει ο ίδιος αποδοχή ή όχι των Cookies στην συσκευή του. Σε περίπτωση που ο χρήστης δεν συναινέσει ρητά, απαγορεύεται να τοποθετήσετε cookies στο πρόγραμμα περιήγησης του. Ωστόσο ο ιστότοπος θα πρέπει να εξακολουθεί να είναι προσβάσιμος ακόμη και χωρίς την τοποθέτηση cookies, παρόλο που αυτό μπορεί να έχει ως συνέπεια την απώλεια ορισμένων δυνατοτήτων του περιεχομένου όπως η δυνατότητα εξατομίκευσης.

Βεβαιωθείτε ότι τα πρόσθετα που χρησιμοποιείτε(plugins) συμμορφώνονται με το GDPR
Πολλά από τα πρόσθετα που χρησιμοποιούνται σε μια ιστοσελίδα προκειμένου να παρέχουν όλες τις επιθυμητές λειτουργίες προς τους επισκέπτες, συλλέγουν και χρησιμοποιούν δεδομένα των χρηστών της σελίδας (για παράδειγμα πολλά πρόσθετα κάνουν χρήση Cookies). Είναι σημαντικό λοιπόν να ελέγξετε ποια πρόσθετα συλλέγουν δεδομένα και πως ακριβώς  τα χρησιμοποιούν. Το GDPR αναφέρει ρητά ότι κάθε πρόσθετο που χρησιμοποιούμε στην ιστοσελίδα μας και συλλέγει δεδομένα των επισκεπτών μας οφείλει να είναι συμμορφωμένο με την νέα νομοθεσία. Αυτή η χρήση λοιπόν πρέπει να αναφέρεται στην πολιτική απορρήτου της σελίδας σας και πρέπει να υπόκειται στη συγκατάθεση του χρήστη.
Οι δημοφιλείς πλατφόρμες λογισμικών διαχείρισης περιεχομένου του WordPress και του Joomla έχουν ήδη ευαισθητοποιηθεί προς αυτή την κατεύθυνση και έχουν αναπτύξει μια σειρά πρόσθετων που είναι εναρμονισμένα με το GDPR, ενώ εκδίδουν συνεχώς οδηγίες και ενημερώσεις πάνω στο θέμα. Αναζητήστε στις αντίστοιχες κοινότητες, πληροφορίες και λύσεις για τα πρόσθετα που χρησιμοποιείτε στο δικό σας site.
Είναι αποκλειστικά δική σας ευθύνη να διασφαλίσετε ότι όλα τα plugin σας μπορούν να εξάγουν, να διαθέσουν και να διαγράψουν τα δεδομένα χρηστών που συλλέγουν, κατ’ απαίτηση. Να είστε προετοιμασμένοι ότι σε κάποιες περιπτώσεις αναγκαστικά θα πρέπει να αναζητήσετε νέα διαφορετικά πρόσθετα για την σελίδα σας, που πληρούν τις σωστές προδιαγραφές με όλες τις απαραίτητες δυνατότητες.

Περιορίστε τα δεδομένα που συλλέγετε και αποθηκεύετε μέσω διαφόρων φορμών
Οι φόρμες που πολύ συχνά χρησιμοποιούνται στις διάφορες ιστοσελίδες, έχουν ενεργοποιημένα από προεπιλογή διάφορα πεδία μέσα από τα οποία ζητούν και συλλέγουν πολλά και διάφορα προσωπικά δεδομένα, αρκετά από τα οποία είναι και ιδιαίτερα ευαίσθητα αλλά και χρήζουν ιδιαίτερης επικινδυνότητας εάν πέσουν σε λάθος χέρια (πχ μέσω μιας αθέλητης διαρροής).
Οι περισσότεροι ιδιοκτήτες ιστοσελίδων αποφεύγουν την εις βάθους παραμετροποίηση των φορμών αυτών, από έλλειψη χρόνου, γνώσης ή αμέλειας. Αποφύγετε πάση θυσία αυτή την παγίδα. Περιοριστείτε στην συλλογή των απολύτως απαραίτητων πληροφοριών προς επεξεργασία και ενεργοποιήστε μόνο τα απαραίτητα πεδία. Την ίδια στιγμή φροντίστε να μην κρατάτε αυτά τα δεδομένα για περισσότερο από το απολύτως απαραίτητο χρονικό διάστημα.
Έχετε υπόψη σας ότι τα περισσότερα plugins αποθηκεύουν φόρμες στη βάση δεδομένων. Ωστόσο τα περισσότερα πρόσθετα αναβαθμίζονται διαρκώς με νέα updates, δίνοντας στον προγραμματιστή την δυνατότητα χρήσης της επιλογής: “Μη αποθήκευση δεδομένων φόρμας”. Χρησιμοποιήστε το!

Ξεκαθαρίστε τις λίστες αλληλογραφίας σας
Οι λίστες αλληλογραφίας χρησιμοποιούνται αρκετά συχνά από πολλές ιστοσελίδες προκειμένου να επικοινωνήσουν τα εμπορικά ή μη μηνύματά τους στους πελάτες τους (πχ (Newsletter). Σύμφωνα με ρητή οδηγία του GDPR απαιτείται η εκ νέου συναίνεση όλων των παραληπτών που στο παρελθόν έχουν καταχωρηθεί στην ιστοσελίδα σας, είτε από μόνοι τους είτε από εσάς, πόσο μάλλον δε, στην περίπτωση που έχετε κάνει χρήση αγορασμένης λίστας.
Μάλιστα η πάγια παλαιότερη (κακή)πρακτική με την οποία έδιναν την δυνατότητα απλώς στον παραλήπτη να αφαιρεθεί από ένα mailing list δεν ισχύει σε καμία περίπτωση. Απαιτείται η ξεκάθαρη ερώτηση προς τους παραλήπτες εάν επιθυμούν ή όχι να λαμβάνουν τα e-mail σας, με τρόπο που να μπορούν να επιλέξουν ή το ένα ή το άλλο. Υπό το πρίσμα αυτό, η υφιστάμενη λίστα σας με διευθύνσεις e-mail μπορεί να αποτελεί ένα σημείο στο οποίο πρέπει να αφιερώσετε σημαντικό χρόνο για να το συμμορφώσετε.
Λάβετε τέλος υπόψη σας ότι εάν εγγράφατε τους συνδρομητές σας χωρίς την ρητή γραπτή συγκατάθεσή του, οι εγγραφές αυτές δεν συμμορφώνονται με το GDPR και το πιο πιθανό είναι ότι θα χρειαστεί να καθαρίσετε τη βάση δεδομένων σας.

Ατομικά Δικαιώματα – ο πυρήνας του GDPR
Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων έχει ως κύρια και βασική αρχή την προστασία των ατομικών δικαιωμάτων. Σε ό,τι αφορά την λειτουργία μιας ιστοσελίδας, τα βασικά σημεία που ο GDPR εστιάζει είναι:

Δικαίωμα πρόσβασης και φορητότητας
Είναι πλέον υποχρεωτικό να υπάρχει κάποια μέθοδος για την εξαγωγή των δεδομένων του χρήστη είτε σε μορφή CSV ή σε άλλη μορφή που χρησιμοποιείται συνήθως. Στις περιπτώσεις όπου η ιστοσελίδα αναπτύχθηκε με την χρήση ενός από τα δημοφιλή CMS (πχ WordPress, Joomla) υπάρχουν σχετικά plugins που μπορούν να κάνουν την δουλειά αυτή. Ήδη πολλά από τα σχετικά πρόσθετα αναβαθμίζονται διαρκώς ώστε οι λειτουργίες να είναι εύκολες και φιλικές προς τον τελικό χρήστη, οπότε και μπορείτε να αναζητήσετε αυτό που ταιριάζει περισσότερο στην σελίδα σας. Σε διαφορετική περίπτωση η ανάπτυξη ενός custom λογισμικού είναι μονόδρομος, οπότε και πρέπει σύντομα να στραφείτε προς αυτή την κατεύθυνση.

Δικαίωμα στη Λήθη
Θα πρέπει να σχεδιάσετε και να ενσωματώσετε στον ιστότοπό σας μια διαδικασία για τη διαγραφή των προσωπικών δεδομένων όταν ο χρήστης το ζητήσει. Φυσικά υπάρχουν εξαιρέσεις που σας επιτρέπουν να διατηρήσετε συγκεκριμένα δεδομένα χρηστών, αλλά σε γενικές γραμμές, αν ο χρήστης σας ζητήσει να διαγράψετε όλα τα δεδομένα που έχετε για αυτόν θα πρέπει να το κάνετε. Αυτό περιλαμβάνει περιεχόμενο που δημιουργήθηκε από το χρήστη, όπως σχόλια σε φόρουμ ή blog και υποβολές φόρμας. Στο άμεσο μέλλον, πλατφόρμες CMS όπως το WordPress και το Joomla σχεδιάζουν ήδη να προσθέσουν την δυνατότητα στον χρήστη, με ένα κουμπί να μπορεί να διαγράψει τον λογαριασμό του.

Συμπερασματικά:
Από την πλευρά σας οφείλετε να διασφαλίστε με κάθε τρόπο την προστασία των δεδομένων των χρηστών της σελίδας σας και τον περιορισμό της κοινής ή ανεξέλεγκτης χρήσης αυτών. Συλλέγετε μόνο τα δεδομένα που είναι απαραίτητα και αποφύγετε οποιεσδήποτε επιπλέον, ενδιαφέρουσες αλλά όχι ζωτικής σημασίας, ερωτήσεις που συνήθως υπάρχουν στις φόρμες εγγραφής πελατών από προεπιλογή. Δημιουργήστε μια πολιτική διατήρησης δεδομένων και διαγράψτε δεδομένα που δεν χρειάζεστε πλέον. Ρυθμίστε τα επίπεδα πρόσβασης έτσι ώστε μόνο τα άτομα που πραγματικά χρειάζεται, να έχουν πρόσβαση στα δεδομένα που συλλέγετε.

Η συμμόρφωση με το GDPR δεν είναι απλή υπόθεση, ούτε είναι κάτι που θα ατονήσει ή θα περιοριστεί όπως πολλοί ευελπιστούν.
Είναι ένας απαραίτητος κανονισμός που θέτει τα όρια προστασίας των ατομικών δικαιωμάτων στην ψηφιακή εποχή. Μελετήστε προσεκτικά την επιχείρησή σας και κατ΄ επέκταση της διαδικτυακή σας παρουσία και λάβετε τις κατάλληλες αποφάσεις σχετικά με το πως διαχειρίζεστε τα δεδομένα των χρηστών. Λάβετε μέτρα εναρμόνισης και δημιουργήστε αίσθημα ασφάλειας στους διαδικτυακούς σας επισκέπτες.
Το παραπάνω περιεχόμενο δεν αποτελεί νομική συμβουλή, αλλά έναν εισαγωγικό οδηγό ώστε τα βήματα συμμόρφωσης που θα κάνετε να είναι προς την σωστή κατεύθυνση. Σε κάθε περίπτωση συμβουλευτείτε έναν δικηγόρο εξειδικευμένο σε θέματα ηλεκτρονικής παρουσίας.

GDPR. Ποια είναι τα σημεία κλειδιά που πρέπει να προσέξετε;

Η παρακάτω λίστα, καλύπτει τα κυριότερα σημεία που πρέπει μια επιχείρηση να ελέγξει και να εφαρμόσει, προκειμένου να συμμορφωθεί με το νέο Κανονισμό Προστασίας Προσωπικών Δεδομένων. Συνιστούμε ωστόσο να διαβάσετε και να κατανοήσετε το σύνολο του κανονισμού, ώστε σε συνεργασία με κάποιο Νομικό Τμήμα και με κάποιο Τμήμα Development, να κάνετε τις απαραίτητες προσαρμογές, τόσο στην ιστοσελίδα σας, αλλά και στο σύνολο της εταιρείας σας.

  • 1. Ρητή συγκατάθεση

Σε κάθε σημείο που ζητάτε προσωπικά δεδομένα, χρειάζεται να λάβετε τη ρητή συγκατάθεση του χρήστη. Επιπρόσθετα, χρειάζεται να τον ενημερώσετε (πχ στους όρους χρήσης) για το σκοπό που συλλέγετε τα δεδομένα του (πχ για λόγους marketing, για στατιστικούς λόγους, για πώληση των δεδομένων σε τρίτους, για επικοινωνία για τεχνικά θέματα κτλ).

  • 2 Σαφής Πολιτική Απορρήτου

Κάθε δεδομένο που συλλέγετε αλλά και ο τρόπος που το επεξεργάζεστε, χρειάζεται να αναφέρεται με σαφήνεια και με διάφανο τρόπο, στην πολιτική απορρήτου της ιστοσελίδας σας. Εάν για παράδειγμα, έχετε Newsletter, θα χρειαστεί να αναφέρετε τι δεδομένα συλλέγετε καθώς και τι χρήση κάνετε σε αυτά. Χρησιμοποιείτε τα emails της λίστας σας, για να αποστέλλετε ενημερώσεις για προσφορές; Τα χρησιμοποιείτε για να τα μεταβιβάσετε σε τρίτους και αν ναι, σε ποιους;

  • 3 Δικαίωμα Διόρθωσης και δικαίωμα Φορητότητας.

Κάθε οντότητα της οποίας διατηρείτε προσωπικά δεδομένα, έχει δικαίωμα να ζητήσει την παραλαβή των δεδομένων της, σε δομημένο, συμβατό και διαλειτουργικό μορφότυπο. Έχει ακόμη δικαίωμα να ζητήσει τη διόρθωση των στοιχείων.

  • 4 Δικαίωμα στη Λήθη

Κάθε οντότητα της οποίας διατηρείτε προσωπικά δεδομένα, έχει δικαίωμα, υπό προϋποθέσεις, να ζητήσει την πλήρη διαγραφή των αποθηκευμένων δεδομένων (Άρθρα 13 ως 23).

  • 5 Ευθύνη και Λογοδοσία

Κάθε οργανισμός που επεξεργάζεται δεδομένα, έχει την ευθύνη της επεξεργασίας και καλείται να αποδείξει , όταν και εάν χρειαστεί, τη συμμόρφωση στον κανονισμό (λογοδοσία).

  • 6 Ιδιωτικότητα και προστασία εξ’ ορισμού (Privacy by Design and by Default)

Ο GDPR μπήκε στη ζωή μας! Όλες οι πρακτικές, όλες οι εφαρμογές, χρειάζεται από εδώ και στο εξής να σχεδιάζονται εξ αρχής, με τρόπο που συμμορφώνεται στον Κανονισμό. Για τις ήδη υπάρχουσες υποδομές, χρειάζεται να γίνει σταδιακή συμμόρφωση τους.

  • 7 Ασφάλεια Επεξεργασίας των δεδομένων.

Κάθε οργανισμός που επεξεργάζεται προσωπικά δεδομένα, χρειάζεται να προβεί σε κάθε δυνατή ενέργεια που θα εξασφαλίζει την προστασία και την ορθή χρήση των δεδομένων, είτε αυτό σημαίνει εκπαίδευση προσωπικού, είτε εφαρμογή συστημάτων και μεθόδων που διασφαλίζουν τα δεδομένα.

  • 8 Γνωστοποίηση παραβίασης εντός 72 ωρών

Κάθε οργανισμός που εντοπίζει ότι έχει γίνει παραβίαση των προσωπικών δεδομένων που διατηρεί, οφείλει, από τη στιγμή που θα εντοπίσει την παραβίαση, να την γνωστοποιήσει στην αρμόδια αρχή, εντός 72 ωρών (Άρθρα 33, 34).

  • 9 Εκτίμηση αντικτύπου

Οι οργανισμοί οφείλουν να διεξάγουν μελέτες εκτίμησης αντικτύπου, με σκοπό την εκτίμηση των επιπτώσεων της επεξεργασίας προσωπικών δεδομένων, τον εντοπισμό των κινδύνων ασφάλειας και τον σχεδιασμό της αντιμετώπισης αυτών (Άρθρα 35, 36).

  • 10 Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer)

Οι οργανισμοί του Δημοσίου, οι επιχειρήσεις με περισσότερα από 250 άτομα-προσωπικό, οι εταιρείες, ασχέτως μεγέθους, που συλλέγουν και επεξεργάζονται ευαίσθητα προσωπικά δεδομένα (πχ ιατρικό ιστορικό) και οι εταιρείες που κάνουν εκτεταμένη επεξεργασία προσωπικών δεδομένων, οφείλουν να ορίσουν DPO.
Ο DPO μπορεί να είναι είτε κάποιος εργαζόμενος που εργάζεται σε θέση που δεν προκαλεί σύγκρουση συμφερόντων με τον ρόλο του DPO. Ως DPO, μπορεί ακόμη να οριστεί οποιοσδήποτε τρίτος – εξωτερικός συνεργάτης που έχει την κατάλληλη γνώση και εκπαίδευση.

  • 11 Eκπαίδευση προσωπικού

Κάθε εταιρεία που επεξεργάζεται δεδομένα, έχει την υποχρέωση να εκπαιδεύσει κατάλληλα το προσωπικό της ώστε να επιτευχθεί το μέγιστο ποσοστό διασφάλισης της πληροφορίας.

Γενικά

Τι είναι το GDPR? Όλα όσα πρέπει να γνωρίζετε.
Παρακάτω θα γίνει μια εκτενής αναφορά για το τι είναι το GDPR General Data Protection Regulation (GDPR). Ο γενικός κανονισμός για την προστασία των δεδομένων της ΕΕ (GDPR) είναι αποτέλεσμα εργασίας τεσσάρων ετών της ΕΕ για την προσαρμογή της νομοθεσίας για την προστασία των δεδομένων σε νέους, παλαιότερους απρόβλεπτους τρόπους με τους οποίους χρησιμοποιούνται τα δεδομένα.

Τι είναι το GDPR;
Για παράδειγμα, το Ηνωμένο Βασίλειο βασίζεται στον νόμο περί προστασίας δεδομένων του 1998, ο οποίος εκδόθηκε μετά την οδηγία του 1995 για την προστασία των δεδομένων της ΕΕ, αλλά αυτό θα αντικατασταθεί από τη νέα νομοθεσία. Ο νόμος αυτός εισάγει αυστηρότερα πρόστιμα για τη μη συμμόρφωση και τις παραβιάσεις και δίνει στους καταναλωτές-χρήστες κανόνες για το τι μπορούν να κάνουν οι εταιρείες με τα δεδομένα τους. Επίσης, καθιστά τους κανόνες προστασίας δεδομένων ώστε να είναι πανομοιότυποι σε ολόκληρη την ΕΕ.

Γιατί συντάχθηκε το GDPR;
Ακόμα πολλοί χρήστες και εταιρείς αναρωτιούνται για το τι είναι το GDPR. Ας δούμε τις δύο βασικές οδηγίες πίσω από το GDPR. Πρώτον, η ΕΕ θέλει να δώσει στους ανθρώπους μεγαλύτερο έλεγχο στον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά τους δεδομένα, έχοντας κατά νου ότι πολλές εταιρείες όπως το Facebook και το Google ανταλλάσσουν πρόσβαση στα δεδομένα των ανθρώπων για τη χρήση των υπηρεσιών τους. Η ισχύουσα νομοθεσία τέθηκε σε ισχύ πριν από το διαδίκτυο και η τεχνολογία Cloud δημιούργησε νέους τρόπους εκμετάλλευσης των δεδομένων και το GDPR επιδιώκει να το αντιμετωπίσει. Με την ενίσχυση της νομοθεσίας για την προστασία των δεδομένων και την εισαγωγή αυστηρότερων μέτρων επιβολής, η ΕΕ ελπίζει να βελτιώσει την εμπιστοσύνη στην αναδυόμενη ψηφιακή οικονομία.
Δεύτερον, η ΕΕ θέλει να δώσει στις επιχειρήσεις ένα απλούστερο και σαφέστερο νομικό περιβάλλον για να λειτουργούν, καθιστώντας το νόμο για την προστασία των δεδομένων πανομοιότυπο σε όλη την ενιαία αγορά (εκτιμάται από την ΕΕ ότι αυτό θα διασώσει για τις επιχειρήσεις συλλογικώς 2,3 δισ. Ευρώ ετησίως).
Στις εταιρείες θα μπορούν να επιβληθούν μεγάλα πρόστιμα σύμφωνα με τους κανονισμούς GDPR εάν δεν παρέχουν επαρκή ασφάλεια πληροφόρησης για την προστασία των προσωπικών δεδομένων.
Η εταιρεία σας ή ο οργανισμός σας έχει συμμορφωθεί με τους νέους κανόνες προστασίας δεδομένων;

Πότε θα ισχύσει το GDPR;
Το GDPR θα εφαρμοστεί σε όλα τα κράτη μέλη της ΕΕ από τις 25 Μαΐου 2018. Επειδή το GDPR είναι ένας κανονισμός και όχι μια οδηγία, το Ηνωμένο Βασίλειο δεν χρειάζεται να καταρτίσει νέα νομοθεσία – αντ ‘αυτού θα εφαρμοστεί αυτόματα. Ενώ τέθηκε σε ισχύ στις 24 Μαΐου 2016, αφού όλα τα μέρη της ΕΕ συμφώνησαν με το τελικό κείμενο, οι επιχειρήσεις και οι οργανώσεις έχουν μέχρι τις 25 Μαΐου 2018 μέχρι να εφαρμοστεί στην πράξη ο νόμος.
Ενώ η συντριπτική πλειοψηφία των επαγγελματιών στον τομέα της πληροφορικής έχει επίγνωση του GDPR, μόλις οι μισοί από αυτούς προετοιμάζονται για την άφιξή του, σύμφωνα με την έρευνα του προσωπικού ασφαλείας του κυβερνοχώρου από την Imperva.

Μόνο το 43% αξιολογεί τον αντίκτυπο του GDPR στην επιχείρησή τους και αλλάζει τις πρακτικές τους για να παραμείνει σε βήμα με τη νομοθεσία προστασίας δεδομένων, ανέφερε ο Imperva. Ενώ οι ερωτώμενοι βασίζονταν κυρίως στις Η.Π.Α., θα εξακολουθούσαν να πλήττονται από το GDPR εάν χειρίζονται – ή συμβάλλουν σε άλλη εταιρεία που θα χειρίζεται – τα προσωπικά δεδομένα των πολιτών της ΕΕ.
Παρόλα αυτά, σχεδόν το ένα τρίτο δήλωσε ότι δεν προετοιμάζεται για την εισερχόμενη νομοθεσία και το 28% δήλωσε ότι αγνοούν τις προετοιμασίες που μπορεί να κάνει η εταιρεία τους.

Για ποιόν λοιπόν ισχύει το GDPR;
Οι «ελεγκτές» και οι «επεξεργαστές» δεδομένων πρέπει να συμμορφώνονται με το GDPR. Ένας υπεύθυνος επεξεργασίας δεδομένων δηλώνει τον επεξεργασίας των προσωπικών δεδομένων, ενώ ένας επεξεργαστής είναι ο συμβαλλόμενος που κάνει την πραγματική επεξεργασία των δεδομένων. Επομένως, ο ελεγκτής θα μπορούσε να είναι οποιοσδήποτε οργανισμός, από μια εταιρεία που αναζητά κέρδος ή μια φιλανθρωπική οργάνωση ή μια κυβέρνηση κ.α. Ένας επεξεργαστής μπορεί να είναι μια εταιρεία πληροφορικής που κάνει την πραγματική επεξεργασία δεδομένων.
Ακόμη και αν οι ελεγκτές ή επεξεργαστές εδρεύουν εκτός της ΕΕ, το GDPR θα εξακολουθήσει να ισχύει για αυτούς, εφόσον ασχολούνται με δεδομένα που ανήκουν σε κατοίκους της ΕΕ.
Είναι ευθύνη του υπεύθυνου επεξεργασίας  των δεδομένων να διασφαλίζει ότι ο επεξεργαστής τηρεί τους νόμους περί προστασίας των δεδομένων και ότι πρέπει να τηρεί τους κανόνες για τη διατήρηση των στοιχείων των δραστηριοτήτων επεξεργασίας τους. Εάν οι επεξεργαστές εμπλέκονται σε παραβίαση δεδομένων, είναι πολύ πιο υπεύθυνοι βάσει του GDPR από ό, τι βάσει του νόμου περί προστασίας δεδομένων.

Πότε μπορώ να επεξεργαστώ δεδομένα βάσει του GDPR;
Μόλις τεθεί σε ισχύ η νομοθεσία, οι υπεύθυνοι επεξεργασίας πρέπει να διασφαλίσουν ότι τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε νόμιμη επεξεργασία, με διαφάνεια και για συγκεκριμένο σκοπό. Μόλις εκπληρωθεί αυτός ο σκοπός και τα δεδομένα δεν απαιτούνται πλέον, πρέπει να διαγράφονται.

Ποιο είναι το Νόμιμο;
Το “νόμιμο” έχει ένα φάσμα εναλλακτικών εννοιών, που δεν ισχύουν όλες πάντα. Πρώτον, θα μπορούσε να είναι νόμιμο εάν ο χρήστης έχει συναινέσει στην επεξεργασία των δεδομένων του. Εναλλακτικά, η νομιμότητα μπορεί να σημαίνει συμμόρφωση με συμβατική ή νομική υποχρέωση να προστατεύσει ένα συμφέρον που είναι «ουσιαστικό για τη ζωή» του χρήστη π.χ εάν η επεξεργασία των δεδομένων είναι προς το δημόσιο συμφέρον ή αν το πράττει αυτό είναι στο νόμιμο συμφέρον του υπευθύνου της επεξεργασίας – όπως η πρόληψη της απάτης κτλ
Τουλάχιστον μία από αυτές τις αιτιολογήσεις πρέπει να ισχύει για την επεξεργασία των δεδομένων.

Πώς μπορώ να λάβω συγκατάθεση βάσει του GDPR;
Η συγκατάθεση πρέπει να είναι μια ενεργή, θετική ενέργεια από τον χρήστη. Οι ελεγκτές πρέπει να τηρούν αρχείο για το πώς και πότε ένα άτομο έδωσε τη συγκατάθεσή του και το άτομο αυτό μπορεί να αποσύρει τη συγκατάθεσή του όποτε το επιθυμεί. Εάν το τρέχον μοντέλο απόκτησης συγκατάθεσης δεν πληροί αυτούς τους νέους κανόνες, θα πρέπει να επαναφέρεται στο μηδέν.

Τι μετράει ως προσωπικό δεδομένο στο GDPR;
Η ΕΕ έχει διευρύνει σημαντικά τον ορισμό των προσωπικών δεδομένων στο πλαίσιο του GDPR. Για να αντικατοπτρίζουν τους τύπους των δεδομένων που συλλέγονται τώρα για τους ανθρώπους,  όπως οι διευθύνσεις IP, χαρακτηρίζονται τώρα ως προσωπικά δεδομένα. Άλλα δεδομένα, όπως πληροφορίες οικονομικής, πολιτιστικής ή ψυχικής υγείας, θεωρούνται επίσης προσωπικά δεδομένα.
Τα ψευδώνυμα  σαν προσωπικά δεδομένα μπορούν επίσης να υπόκεινται στους κανόνες του GDPR, ανάλογα με το πόσο εύκολο ή δύσκολο είναι να προσδιορίσετε ποια δεδομένα είναι.
Οτιδήποτε θεωρείται ως προσωπικό δεδομένο σύμφωνα με τον νόμο περί προστασίας δεδομένων θεωρείται επίσης ως προσωπικό δεδομένο βάσει του GDPR.

Πότε μπορούν οι χρήστες να έχουν πρόσβαση στα δεδομένα που αποθηκεύουμε σε αυτά;
Οι άνθρωποι μπορούν να ζητήσουν πρόσβαση σε “εύλογα χρονικά διαστήματα” και οι ελεγκτές πρέπει γενικά να απαντήσουν μέσα σε ένα μήνα. Το GDPR απαιτεί ότι οι ελεγκτές και οι επεξεργαστές πρέπει να είναι ξεκάθαροι σχετικά με τον τρόπο συλλογής των δεδομένων, τι κάνουν με αυτό και πώς επεξεργάζονται και πρέπει να είναι σαφείς (χρησιμοποιώντας απλή γλώσσα) για να εξηγούν αυτά τα πράγματα στους ανθρώπους.
Οι χρήστες έχουν το δικαίωμα να έχουν πρόσβαση σε οποιαδήποτε πληροφορία που κατέχει μια εταιρεία σε αυτά, καθώς και το δικαίωμα να γνωρίζουν γιατί τα δεδομένα αυτά υποβάλλονται σε επεξεργασία, πόσο καιρό αποθηκεύονται και ποιος τα βλέπει. Όπου είναι δυνατόν, οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να παρέχουν ασφαλή και άμεση πρόσβαση στους χρήστες, προκειμένου να εξετάσουν ποιες πληροφορίες αποθηκεύει ένας ελεγκτής γι ‘αυτούς.
Μπορούν επίσης να ζητήσουν να διορθωθούν αυτά τα δεδομένα, αν είναι λανθασμένα ή ελλιπή, όποτε το επιθυμούν.
Οι χρήστε έχουν επίσης το δικαίωμα να απαιτούν τη διαγραφή των δεδομένων τους, εφόσον δεν είναι πλέον απαραίτητα για το σκοπό για τον οποίο συλλέχθηκαν. Αυτό είναι γνωστό ως το «δικαίωμα διαγραφής». Σύμφωνα με αυτόν τον κανόνα, μπορούν επίσης να ζητήσουν τη διαγραφή των δεδομένων τους, εάν αποσύρουν τη συγκατάθεσή τους για τη συλλογή των δεδομένων τους ή αντιτίθενται στον τρόπο με τον οποίο υποβάλλονται σε επεξεργασία.
Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για να ενημερώνει άλλες οργανώσεις (για παράδειγμα, την Google) για τη διαγραφή οποιωνδήποτε συνδέσμων σε αντίγραφα αυτών των δεδομένων, καθώς και για τα ίδια τα αντίγραφα.

Τι γίνεται αν θέλουν να μεταφέρουν τα δεδομένα τους αλλού;
Οι ελεγκτές πρέπει τώρα να αποθηκεύουν τις πληροφορίες των χρηστών σε μορφές που χρησιμοποιούνται συνήθως (για παράδειγμα αρχεία CSV), έτσι ώστε να μπορούν να μεταφέρουν δεδομένα ενός ατόμου σε άλλον οργανισμό (δωρεάν) αν το ζητήσει ο χρήστης. Οι ελεγκτές πρέπει να το πράξουν μέσα σε ένα μήνα.

Τι γίνεται εάν δεχτούμε παραβίαση δεδομένων;
Είναι δική σας ευθύνη να ενημερώσετε την αρχή προστασίας δεδομένων σχετικά με τυχόν παραβίαση δεδομένων που διακινδυνεύει τα δικαιώματα και τις ελευθερίες των ανθρώπων μέσα σε 72 ώρες από την στιγμή που ο οργανισμός σας θα έχει επίγνωση αυτού.
Αυτή η προθεσμία είναι αρκετά μικρή που σημαίνει ότι ίσως να μήν γνωρίζει ο χρήστης την κάθε λεπτομέρεια μιας παραβίασης μετά την ανακάλυψή της. Ωστόσο, η αρχική σας επαφή με την αρχή προστασίας δεδομένων σας θα πρέπει να περιγράφει τη φύση των δεδομένων που επηρεάζονται,  τον αριθμό των ανθρώπων που επηρεάζονται, τις συνέπειες που θα μπορούσαν να συνεπάγονται γι ‘αυτές και ποια μέτρα έχετε ήδη λάβει ή σχεδιάζετε να λάβετε.
Αλλά ακόμα και προτού καλέσετε την αρχή προστασίας δεδομένων, πρέπει να πείτε στους χρήστες που επηρεάζονται από την παραβίαση δεδομένων. Όσοι δεν τηρούν την προθεσμία των 72 ωρών θα μπορούσε να επιβληθεί πρόστιμο μέχρι 2% των ετήσιων παγκόσμιων εσόδων τους, ή 10 εκατομμύρια ευρώ, όποιο είναι υψηλότερο.

Αν δεν ακολουθήσετε τις βασικές αρχές επεξεργασίας δεδομένων, όπως η κατοχή νομικής βάσης για κάτι τέτοιο, η παραβίαση των δικαιωμάτων των ατόμων σε σχέση με τα δεδομένα τους ή η μεταφορά δεδομένων σε άλλη χώρα, τα πρόστιμα είναι ακόμη χειρότερα. Η αρχή προστασίας δεδομένων θα μπορούσε να εκδώσει χρηματική ποινή μέχρι € 20 εκατ ή 4% του συνολικού ετήσιου κύκλου εργασιών, όποια είναι μεγαλύτερη.

Ωστόσο, είναι σημαντικό να σημειωθεί ότι ενώ τα μέγιστα πρόστιμα που μπορούν να εκδοθούν θα γίνουν πολύ υψηλότερα βάσει του GDPR, η νομοθεσία ορίζει ότι πρέπει να παραμείνουν «αναλογικά» με την παραβίαση. Επίσης, εάν μπορείτε να αποδείξετε ότι εργάζεστε σκληρά για να διασφαλίσετε ότι ο οργανισμός σας συμμορφώνεται με το GDPR, ο ICO πιθανότατα δεν θα εκδώσει τόσο υψηλό πρόστιμο σε περίπτωση παραβίασης.