Ο GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων) είναι η σημαντικότερη νομοθετική αλλαγή στην Ε.Ε. που αφορά την ιδιωτικότητα και την προστασία των προσωπικών δεδομένων τις δύο τελευταίες δεκαετίες. Ο κανονισμός αυτός εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο τον Απρίλιο του 2016 και θα τεθεί σε πλήρη εφαρμογή στις 25 Μαΐου 2018.
Με απλά λόγια, σκοπός του GDPR είναι να δώσει σε όλους τους Ευρωπαίους πολίτες μεγαλύτερο έλεγχο στα προσωπικά τους δεδομένα και να αναγκάσει εταιρείες και οργανισμούς να λάβουν πιο σοβαρά την διαχείριση και την προστασία των προσωπικών δεδομένων των πελατών τους.
Ο GDPR απευθύνεται σε όποιες επιχειρήσεις ή οργανισμούς επεξεργάζονται ή αποθηκεύουν προσωπικά δεδομένα Ευρωπαίων πολιτών, ανεξαρτήτως από το σε ποια χώρα λειτουργούν. Τα πρόστιμα για μη-συμμόρφωση μπορούν να φτάσουν μέχρι και €20 εκατομμύρια ή το 4% του κύκλου εργασιών μιας εταιρείας, κάτι που σημαίνει ότι οι οργανισμοί δεν θα πρέπει να τον αγνοήσουν.
Τα δικαιώματα των ατόμων σύμφωνα με τον GDPR
Ο GDPR καθιερώνει 8 ατομικά δικαιώματα που αφορούν την προστασία των προσωπικών δεδομένων.
1. Δικαίωμα στην ενημέρωση
Τα άτομα δικαιούνται να γνωρίζουν ποιος επεξεργάζεται και αποθηκεύει τα προσωπικά τους δεδομένα. Ακόμη δικαιούνται να γνωρίζουν πώς συλλέγονται τα δεδομένα, για ποιους σκοπούς και για πόση χρονική διάρκεια.
2. Δικαίωμα στην πρόσβαση
Τα άτομα δικαιούνται να έχουν πρόσβαση στα δεδομένα τους που είναι αποθηκευμένα στα συστήματα κάποιου οργανισμού.
3. Δικαίωμα στην διόρθωση
Τα άτομα δικαιούνται να διορθώνουν ελλιπή ή λανθασμένα προσωπικά τους δεδομένα.
4. Δικαίωμα στην διαγραφή
Επίσης γνωστό και ως «δικαίωμα στην λήθη». Τα άτομα μπορούν να ζητήσουν την μόνιμη διαγραφή των προσωπικών τους δεδομένων.
5. Δικαίωμα περιορισμού επεξεργασίας
Τα άτομα δικαιούνται κάτω από ορισμένες συνθήκες να απαγορεύσουν στους οργανισμούς την επεξεργασία των προσωπικών τους δεδομένων και να επιτρέψουν μόνο την αποθήκευση τους.
6. Δικαίωμα στην φορητότητα δεδομένων
Ένα άτομο δικαιούται να ζητήσει και να λάβει όλες τις πληροφορίες που έχει γι’ αυτό ένας οργανισμός, σε ένα ηλεκτρονικό διαλειτουργικό μορφότυπο, όπως ένα αρχείο τύπου CSV, για να τα μεταφέρει σε άλλες υπηρεσίες για δικούς τους σκοπούς.
7. Δικαίωμα εναντίωσης χρήσης
Τα άτομα δικαιούνται να εναντιωθούν στην χρήση των προσωπικών τους δεδομένων για σκοπούς άμεσου μάρκετινγκ, έρευνας ή στατιστικών.
8. Δικαιώματα σχετικά με αυτοματοποιημένη λήψη αποφάσεων συμπεριλαμβανομένου και την δημιουργία προφίλ
Ο GDPR καθορίζει επίσης πότε μπορεί να δημιουργηθεί το προφίλ ενός ατόμου και να λάβει χώρα αυτοματοποιημένη λήψη αποφάσεων. Υπάρχουν διάφορες απαιτήσεις που πρέπει να πληρούνται και μια από αυτές είναι η ρητή συγκατάθεση του ατόμου.
Πώς μπορούν οι ιδιοκτήτες ιστοσελίδων να προετοιμαστούν για τον GDPR;
Αποποίηση ευθυνών
Το άρθρο αυτό δεν αποτελεί νομική συμβουλή. Περιέχει γενικές εισηγήσεις και συστάσεις σχετικά με τον GDPR. Εάν θέλετε να είστε σίγουροι ότι η επιχείρηση σας ή η ιστοσελίδα σας είναι πλήρως συμμορφωμένη με τον GDPR, θα πρέπει να λάβετε κατάλληλες νομικές συμβουλές για την δική σας συγκεκριμένη περίπτωση.
Η συγκατάθεση του χρήστη είναι σημαντική
Ένα από τα πιο σημαντικά ζητήματα που επιχειρεί να αντιμετωπίσει ο GDPR είναι αυτό της συγκατάθεσης. Η συγκατάθεση ενός χρήστη πρέπει να είναι ρητή, ελεύθερη και με επαρκή ενημέρωση. Δεν θα μπορεί πλέον η συναίνεση να εννοηθεί ή να υπονοηθεί.
Θα πρέπει να εξετάσετε προσεκτικά όλες τις φόρμες στην ιστοσελίδα σας και να βεβαιωθείτε ότι τα προσωπικά δεδομένα και οι πληροφορίες που ζητάτε από τους χρήστες είναι τα απολύτως απαραίτητα για τους συγκεκριμένους σκοπούς που τα θέλετε. Αυτό επίσης θα έχει και ως συνέπεια την πιο καλή εμπειρία για τους χρήστες σας. Θα πρέπει ακόμη να αποφύγετε τα οποιαδήποτε προεπιλεγμένα κουτάκια επιλογών στις φόρμες σας. Τα κουτάκια επιλογής για λήψη ενημερωτικών δελτίων ή σκοπούς μάρκετινγκ δεν πρέπει να είναι προεπιλεγμένα, αλλά να επιλέγονται ελεύθερα και συνειδητά από τους χρήστες.
Η γλώσσα που θα χρησιμοποιήσετε για να λάβετε την συγκατάθεση των χρηστών θα πρέπει να είναι απλή και ξεκάθαρη. Ο GDPR απαγορεύει μεγάλα κείμενα δυσνόητης και νομικίστικης γλώσσας. Θα πρέπει να δηλώσετε ξεκάθαρα γιατί χρειάζεστε τα προσωπικά δεδομένα και για πόσο σκοπεύετε να τα κρατήσετε.
Το γεγονός ότι ένας χρήστης σας έδωσε την συγκατάθεση του δεν σημαίνει ότι αυτό είναι κάτι μόνιμο. Έχει το δικαίωμα όποτε θελήσει να αναιρέσει την απόφαση του αυτή με ευκολία.
Πρέπει η ιστοσελίδα σας να έχει αναρτημένη Πολιτική Απορρήτου
Πάντοτε υπήρχε η νομική υποχρέωση του να έχετε Πολιτική Απορρήτου στην ιστοσελίδα σας, αλλά τώρα με τον GDPR θα πρέπει να την ενημερώσετε για να πληροφορήσετε τους επισκέπτες σας σχετικά με τα νέα τους δικαιώματα και για το ποια δεδομένα συλλέγετε, πώς τα χρησιμοποιείτε και για πόση χρονική διάρκεια.
Να είστε έτοιμοι για αιτήματα χρηστών
Θα πρέπει να έχετε διαδικασίες που να επιτρέπουν σε σας ή τους χρήστες σας να διορθώνουν ή να διαγράφουν πλήρως τα προσωπικά τους δεδομένα από το σύστημα σας με ευκολία. Θα πρέπει επίσης να έχετε την δυνατότητα να εξάγετε τα δεδομένα τους σε ένα ηλεκτρονικό διαλειτουργικό μορφότυπο (π.χ. αρχείο CSV). Να θυμάστε ότι ο GDPR απαιτεί όπως όλες αυτές οι υπηρεσίες θα προσφέρονται χωρίς καμιά οικονομική επιβάρυνση για τον χρήστη.
Προετοιμαστείτε για τυχόν παραβιάσεις του συστήματος σας
Σε περίπτωση που κάποιος αποκτήσει παράνομα πρόσβαση στα συστήματα σας και κατ’ επέκταση στα προσωπικά δεδομένα των χρηστών σας, είστε υποχρεωμένοι να ειδοποιήσετε όχι μόνο τις αρχές, αλλά και τους επηρεαζόμενους χρήστες σας εντός 72 ωρών.
Πρόσθετα WordPress και επεκτάσεις Joomla
Εάν χρησιμοποιείτε κάποιο Σύστημα Διαχείρισης Περιεχομένου (CMS) όπως WordPress ή Joomla, τότε θα πρέπει να σιγουρευτείτε ότι οι επεκτάσεις και τα πρόσθετα που έχετε συμμορφώνονται με τον GDPR. Πολλά από αυτά για να παρέχουν τις λειτουργίες τους μπορεί να κάνουν χρήση των προσωπικών δεδομένων των χρηστών σας, όπως για παράδειγμα την διεύθυνση IP τους και να τα αποθηκεύουν στην βάση δεδομένων σας. Θα πρέπει να βεβαιωθείτε γι’ αυτό επικοινωνώντας με τους δημιουργούς αυτών των λογισμικών.
Τα Google Analytics επιτρέπονται
Οι πιο πολλές ιστοσελίδες συλλέγουν δεδομένα επισκεπτών για να μελετήσουν την συμπεριφορά τους και το πώς τις χρησιμοποιούν ούτως ώστε να βελτιώσουν τις υπηρεσίες τους. Τα Google Analytics είναι η πιο γνωστή υπηρεσία για τον σκοπό αυτό. Εφόσον τα δεδομένα που συλλέγονται μέσα από τα Google Analytics είναι ανώνυμα και δεν μπορούν να χρησιμοποιηθούν για να ταυτοποιήσουν άτομα, τότε είναι εντάξει να τα χρησιμοποιείτε. Μπορείτε να διαβάσετε και το τι έχει να πει η ίδια η Google γι’ αυτό το θέμα εδώ https://privacy.google.com/businesses/compliance
Μην ξεχνάτε όμως ότι σύμφωνα με την Πολιτική της Google, αν κάνετε χρήση Google Analytics στην ιστοσελίδα σας θα πρέπει να έχετε μια Πολιτική Απορρήτου η οποία να το ξεκαθαρίζει αυτό στους επισκέπτες σας.
Ο GDPR είναι ένας κανονισμός 200 σελίδων με τεράστια πρόστιμα, έτσι είναι κάπως δικαιολογημένη η ανησυχία των εταιρειών και για όσους διατηρούν ιστοσελίδες, αλλά στην τελική πιστεύω ότι είναι κάτι θετικό για όλους. Ενοποιεί τις υπάρχουσες νομοθεσίες περί ιδιωτικότητας κάτω από ένα γενικό κανονισμό. Λόγω αυτού, οι εταιρείες και οι οργανισμοί στην Ευρώπη (αλλά και σε άλλα μέρη του κόσμου) θα έχουν πλέον να συμμορφωθούν με ένα μόνο σύνολο κανονισμών, αντί να έχουν να κάνουν με διαφορετικές νομοθεσίες ανάλογα με την κάθε χώρα στην οποία λειτουργούν. Θα βοηθήσει επίσης να εδραιωθεί περισσότερο η εμπιστοσύνη μεταξύ ατόμων και οργανισμών και να αντιμετωπιστεί το μεταξύ τους ζήτημα της ανισορροπίας των πληροφοριών.
