Με τα προσωπικά δεδομένα ασχολούμαστε όλοι. Τόσο εμείς που διαχειριζόμαστε λογαριασμούς πελατών μας, όσο και εσείς που είστε γιατρός, κέντρο ξένων γλωσσών, eshop, tech startup κλπ.
Τους τελευταίους δύο μήνες γράφονται συχνά άρθρα που λίγοι διαβάζουν, γίνονται συζητήσεις, webinars και meetings σχετικά με το GDPR που θα μας απασχολήσει όλους.
GDPR, δηλαδή General Data Protection Regulation. Όλοι ξέρουμε ότι κάτι πρέπει να κάνουμε αλλά σχεδόν κανείς δεν το έχει κάνει ακόμα.
Στο σημερινό άρθρο θα προσπαθήσουμε να τα δούμε αναλυτικά. Το παρόν άρθρο δεν έχει τη μορφή νομικής πληροφόρησης, και εννοείται πως πρέπει να συζητήσετε με το δικηγόρο σας ή έναν εξειδικευμένο σύμβουλο για GDPR.
Τα βασικά
Η εφαρμογή ξεκινά στις 25/5/2018.
Αφορά τις επιχειρήσεις που συγκεντρώνουν και διαχειρίζονται προσωπικά δεδομένα (πρακτικά όλους).
Τα πρόστιμα μπορεί να φτάσουν και το 4% του ετήσιου τζίρου της επιχείρησης ή 20 εκ. ευρώ (όποιο είναι μεγαλύτερο).
Προσωπικά δεδομένα θεωρούνται οι πληροφορίες που μπορεί να χρησιμοποιηθούν για να ταυτοποιήσουν κάποιον, είτε έμμεσα είτε άμεσα. Δηλαδή: διευθύνσεις IP, cookies, δεδομένα τοποθεσίας, όνομα, διεύθυνση email κ.τ.λ.
Αυτό σημαίνει ότι μπορεί να απαιτούνται σημαντικές αλλαγές στον τρόπο που λαμβάνετε συναίνεση για τη συλλογή των δεδομένων, την αποθήκευση και επεξεργασία τους.
Το πρώτο βήμα για το GDPR compliance αν θέλετε να το κάνετε οργανωμένα είναι καταγραφή όλων των διαδικασίων που αφορούν τα προσωπικά δεδομένα.
Τι απαιτείται
Λεπτομερής πληροφόρηση. Η συναίνεση να δίνεται εθελοντικά από το χρήστη. Να ενημερώνεται για ποιο λόγο γίνεται η συλλογή στοιχείων. Και να μην υπάρχουν γκρίζες ζώνες ή εξειδικευμένες ορολογίες που μπερδεύουν το χρήστη. Όλα αυτά αφορούν κατοίκους της Ευρωπαϊκής Ένωσης. Ακόμα και όταν μια Αμερικάνικη επιχείρηση πάει να πουλήσει σε Αμερικάνο που έχει έρθει διακοπές στην Ελλάδα, η διαδικασία πρέπει να είναι GDPR compliant.
Ειδικότερα:
- Εύκολη γλώσσα, ξεκάθαρο μήνυμα
- Να ζητείται η θετική συναίνεση (όχι προτσεκαρισμένα κουτάκια)
- Να βρίσκεται χωριστά από τους όρους χρήσης
- Επεξήγηση για ποιο λόγο συγκεντρώνονται τα στοιχεία και τι θα γίνει με αυτά
- Αναφορά τυχόν τρίτων εταιρειών που θα χρησιμοποιήσουν αυτή τη συναίνεση
- Σαφής εξήγηση του πως ο χρήστης μπορεί να ανακτήσει το έλεγχο των δεδομένων του
- Avoid making consent a precondition of service εκτός και αν δεν μπορεί να γίνει η διαδικασία αλλιώς. Για παράδειγμα ένα eshop δε μπορεί να στείλει την παραγγελία αν δε ξέρει όνομα, διεύθυνση κ.τ.λ.
Η ιδιωτικότητα πρέπει να είναι σεταρισμένη στην «αυστηρή» ρύθμιση ούτως ώστε ο χρήστης να επιλέγει αν θα χαλαρώσει τις ρυθμίσεις.
Οι χρήστες έχουν μεγαλύτερο έλεγχο των δεδομένων τους και έχουν το δικαίωμα στη λήθη, δηλαδή στο να ζητήσουν διαγραφή των δεδομένων τους.
Σε περίπτωση παραβίασης οι επιχειρήσεις πρέπει να την καταγγείλουν στην αρμόδια αρχή εντός 72 ωρών και να ενημερώσουν τους χρήστες για αυτή, αν τα δεδομένα τους κινδυνεύουν.
Οι επιχειρήσεις πρέπει να ορίσουν έναν προστάτη αυτών των δεδομένων (Data Protection Officer) ειδικά όταν χειρίζονται ευαίσθητα προσωπικά δεδομένα (φυλή, ιατρικό ιστορικό), όταν διαχειρίζονται δεδομένα σε μεγάλη κλίμακα ή όταν είναι δημόσιοι οργανισμοί.
Για δεδομένα που αφορούν ηλικίες κάτω των 16 ετών, θα πρέπει να παρέχεται γονική συναίνεση (το όριο αυτό ενδέχεται να γίνει λίγο flexible ανά χώρα).
Πως επηρεάζονται οι επιχειρήσεις εκτός Ευρωπαϊκής Ένωσης
Και οι επιχειρήσεις που δρουν εκτός ΕΕ αλλά ζητούν στοιχεία από κατοίκους της ΕΕ, πρέπει να συμμορφωθούν με αυτή την οδηγία. Επίσης αν τα προϊόντα ή οι υπηρεσίες τους κυκλοφορούν στην Ευρώπη.
Προσοχή: η υπηκοότητα δεν ενδιαφέρει τον κανονισμό, η κατοικία μετράει.
Πως καταλαβαίνουμε τι πρέπει να κάνουμε;
Ξεκινήστε με έναν έλεγχο. Δείτε τι είδους στοιχεία κρατάει η ιστοσελίδα σας, αν έχουν σχέση με κατοίκους της ΕΕ και αν εκχωρούνται σε τρίτους. Αν τα δεδομένα τα επεξεργάζονται και τρίτοι θα πρέπει να είναι και αυτοί GDPR compliant.
Ανάλογη με τα ευρήματα θα είναι και η δράση που θα χρειαστεί να αναλάβετε. Αν για παράδειγμα χρησιμοποιείτε cookies και Facebook pixel τότε θα πρέπει να ζητήσετε ξεχωριστή συναίνεση για κάθε ένα από αυτά.
Τι θα μας απασχολήσει στα Social media;
Αν εξακολουθείτε να έχετε αμφιβολίες για το αν χρειάζεστε προσαρμογή ή όχι, δείτε τα παρακάτω παραδείγματα.
Google Analytics
Αν χρησιμοποιείτε Google Analytics τότε βεβαιωθείτε ότι θα ανωνυμοποιήσετε τα στοιχεία που μαζεύονται είτε θα ζητήσετε την άδεια του χρήστη.
Remarketing/ Retargeting
To remarketing είναι ο βασιλιάς της συγκέντρωσης προσωπικών δεδομένων. Χωρίς το Cookie δεν υπάρχει Remarketing. Ενημερώστε άμεσα τους χρήστες και ζητήστε τους να συναινέσουν με το που θα μπουν στο site σας.
Email opt-in
Βάλτε ένα κουτάκι τσεκαρίσματος στη φόρμα εγγραφής για GDPR και ενημερώστε τους χρήστες για ποιο λόγο συλλέγονται τα δεδομένα.
Affiliate links
Αν χρησιμοποιείτε links σε affiliate sites (3rd party cookie) τότε θα πρέπει να ζητήσετε συναίνειση για τα affiliate cookies.
Διαφημίσεις εμφάνισης
Αν το site σας φιλοξενεί διαφημίσεις τρίτων, τότε θα πρέπει να ενημερώσετε τους χρήστες για την ύπαρξη του τρίτου που συγκεντρώνει τα δεδομένα τους για διαφημιστικούς και προωθητικούς λόγους.
Φόρμα επικοινωνίας
Κάθε site έχει συνήθως κι από μία. Για αυτό πριν οι χρήστες υποβάλλουν τα στοιχεία τους θα πρέπει να προηγείται η συνέναισή τους.
Σχόλια
Όπως και παραπάνω, με τη διαφορά ότι εδώ θα πρέπει να ενημερώσετε τους χρήστες ότι μπορεί αυτά που γράφουν να προβληθούν δημοσίως όπως το όνομα.
Πωλήσεις προϊόντων
Αν πουλάτε προϊόντα, ζητήστε από τους χρήστες μόνο τις απολύτως απαραίτητες πληροφορίες για την ολοκλήρωση της συναλλαγής και εξηγήστε πως αυτές θα χρησιμοποιηθούν. Δε χρειάζεται να ζητάτε π.χ. φύλο και ημερομνία γέννησης (όπως γίνεται by default στο Prestashop).
Σε κάθε περίπτωση θα χρειαστεί να ενημερωθείτε από τους ειδικούς στο θέμα GDPR, και να εναρμονίσετε όλη την επιχείρησή σας (offline και online) με τις απαιτήσεις του νέου νόμου.
Συγγραφή Άρθρου: Φιλαλίθη Ευτυχία