gdpr

Τα πάντα για τον GDPR σε 2 λεπτά

Ασφάλεια Ιστοσελίδας

Αφήστε ένα Σχόλιο / Από /

Πλήρης οδηγός για τον GDPR στην Ελλάδα. Απαντάμε σε όλες τις τρέχουσες ερωτήσεις.

Πως να προετοιμαστώ; Επηρεάζει την εταιρεία μου;

General Data Protection Regulation (GDPR)

GDPR: Ο κανονισμός αυτός αφορά όλες τις εταιρείες και επιχειρήσεις.

Εφαρμόστηκε στις 25 Μαΐου 2018.

Ο κανονισμός γενικής προστασίας δεδομένων (GDPR) της Ε.Ε. θα τεθεί σε ισχύ στις 25/05/2018.

Όλες οι μικρομεσαίες επιχειρήσεις (ΜΜΕ) θα πρέπει να ακολουθήσουν όλες τις μεγάλες αλλαγές που επιβάλλουν οι νέοι κανονισμοί προστασίας προσωπικών δεδομένων.

Ο χρόνος που έχετε στην διάθεση σας δεν είναι αρκετός, ώστε να προσαρμόσετε την ιστοσελίδα ή το e-Shop σας σύμφωνα με τη νέα νομοθεσία. Σε περίπτωση μη προσαρμογής θα αντιμετωπίσετε πρόστιμα.

Αποποίηση ευθυνών: Το παρόν κείμενο είναι ενημερωτικό και οι ι συμβουλές στο κείμενο δεν αποτελούν νομική συμβουλή.

– Τι είναι το GDPR;

Η νομοθεσία του GDPR, πρακτικά ωθεί και επιβάλει κάθε εταιρεία που δραστηριοποιείται εντός της ΕΕ να συμμορφωθεί με νέους αυστηρούς κανόνες που αφορούν τη συλλογή, αποθήκευση και χρήση δεδομένων πελατών.

Μορφές δεδομένων

To GDPR αφορούν όλα τα δεδομένα πελατών και ανεξάρτητα από την προέλευσή τους (π.χ. χώρα εκτός Ε.Ε.) θα πρέπει να αποθηκεύονται με ασφάλεια και να χρησιμοποιούνται μόνο με την άδεια του πελάτη.

Οι πελάτες θα πρέπει να δώσουν την σαφή συγκατάθεσή ώστε τα δεδομένα τους να αποθηκευτούν και να χρησιμοποιηθούν με οποιονδήποτε τρόπο.

Πώς αυτό θα επηρεάσει τις επιχειρήσεις ηλεκτρονικού εμπορίου;

Το GDPR αφορά όλες τις βάσεις δεδομένων, το μάρκετινγκ, τις πωλήσεις, το HR, τη λογιστική. Οποιοσδήποτε τρόπος αποθήκευσης ή επεξεργασίας δεδομένων, θα εμπίπτει στο νέο κανονισμό.

Θα επηρεαστούν:

  • Το ηλεκτρονικό σας κατάστημα,
  • το internet marketing,
  • η αποθήκευση των δεδομένων πελατών,
  • η ασφάλεια, οι διαδικασίες και όροι χρήσης.

Θα υπάρξουν αυξημένα πρόστιμα για μη συμμόρφωση, παραβιάσεις και κακή χρήση.

Με τα ιδιαίτερα υψηλά πρόστιμα, οι μικρομεσαίες επιχειρήσεις απλά δεν μπορούν να αντέξουν οικονομικά να κάνουν λάθη. Για αυτό τα δεδομένα πρέπει να αποθηκεύονται με ασφάλεια.

Oι εποπτικές αρχές μπορούν:

  • να αναστείλουν το ηλεκτρονικό σας κατάστημα για 30 ημέρες από τη μη συμμόρφωση με τις απαιτήσεις GDPR,
  • να επιβάλουν πρόστιμα σε επίπεδα που δύσκολα εάν όχι καμία ΜΜΕ δεν μπορεί να αντέξει.

Ευθύνη για τα δεδομένα:

Οι επιχειρήσεις είναι υπεύθυνες για τον τρόπο και τον τόπο αποθήκευσης των δεδομένων τους.

Η κρυπτογράφηση είναι απαραίτητη και πρέπει να υπάρχουν αυστηροί κανόνες για την πρόσβαση σε δεδομένα.

Βήματα προετοιμασίας:

Προετοιμαστείτε έγκυρα και ακολουθήστε όλα τα βήματα που πρέπει να κάνετε για τη μεγιστοποίηση της ασφάλειας των δεδομένων και την ελαχιστοποίηση των κινδύνων μη συμμόρφωσης με το GDPR:

  • Ενημερωθείτε σχετικά με τον GDPR.
  • Κάνετε καταγραφή των δεδομένων και των διαδικασιών που λαμβάνετε.
  • Ενημερωθείτε για τις νομικές σας υποχρεώσεις.

Μείνετε συντονισμένοι

Ετοιμαστείτε με τη λίστα ελέγχου μας: (Σύντομα διαθέσιμη)

  • Για να αναλύσετε αν το ηλεκτρονικό σας εμπόριο πληροί ήδη τις απαιτήσεις GDPR.
  • Επαληθεύστε σε ποια σημεία θα πρέπει να εστιάσετε.
  • Να διευκρινίσετε τι είδους ενέργειες πρέπει να κάνετε.

Επομένως:

Τεχνολογική υποδομή και δεδομένα είναι υποχρεωμένα να προσαρμοστούν στο νέο πλαίσιο του GDPR. Έτσι η οργάνωση, η διαχείριση και οι αλλαγές που φέρνει το GDPR είναι ένας ακόμη «πονοκέφαλος», που θα προσπαθήσουμε να αναλύσουμε στην παρούσα ενότητα του website μας.

ΜΗΝ ΞΕΧΝΑΤΕ: να βλέπετε συχνά την παρούσα σελίδα για να ενημερώνεστε σχετικά με το GDPR και τις υπηρεσίες μας.

Τι θα προσφέρουμε:

  • Ενημέρωση
  • Υπηρεσίες για τις εργασίες σε ηλεκτρονικά καταστήματα
  • Συμβουλευτικές υπηρεσίες – template αλλαγών
  • Συνεργασία με νομικό εάν δεν έχετε σχετικό με το GDPR

Μείνετε ενημερωμένοι:

 

Βασιζόμαστε στις γενικές υποχρεώσεις του ΓΚΠΔ, στην ελληνική εφαρμογή του μέσω του ν. 4624/2019, στις οδηγίες της ΑΠΔΠΧ για cookies, συγκατάθεση, ηλεκτρονική προώθηση και δικαιώματα χρηστών, καθώς και στις ευρωπαϊκές οδηγίες για περιστατικά παραβίασης δεδομένων. ([dpa.gr][1])

Q&A Ερωτήσεις και απαντήσεις

Οι παρακάτω απαντήσεις έχουν ενημερωτικό χαρακτήρα και απευθύνονται κυρίως σε ιδιοκτήτες ιστοσελίδων και eshop στην Ελλάδα. Για ειδικές περιπτώσεις, καλό είναι να ζητείται και νομική συμβουλή από εξειδικευμένο επαγγελματία.

Τι είναι ο GDPR με απλά λόγια;

Ο GDPR, ή Γενικός Κανονισμός για την Προστασία Δεδομένων, είναι ο ευρωπαϊκός κανονισμός που ορίζει πώς πρέπει να συλλέγονται, να χρησιμοποιούνται, να αποθηκεύονται και να προστατεύονται τα προσωπικά δεδομένα των φυσικών προσώπων.

Με πιο απλά λόγια, αν έχετε ιστοσελίδα ή eshop και συλλέγετε στοιχεία όπως όνομα, email, τηλέφωνο, διεύθυνση, παραγγελίες, μηνύματα φόρμας ή δεδομένα από cookies, πρέπει να ενημερώνετε καθαρά τον χρήστη και να διαχειρίζεστε τα στοιχεία του με ασφάλεια και νομιμότητα.

Ισχύει ο GDPR για μικρές ιστοσελίδες και μικρά eshop;

Ναι. Ο GDPR δεν αφορά μόνο μεγάλες εταιρείες. Αφορά κάθε επιχείρηση, επαγγελματία, οργανισμό ή ιδιοκτήτη ιστοσελίδας που επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων.

Ακόμη και ένα μικρό site με φόρμα επικοινωνίας ή ένα μικρό eshop που δέχεται παραγγελίες συλλέγει προσωπικά δεδομένα. Άρα πρέπει να έχει βασική συμμόρφωση με τον GDPR.

Τι θεωρείται προσωπικό δεδομένο σε μια ιστοσελίδα;

Προσωπικό δεδομένο είναι κάθε πληροφορία που μπορεί να ταυτοποιήσει άμεσα ή έμμεσα ένα φυσικό πρόσωπο. Σε μια ιστοσελίδα ή ένα eshop, τέτοια δεδομένα μπορεί να είναι το ονοματεπώνυμο, το email, το τηλέφωνο, η διεύθυνση αποστολής, η διεύθυνση τιμολόγησης, το ιστορικό παραγγελιών, η διεύθυνση IP, τα μηνύματα σε φόρμες επικοινωνίας, τα σχόλια, οι λογαριασμοί χρηστών και τα στοιχεία newsletter.

Σε ορισμένες περιπτώσεις, προσωπικά δεδομένα μπορεί να θεωρηθούν και τεχνικά στοιχεία, όπως logs server, στοιχεία συσκευής, cookies ή αναγνωριστικά διαφήμισης, όταν μπορούν να συνδεθούν με συγκεκριμένο χρήστη.

Ποια δεδομένα συλλέγει συνήθως ένα eshop;

Ένα eshop συνήθως συλλέγει στοιχεία πελάτη, στοιχεία αποστολής, στοιχεία τιμολόγησης, στοιχεία παραγγελίας, προϊόντα που αγοράστηκαν, email επικοινωνίας, τηλέφωνο, μηνύματα πελάτη, δεδομένα λογαριασμού χρήστη και τεχνικά δεδομένα ασφάλειας.

Αν χρησιμοποιούνται εργαλεία όπως Google Analytics, Meta Pixel, Skroutz Analytics, live chat, remarketing, newsletter ή πλατφόρμες αυτοματοποίησης marketing, τότε μπορεί να συλλέγονται και πρόσθετα δεδομένα συμπεριφοράς ή παρακολούθησης, τα οποία χρειάζονται ιδιαίτερη προσοχή.

Χρειάζεται πάντα συγκατάθεση για να συλλέξω προσωπικά δεδομένα;

Όχι πάντα. Η συγκατάθεση είναι μόνο μία από τις νόμιμες βάσεις επεξεργασίας. Για παράδειγμα, όταν ένας πελάτης κάνει παραγγελία σε eshop, δεν χρειάζεστε ξεχωριστή συγκατάθεση για να επεξεργαστείτε τα στοιχεία που είναι απαραίτητα για την εκτέλεση της παραγγελίας.

Μπορείτε να βασιστείτε σε άλλη νόμιμη βάση, όπως η εκτέλεση σύμβασης, η συμμόρφωση με φορολογική ή νομική υποχρέωση, το έννομο συμφέρον ή η συγκατάθεση, ανάλογα με την περίπτωση.

Πότε χρειάζεται συγκατάθεση σε μια ιστοσελίδα;

Συγκατάθεση χρειάζεται κυρίως όταν ο χρήστης δίνει ελεύθερα την άδειά του για κάτι που δεν είναι απολύτως απαραίτητο για τη βασική λειτουργία της υπηρεσίας.

Συνηθισμένα παραδείγματα είναι η εγγραφή σε newsletter, η χρήση μη απαραίτητων cookies, τα cookies στατιστικών, τα διαφημιστικά cookies, τα pixels remarketing και η αποστολή διαφημιστικών email σε χρήστες που δεν είναι ήδη πελάτες ή δεν εμπίπτουν σε ειδική εξαίρεση.

Τι σημαίνει έγκυρη συγκατάθεση;

Έγκυρη συγκατάθεση σημαίνει ότι ο χρήστης έχει ενημερωθεί καθαρά, έχει πραγματική επιλογή και κάνει ο ίδιος μια θετική ενέργεια, όπως να τσεκάρει ένα κουτάκι ή να πατήσει αποδοχή.

Η σιωπή, τα προσυμπληρωμένα κουτάκια, η αδράνεια ή το απλό «συνεχίζετε την περιήγηση άρα αποδέχεστε» δεν θεωρούνται σωστή συγκατάθεση.

Χρειάζεται πολιτική απορρήτου η ιστοσελίδα μου;

Ναι, πρακτικά κάθε επαγγελματική ιστοσελίδα ή eshop πρέπει να έχει πολιτική απορρήτου. Η πολιτική απορρήτου είναι το σημείο όπου εξηγείτε στους χρήστες ποια δεδομένα συλλέγετε, γιατί τα συλλέγετε, για πόσο τα κρατάτε, με ποιους τα μοιράζεστε και ποια δικαιώματα έχουν.

Η πολιτική πρέπει να είναι γραμμένη με απλή και κατανοητή γλώσσα, όχι μόνο με δύσκολους νομικούς όρους. Ο χρήστης πρέπει να καταλαβαίνει τι γίνεται με τα δεδομένα του.

Τι πρέπει να γράφει μια σωστή πολιτική απορρήτου;

Μια σωστή πολιτική απορρήτου πρέπει να αναφέρει ποιος είναι ο υπεύθυνος επεξεργασίας, ποια προσωπικά δεδομένα συλλέγονται, για ποιους σκοπούς χρησιμοποιούνται, ποια είναι η νόμιμη βάση επεξεργασίας, για πόσο χρόνο διατηρούνται, ποιοι τρίτοι πάροχοι έχουν πρόσβαση, αν γίνεται μεταφορά δεδομένων εκτός Ευρωπαϊκού Οικονομικού Χώρου και ποια δικαιώματα έχει ο χρήστης.

Επίσης, πρέπει να εξηγεί με ποιον τρόπο μπορεί ο χρήστης να επικοινωνήσει μαζί σας για να ασκήσει τα δικαιώματά του.

Χρειάζεται ξεχωριστή πολιτική cookies;

Ναι, καλό είναι να υπάρχει ξεχωριστή πολιτική cookies ή ξεκάθαρη ενότητα για cookies μέσα στην πολιτική απορρήτου. Εκεί πρέπει να εξηγείτε τι είναι τα cookies, ποιες κατηγορίες χρησιμοποιείτε, ποια είναι απαραίτητα, ποια είναι προαιρετικά, ποιος τα τοποθετεί, για ποιον σκοπό και για πόσο χρόνο.

Ο χρήστης πρέπει επίσης να μπορεί να αλλάξει ή να ανακαλέσει τις επιλογές του για τα προαιρετικά cookies.

Χρειάζομαι cookie banner στην ιστοσελίδα μου;

Αν η ιστοσελίδα χρησιμοποιεί μόνο απολύτως απαραίτητα cookies, όπως cookies καλαθιού, σύνδεσης ή ασφάλειας, συνήθως δεν απαιτείται συγκατάθεση για αυτά. Πρέπει όμως να υπάρχει ενημέρωση.

Αν χρησιμοποιείτε cookies για στατιστικά, διαφήμιση, remarketing, social media, embedded περιεχόμενο ή εργαλεία τρίτων, τότε χρειάζεστε σωστό cookie banner, ώστε ο χρήστης να δώσει επιλογή πριν ενεργοποιηθούν τα προαιρετικά cookies.

Τα Google Analytics χρειάζονται συγκατάθεση;

Στην πράξη, ναι. Τα cookies στατιστικής ανάλυσης, όπως Google Analytics, δεν θεωρούνται απολύτως απαραίτητα για τη λειτουργία της ιστοσελίδας. Επομένως πρέπει να φορτώνουν μόνο αφού ο χρήστης δώσει συγκατάθεση για στατιστικά cookies.

Αυτό σημαίνει ότι δεν αρκεί απλώς να γράφετε στην πολιτική απορρήτου ότι χρησιμοποιείτε Google Analytics. Πρέπει να έχετε και τεχνική ρύθμιση ώστε το εργαλείο να μην ενεργοποιείται πριν την αποδοχή.

Τα Meta Pixel, Google Ads και remarketing cookies χρειάζονται συγκατάθεση;

Ναι. Τα εργαλεία διαφήμισης και remarketing, όπως Meta Pixel, Google Ads remarketing, TikTok Pixel ή παρόμοια εργαλεία, πρέπει να ενεργοποιούνται μόνο μετά από συγκατάθεση του χρήστη.

Αυτά τα εργαλεία δεν είναι απαραίτητα για την ολοκλήρωση μιας παραγγελίας ή για τη βασική λειτουργία της ιστοσελίδας. Χρησιμοποιούνται για διαφήμιση, μέτρηση και στοχευμένη προώθηση, άρα χρειάζονται ξεκάθαρη επιλογή από τον επισκέπτη.

Μπορώ να έχω κουμπί «Αποδοχή όλων» χωρίς «Απόρριψη»;

Δεν είναι καλή πρακτική. Ο χρήστης πρέπει να έχει πραγματική και εύκολη επιλογή. Αν του δίνετε μόνο εμφανές κουμπί αποδοχής και κρύβετε την απόρριψη μέσα σε πολλές ρυθμίσεις, η συγκατάθεση μπορεί να θεωρηθεί προβληματική.

Η σωστή προσέγγιση είναι να υπάρχουν καθαρές επιλογές, όπως «Αποδοχή όλων», «Απόρριψη προαιρετικών» και «Ρυθμίσεις», ώστε ο χρήστης να αποφασίζει ελεύθερα.

Μπορώ να έχω προσυμπληρωμένα κουτάκια στα cookies ή στο newsletter;

Όχι. Τα προσυμπληρωμένα κουτάκια δεν αποτελούν σωστή συγκατάθεση. Ο χρήστης πρέπει να κάνει ο ίδιος ενεργή επιλογή.

Για παράδειγμα, στο newsletter δεν πρέπει το πεδίο «Θέλω να λαμβάνω ενημερώσεις» να είναι ήδη τσεκαρισμένο. Πρέπει να το επιλέξει ο ίδιος ο χρήστης.

Χρειάζεται συγκατάθεση για τη φόρμα επικοινωνίας;

Για τη βασική χρήση της φόρμας επικοινωνίας, η συγκατάθεση δεν είναι πάντα η κατάλληλη βάση. Συνήθως η επεξεργασία γίνεται επειδή ο χρήστης σας στέλνει αίτημα και εσείς πρέπει να απαντήσετε.

Αυτό που χρειάζεται είναι καθαρή ενημέρωση δίπλα στη φόρμα ή μέσω link στην πολιτική απορρήτου. Πρέπει να εξηγείτε ότι τα στοιχεία θα χρησιμοποιηθούν για την απάντηση στο αίτημα και όχι για άσχετους σκοπούς, όπως διαφημιστικά email, εκτός αν υπάρχει ξεχωριστή συγκατάθεση.

Μπορώ να βάζω checkbox αποδοχής πολιτικής απορρήτου στη φόρμα επικοινωνίας;

Μπορείτε, αλλά δεν πρέπει να το χρησιμοποιείτε μηχανικά ως «μαγική λύση». Η πολιτική απορρήτου είναι ενημέρωση, όχι σύμβαση που πρέπει πάντα να «αποδεχθεί» ο χρήστης.

Πιο σωστό είναι να υπάρχει σύντομη ενημέρωση, όπως: «Τα στοιχεία σας θα χρησιμοποιηθούν για να απαντήσουμε στο μήνυμά σας. Δείτε την Πολιτική Απορρήτου». Αν ζητάτε και συγκατάθεση για newsletter, αυτό πρέπει να είναι ξεχωριστό checkbox.

Χρειάζεται checkbox GDPR στο checkout του eshop;

Για την εκτέλεση της παραγγελίας δεν χρειάζεται ξεχωριστή συγκατάθεση GDPR, γιατί η επεξεργασία των στοιχείων είναι απαραίτητη για να ολοκληρωθεί η αγορά, η αποστολή και η τιμολόγηση.

Χρειάζεται όμως να υπάρχει εύκολη πρόσβαση στην πολιτική απορρήτου και στους όρους χρήσης. Αν στο checkout ζητάτε εγγραφή σε newsletter ή αποδοχή marketing επικοινωνίας, τότε αυτό πρέπει να γίνεται με ξεχωριστό, μη προσυμπληρωμένο checkbox.

Μπορώ να στείλω newsletter σε πελάτες μου χωρίς συγκατάθεση;

Η γενική αρχή είναι ότι για διαφημιστικά email και SMS χρειάζεται προηγούμενη συγκατάθεση. Υπάρχει όμως ειδική εξαίρεση όταν έχετε αποκτήσει νόμιμα το email στο πλαίσιο πώλησης προϊόντος ή υπηρεσίας και στέλνετε προώθηση για παρόμοια προϊόντα ή υπηρεσίες.

Ακόμη και τότε, πρέπει να είχατε δώσει στον πελάτη δυνατότητα να αρνηθεί τη χρήση του email του από την αρχή και πρέπει να υπάρχει εύκολο, σαφές και δωρεάν unsubscribe σε κάθε μήνυμα.

Μπορώ να προσθέσω αυτόματα όλους τους πελάτες μου στο newsletter;

Δεν είναι σωστό να προσθέτετε αυτόματα όλους τους πελάτες σε γενική λίστα newsletter χωρίς να εξετάσετε τη νόμιμη βάση και τις προϋποθέσεις. Άλλο είναι να στείλετε ενημέρωση για την ίδια την παραγγελία και άλλο να στέλνετε διαφημιστικές καμπάνιες.

Η ασφαλέστερη πρακτική είναι να ζητάτε ξεκάθαρη συγκατάθεση για newsletter με ξεχωριστό checkbox και να κρατάτε αρχείο για το πότε και πώς δόθηκε η συγκατάθεση.

Τι πρέπει να έχει κάθε newsletter για να είναι πιο ασφαλές νομικά;

Κάθε newsletter πρέπει να έχει ξεκάθαρο αποστολέα, πραγματικό σκοπό, εύκολο τρόπο διαγραφής, λειτουργικό unsubscribe link και να αποστέλλεται μόνο σε ανθρώπους για τους οποίους έχετε νόμιμη βάση επικοινωνίας.

Επίσης, δεν πρέπει να κρύβετε την ταυτότητα της επιχείρησης, να χρησιμοποιείτε παραπλανητικούς τίτλους ή να συνεχίζετε την αποστολή σε χρήστες που έχουν ζητήσει διαγραφή.

Πόσο καιρό μπορώ να κρατάω τα προσωπικά δεδομένα;

Δεν υπάρχει ένας ίδιος χρόνος για όλα. Τα δεδομένα πρέπει να διατηρούνται μόνο για όσο είναι απαραίτητο για τον σκοπό για τον οποίο συλλέχθηκαν.

Για παράδειγμα, τα φορολογικά στοιχεία παραγγελιών μπορεί να χρειάζεται να διατηρούνται για όσο απαιτεί η φορολογική νομοθεσία. Τα μηνύματα φόρμας επικοινωνίας μπορεί να διαγράφονται μετά από εύλογο χρονικό διάστημα. Τα δεδομένα newsletter πρέπει να διατηρούνται όσο ο χρήστης παραμένει εγγεγραμμένος ή όσο χρειάζεται για να αποδεικνύεται η συγκατάθεση και η διαγραφή του.

Τι σημαίνει ελαχιστοποίηση δεδομένων;

Ελαχιστοποίηση σημαίνει ότι ζητάτε μόνο τα δεδομένα που πραγματικά χρειάζεστε. Δεν συλλέγετε στοιχεία «μήπως χρειαστούν κάποτε».

Για παράδειγμα, αν μια απλή φόρμα επικοινωνίας χρειάζεται μόνο όνομα, email και μήνυμα, δεν υπάρχει λόγος να ζητάτε ημερομηνία γέννησης, διεύθυνση ή επιπλέον προσωπικές πληροφορίες.

Τι δικαιώματα έχουν οι χρήστες και οι πελάτες μου;

Οι χρήστες έχουν δικαίωμα ενημέρωσης, πρόσβασης, διόρθωσης, διαγραφής, περιορισμού της επεξεργασίας, φορητότητας και εναντίωσης, ανάλογα με την περίπτωση.

Με απλά λόγια, μπορούν να ζητήσουν να μάθουν τι δεδομένα κρατάτε για αυτούς, να διορθώσουν λάθη, να ζητήσουν διαγραφή όπου επιτρέπεται, να αντιταχθούν σε ορισμένες χρήσεις ή να ζητήσουν περιορισμό της επεξεργασίας.

Πρέπει πάντα να διαγράφω τα δεδομένα όταν το ζητήσει ο χρήστης;

Όχι πάντα. Το δικαίωμα διαγραφής δεν είναι απόλυτο. Αν έχετε νόμιμη υποχρέωση να κρατήσετε κάποια στοιχεία, όπως φορολογικά παραστατικά ή στοιχεία που χρειάζονται για νομική αξίωση, μπορεί να μην μπορείτε να τα διαγράψετε άμεσα.

Σε αυτή την περίπτωση πρέπει να απαντήσετε στον χρήστη καθαρά και να εξηγήσετε ποια δεδομένα μπορείτε να διαγράψετε, ποια πρέπει να κρατήσετε και για ποιον λόγο.

Σε πόσο χρόνο πρέπει να απαντώ σε αίτημα GDPR;

Κατά κανόνα πρέπει να απαντάτε χωρίς αδικαιολόγητη καθυστέρηση και συνήθως μέσα σε έναν μήνα από την παραλαβή του αιτήματος.

Αν το αίτημα είναι πολύπλοκο ή υπάρχουν πολλά αιτήματα, μπορεί να χρειαστεί περισσότερος χρόνος, αλλά πρέπει να ενημερώσετε τον χρήστη εγκαίρως και να εξηγήσετε τον λόγο.

Τι είναι ο υπεύθυνος επεξεργασίας;

Υπεύθυνος επεξεργασίας είναι αυτός που αποφασίζει γιατί και πώς θα γίνει η επεξεργασία των προσωπικών δεδομένων. Στην περίπτωση μιας επαγγελματικής ιστοσελίδας ή ενός eshop, συνήθως υπεύθυνος επεξεργασίας είναι η επιχείρηση που κατέχει και λειτουργεί την ιστοσελίδα.

Για παράδειγμα, αν έχετε eshop, εσείς αποφασίζετε ποια στοιχεία χρειάζονται για τις παραγγελίες, την αποστολή, την τιμολόγηση και την επικοινωνία με τον πελάτη.

Τι είναι ο εκτελών την επεξεργασία;

Εκτελών την επεξεργασία είναι ο τρίτος πάροχος που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό σας, σύμφωνα με τις οδηγίες σας.

Παραδείγματα μπορεί να είναι η εταιρεία hosting, ο τεχνικός υποστήριξης, η πλατφόρμα newsletter, η εταιρεία courier, η υπηρεσία live chat, η πλατφόρμα email ή ένας εξωτερικός συνεργάτης που έχει πρόσβαση σε δεδομένα πελατών.

Χρειάζομαι συμφωνίες με τους συνεργάτες μου;

Ναι, όταν ένας συνεργάτης επεξεργάζεται προσωπικά δεδομένα για λογαριασμό σας, πρέπει να υπάρχει κατάλληλη συμφωνία ή όροι επεξεργασίας δεδομένων. Αυτό συχνά ονομάζεται Data Processing Agreement ή DPA.

Στην πράξη, πρέπει να γνωρίζετε ποιοι έχουν πρόσβαση στα δεδομένα σας, γιατί έχουν πρόσβαση, τι μέτρα ασφαλείας λαμβάνουν και αν χρησιμοποιούν άλλους υπο-εκτελούντες.

Η εταιρεία hosting βλέπει προσωπικά δεδομένα;

Η εταιρεία hosting μπορεί να έχει τεχνική δυνατότητα πρόσβασης σε δεδομένα που φιλοξενούνται στον server, όπως αρχεία, βάσεις δεδομένων, emails ή logs. Γι’ αυτό θεωρείται κρίσιμος συνεργάτης από πλευράς ασφάλειας και GDPR.

Πρέπει να επιλέγετε αξιόπιστη φιλοξενία, με σοβαρά τεχνικά μέτρα, backups, ενημερώσεις, περιορισμένη πρόσβαση και σωστή τεχνική υποστήριξη.

Τι μέτρα ασφαλείας πρέπει να έχει μια ιστοσελίδα ή ένα eshop;

Τα βασικά μέτρα ασφαλείας περιλαμβάνουν SSL, ισχυρούς κωδικούς, ενημερωμένο WordPress ή άλλο CMS, ενημερωμένα plugins, περιορισμένη πρόσβαση στους διαχειριστές, firewall, backups, προστασία από malware, ασφαλές hosting και τακτικό έλεγχο των χρηστών που έχουν πρόσβαση.

Για eshop, η ασφάλεια είναι ακόμη πιο σημαντική, γιατί υπάρχουν λογαριασμοί πελατών, παραγγελίες, διευθύνσεις, τιμολόγια και συχνά διασυνδέσεις με πληρωμές, courier, ERP ή marketing εργαλεία.

Πρέπει να αποθηκεύω στοιχεία καρτών στο eshop μου;

Στις περισσότερες περιπτώσεις, όχι. Τα στοιχεία καρτών πρέπει να τα διαχειρίζεται ο πάροχος πληρωμών, όπως τράπεζα, Stripe, Viva, PayPal ή άλλος πιστοποιημένος πάροχος.

Το eshop σας δεν πρέπει να αποθηκεύει αριθμούς καρτών ή ευαίσθητα στοιχεία πληρωμής, εκτός αν υπάρχει ειδική υποδομή και αυστηρή συμμόρφωση με τα σχετικά πρότυπα ασφάλειας.

Τι γίνεται αν χακαριστεί η ιστοσελίδα μου;

Αν υπάρξει περιστατικό παραβίασης προσωπικών δεδομένων, πρέπει πρώτα να αξιολογήσετε τι συνέβη, ποια δεδομένα επηρεάστηκαν, πόσα άτομα επηρεάστηκαν και αν υπάρχει κίνδυνος για τα δικαιώματα και τις ελευθερίες των χρηστών.

Αν το περιστατικό είναι πιθανό να δημιουργεί κίνδυνο για τα φυσικά πρόσωπα, πρέπει να γίνει γνωστοποίηση στην αρμόδια εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, εντός 72 ωρών από τότε που το αντιληφθήκατε.

Πρέπει να ενημερώσω τους πελάτες αν γίνει διαρροή δεδομένων;

Αν η παραβίαση είναι πιθανό να δημιουργεί υψηλό κίνδυνο για τους πελάτες ή τους χρήστες, τότε πρέπει να ενημερωθούν και οι ίδιοι χωρίς αδικαιολόγητη καθυστέρηση.

Για παράδειγμα, αν διέρρευσαν στοιχεία πρόσβασης, οικονομικά δεδομένα, ευαίσθητες πληροφορίες ή δεδομένα που μπορεί να οδηγήσουν σε απάτη, phishing ή ταυτοποίηση χρηστών, η ενημέρωση των επηρεαζόμενων προσώπων είναι πολύ σημαντική.

Πρέπει να κρατάω αρχείο δραστηριοτήτων επεξεργασίας;

Πολλές επιχειρήσεις πρέπει να τηρούν αρχείο δραστηριοτήτων επεξεργασίας, ειδικά όταν η επεξεργασία δεν είναι περιστασιακή ή όταν υπάρχουν σημαντικοί όγκοι δεδομένων, εργαζόμενοι, πελάτες, προμηθευτές ή συστήματα marketing.

Ακόμη και όταν μια μικρή επιχείρηση δεν είναι βέβαιη αν έχει πλήρη υποχρέωση, είναι καλή πρακτική να έχει ένα απλό εσωτερικό αρχείο που περιγράφει ποια δεδομένα συλλέγει, για ποιον σκοπό, με ποια νόμιμη βάση, πού αποθηκεύονται, ποιος έχει πρόσβαση και πότε διαγράφονται.

Χρειάζομαι DPO για την ιστοσελίδα ή το eshop μου;

Οι περισσότερες μικρές επιχειρήσεις και τα απλά eshop δεν χρειάζονται υποχρεωτικά Υπεύθυνο Προστασίας Δεδομένων, δηλαδή DPO. Ο DPO απαιτείται σε συγκεκριμένες περιπτώσεις, όπως σε δημόσιους φορείς ή όταν η κύρια δραστηριότητα περιλαμβάνει μεγάλης κλίμακας συστηματική παρακολούθηση ή επεξεργασία ειδικών κατηγοριών δεδομένων.

Παρόλα αυτά, ακόμη και αν δεν χρειάζεστε επίσημο DPO, είναι χρήσιμο να υπάρχει ένας υπεύθυνος μέσα στην επιχείρηση ή ένας εξωτερικός σύμβουλος που γνωρίζει πώς διαχειρίζεστε τα προσωπικά δεδομένα.

Τι είναι τα ευαίσθητα προσωπικά δεδομένα;

Ευαίσθητα προσωπικά δεδομένα είναι ειδικές κατηγορίες δεδομένων, όπως δεδομένα υγείας, βιομετρικά δεδομένα, γενετικά δεδομένα, θρησκευτικές ή πολιτικές πεποιθήσεις, συνδικαλιστική δράση ή στοιχεία που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό.

Οι περισσότερες απλές ιστοσελίδες και eshop δεν χρειάζεται να συλλέγουν τέτοια δεδομένα. Αν όμως η δραστηριότητά σας σχετίζεται με υγεία, διατροφή, φαρμακευτικά προϊόντα, ευεξία ή άλλες ευαίσθητες πληροφορίες, χρειάζεται πολύ μεγαλύτερη προσοχή.

Μπορώ να ζητάω ημερομηνία γέννησης από τους χρήστες;

Μόνο αν υπάρχει πραγματικός λόγος. Αν πουλάτε προϊόντα που έχουν ηλικιακούς περιορισμούς ή αν η ηλικία είναι απαραίτητη για την υπηρεσία σας, μπορεί να υπάρχει βάση για να ζητήσετε ημερομηνία γέννησης.

Αν όμως δεν τη χρειάζεστε, καλύτερα να μην τη ζητάτε. Όσο λιγότερα άχρηστα δεδομένα συλλέγετε, τόσο μειώνετε τον κίνδυνο και βελτιώνετε τη συμμόρφωση.

Τι ισχύει για δεδομένα ανηλίκων;

Τα δεδομένα ανηλίκων χρειάζονται ιδιαίτερη προσοχή. Στην Ελλάδα, για υπηρεσίες της κοινωνίας της πληροφορίας που προσφέρονται απευθείας σε παιδί και βασίζονται στη συγκατάθεση, ο ανήλικος πρέπει να έχει συμπληρώσει το 15ο έτος για να δώσει ο ίδιος έγκυρη συγκατάθεση.

Αν η ιστοσελίδα ή το eshop σας απευθύνεται σε παιδιά ή συλλέγει στοιχεία παιδιών, πρέπει να υπάρχει πολύ καθαρή ενημέρωση, κατάλληλη γλώσσα και ιδιαίτερα προσεκτικός σχεδιασμός.

Τι γίνεται με εργαλεία τρίτων όπως live chat, newsletter platforms και CRM;

Κάθε εργαλείο τρίτου που λαμβάνει ή επεξεργάζεται προσωπικά δεδομένα πρέπει να ελέγχεται. Πρέπει να γνωρίζετε ποια δεδομένα παίρνει, πού τα αποθηκεύει, αν τα μεταφέρει εκτός Ευρωπαϊκού Οικονομικού Χώρου, τι όρους παρέχει και αν προσφέρει σύμβαση επεξεργασίας δεδομένων.

Δεν αρκεί να εγκαταστήσετε ένα plugin ή ένα script επειδή είναι δημοφιλές. Πρέπει να δείτε αν είναι απαραίτητο, αν έχει σωστές ρυθμίσεις απορρήτου και αν ενημερώνεται σωστά ο χρήστης.

Τι ισχύει για μεταφορά δεδομένων εκτός Ευρωπαϊκής Ένωσης;

Αν χρησιμοποιείτε υπηρεσίες που αποθηκεύουν ή επεξεργάζονται δεδομένα εκτός Ευρωπαϊκού Οικονομικού Χώρου, πρέπει να εξετάσετε αν υπάρχει νόμιμος μηχανισμός μεταφοράς, όπως απόφαση επάρκειας, κατάλληλες συμβατικές ρήτρες ή άλλη βάση που προβλέπει ο GDPR.

Για υπηρεσίες από τις ΗΠΑ, πρέπει να ελέγχετε αν ο πάροχος συμμετέχει σε αναγνωρισμένο πλαίσιο ή αν παρέχει κατάλληλες εγγυήσεις. Αυτό αφορά συχνά εργαλεία analytics, email marketing, CRM, cloud υπηρεσίες, helpdesk και διαφημιστικές πλατφόρμες.

Πρέπει να αναφέρω όλους τους τρίτους παρόχους στην πολιτική απορρήτου;

Ναι, πρέπει να υπάρχει καθαρή ενημέρωση για τις βασικές κατηγορίες αποδεκτών ή συνεργατών που λαμβάνουν δεδομένα. Για παράδειγμα, εταιρείες hosting, courier, πάροχοι πληρωμών, λογιστήριο, πλατφόρμες email, τεχνική υποστήριξη, εργαλεία analytics και διαφημιστικές πλατφόρμες.

Δεν χρειάζεται πάντα να γράφετε υπερβολικά τεχνικές λεπτομέρειες, αλλά ο χρήστης πρέπει να καταλαβαίνει ποιοι μπορεί να λάβουν τα δεδομένα του και για ποιον σκοπό.

Τι ισχύει για τα σχόλια σε άρθρα WordPress;

Αν επιτρέπετε σχόλια σε άρθρα, συλλέγετε συνήθως όνομα, email, σχόλιο, IP και τεχνικά στοιχεία. Πρέπει να ενημερώνετε τον χρήστη για αυτή την επεξεργασία.

Επίσης, καλό είναι να έχετε μηχανισμό διαγραφής ή ανωνυμοποίησης σχολίων όταν υπάρχει σχετικό αίτημα, εφόσον δεν υπάρχει λόγος να τα διατηρήσετε.

Τι ισχύει για φωτογραφίες πελατών ή έργων;

Αν μια φωτογραφία δείχνει αναγνωρίσιμο φυσικό πρόσωπο, τότε μπορεί να αποτελεί προσωπικό δεδομένο. Δεν πρέπει να δημοσιεύετε φωτογραφίες πελατών, εργαζομένων ή συνεργατών χωρίς κατάλληλη νόμιμη βάση και ενημέρωση.

Αν ανεβάζετε portfolio έργων, προτιμήστε να μην εμφανίζονται πρόσωπα, πινακίδες, έγγραφα, διευθύνσεις ή άλλα στοιχεία που ταυτοποιούν ανθρώπους, εκτός αν έχετε λάβει την κατάλληλη άδεια.

Τι ισχύει για reviews και αξιολογήσεις πελατών;

Οι αξιολογήσεις πελατών μπορεί να περιέχουν προσωπικά δεδομένα, όπως όνομα, email, φωτογραφία ή πληροφορίες για αγορά. Πρέπει να ενημερώνετε τους χρήστες πώς θα εμφανιστεί η αξιολόγησή τους και αν θα δημοσιευτεί δημόσια.

Αν δημοσιεύετε testimonials, καλό είναι να έχετε σαφή άδεια, ειδικά όταν εμφανίζεται πλήρες όνομα, φωτογραφία, εταιρεία ή άλλα αναγνωριστικά στοιχεία.

Τι πρέπει να προσέχω στα plugins του WordPress;

Τα plugins μπορούν να συλλέγουν ή να μεταδίδουν δεδομένα χωρίς να είναι πάντα εμφανές. Ιδιαίτερη προσοχή χρειάζονται plugins για analytics, ads, forms, newsletter, security, live chat, social sharing, booking, CRM και anti-spam.

Πριν εγκαταστήσετε ένα plugin, ελέγξτε αν είναι ενημερωμένο, αξιόπιστο, απαραίτητο και αν παρέχει πληροφορίες για GDPR ή privacy. Όσα plugins δεν χρειάζονται, καλό είναι να αφαιρούνται.

Τι είναι το privacy by design και privacy by default;

Privacy by design σημαίνει ότι σκέφτεστε την προστασία προσωπικών δεδομένων από την αρχή, πριν φτιάξετε ή αλλάξετε μια λειτουργία στην ιστοσελίδα σας.

Privacy by default σημαίνει ότι οι προεπιλεγμένες ρυθμίσεις πρέπει να είναι φιλικές προς την ιδιωτικότητα. Για παράδειγμα, να μην ενεργοποιούνται διαφημιστικά cookies πριν τη συγκατάθεση και να μη συλλέγονται περισσότερα δεδομένα από όσα χρειάζονται.

Τι πρόστιμα προβλέπει ο GDPR;

Ο GDPR προβλέπει υψηλά διοικητικά πρόστιμα, τα οποία μπορούν να φτάσουν σε πολύ μεγάλα ποσά ανάλογα με τη σοβαρότητα της παράβασης. Στην πράξη, όμως, κάθε υπόθεση εξετάζεται με βάση τα πραγματικά περιστατικά, το μέγεθος της επιχείρησης, τη βαρύτητα της παράβασης, τη διάρκεια, τα μέτρα που είχαν ληφθεί και τη συνεργασία με την αρχή.

Ο στόχος μιας μικρής ή μεσαίας επιχείρησης δεν πρέπει να είναι απλώς «να αποφύγει πρόστιμο», αλλά να έχει λογική, τεκμηριωμένη και ασφαλή διαχείριση των προσωπικών δεδομένων.

Ποια είναι τα πιο συχνά λάθη GDPR σε ιστοσελίδες και eshop;

Τα πιο συχνά λάθη είναι η αντιγραφή γενικής πολιτικής απορρήτου χωρίς προσαρμογή, η φόρτωση Google Analytics ή Meta Pixel πριν τη συγκατάθεση, τα προσυμπληρωμένα checkbox, η αποστολή newsletter χωρίς σωστή βάση, η έλλειψη unsubscribe, τα ξεχασμένα plugins, η κακή ασφάλεια, η απουσία ενημέρωσης στις φόρμες και η μη ύπαρξη διαδικασίας για αιτήματα χρηστών.

Ένα άλλο συχνό λάθος είναι ότι ο ιδιοκτήτης της ιστοσελίδας πιστεύει πως «το έχει αναλάβει ο προγραμματιστής» ή «το καλύπτει το plugin». Στην πραγματικότητα, η τεχνική υλοποίηση βοηθά, αλλά η ευθύνη της συμμόρφωσης παραμένει στην επιχείρηση που διαχειρίζεται τα δεδομένα.

Αρκεί ένα GDPR plugin για να είμαι καλυμμένος;

Όχι. Ένα plugin μπορεί να βοηθήσει με cookie banner, καταγραφή συγκατάθεσης ή εμφάνιση πολιτικών, αλλά δεν αρκεί από μόνο του.

Η συμμόρφωση χρειάζεται σωστή χαρτογράφηση των δεδομένων, καθαρές πολιτικές, σωστές τεχνικές ρυθμίσεις, ασφάλεια, έλεγχο τρίτων παρόχων και διαδικασία για αιτήματα χρηστών και περιστατικά παραβίασης.

Τι πρέπει να κάνω πρακτικά για να βελτιώσω τη συμμόρφωση της ιστοσελίδας μου;

Ξεκινήστε καταγράφοντας ποια δεδομένα συλλέγει η ιστοσελίδα σας και από ποια σημεία: φόρμες, checkout, newsletter, cookies, analytics, plugins, live chat, λογαριασμούς χρηστών και emails.

Στη συνέχεια, ενημερώστε την πολιτική απορρήτου, ρυθμίστε σωστά το cookie banner, μπλοκάρετε τα προαιρετικά cookies πριν τη συγκατάθεση, ελέγξτε τα plugins, περιορίστε τα δεδομένα που ζητάτε, βελτιώστε την ασφάλεια και βεβαιωθείτε ότι μπορείτε να απαντήσετε σε αιτήματα χρηστών.

Ποιο είναι το βασικό συμπέρασμα για ιδιοκτήτες ιστοσελίδων και eshop;

Ο GDPR δεν είναι απλώς ένα κείμενο πολιτικής απορρήτου που μπαίνει στο footer. Είναι ένας τρόπος σωστής διαχείρισης των προσωπικών δεδομένων.

Για μια ιστοσελίδα ή ένα eshop στην Ελλάδα, τα πιο σημαντικά βήματα είναι να συλλέγετε μόνο τα απαραίτητα δεδομένα, να ενημερώνετε καθαρά τους χρήστες, να ζητάτε συγκατάθεση όπου χρειάζεται, να προστατεύετε τεχνικά την ιστοσελίδα σας, να συνεργάζεστε με αξιόπιστους παρόχους και να έχετε μια απλή διαδικασία για αιτήματα και περιστατικά ασφάλειας.

Για έλεγχο/τεκμηρίωση, οι πιο χρήσιμες επίσημες πηγές είναι η ↗️ΑΠΔΠΧ για τη νομοθεσία προσωπικών δεδομένων και τον ν. 4624/2019, οι οδηγίες της για cookies και ηλεκτρονική προώθηση, η σελίδα της για δικαιώματα/ενημέρωση των υποκειμένων, και ο οδηγός του EDPB για data breaches και υποχρέωση γνωστοποίησης εντός 72 ωρών όπου απαιτείται.

Θέλετε πιο ασφαλή και επαγγελματική φιλοξενία για την ιστοσελίδα σας;

Ο GDPR δεν αφορά μόνο τα νομικά κείμενα. Αφορά και την τεχνική ασφάλεια της ιστοσελίδας σας, τη σωστή φιλοξενία, τα backups, τις ενημερώσεις, την προστασία από επιθέσεις και τη δυνατότητα να έχετε άμεση τεχνική υποστήριξη όταν τη χρειάζεστε.

Στην BLB.gr προσφέρουμε managed φιλοξενία ιστοσελίδων, φιλοξενία eshop, managed WooCommerce hosting, VPS Managed Servers και τεχνική υποστήριξη WordPress, με στόχο η ιστοσελίδα σας να λειτουργεί γρήγορα, σταθερά και με μεγαλύτερη ασφάλεια.

Αν χρειάζεστε αξιόπιστο hosting, σωστή τεχνική υποστήριξη και καθοδήγηση για την ιστοσελίδα ή το eshop σας, επικοινωνήστε με την BLB.gr.



Διαβάστε ακόμα

5 1 vote
Αξιολογήσεις
Εγγραφή
Σε
guest
0 Σχόλια
Παλαιότερα
Νεότερα Δημοφιλή
Inline Feedbacks
όλα τα σχόλια

📞

2103003801
2103003801
Κύλιση στην κορυφή