DreamWeaver.Gr

Όταν ξεκινήσαμε το 2001 το slogan μας ήταν ήρθαμε για να μείνουμε. Τώρα το 2017 διατηρούμε το ίδιο ατενίζοντας το μέλλον με αισιοδοξία και όρεξη.

GDPR Data Breach Notification. June 6, 2018

GDPR Data Breach Notification Οι κρίσιμες 72 πρώτες ώρες. Κατανόηση του χρονοδιαγράμματος αναφοράς δ...

περισσότερα...
Συναίνεση και GDPR June 5, 2018

Ένας Πρακτικός Οδηγός για την Απόκτηση Συναίνεσης στην Εποχή του GDPR Εισαγωγή Ποιες δραστηριότητες...

περισσότερα...

Blog

June 5, 2018

Συναίνεση και GDPR

Ένας Πρακτικός Οδηγός για την Απόκτηση Συναίνεσης στην Εποχή του GDPR

  • Εισαγωγή
  • Ποιες δραστηριότητες θα απαιτήσουν να αποκτηθεί συναίνεση;
  • Πέντε ακόμη λόγοι για την επεξεργασία δεδομένων χρήστη
  • Τι σημαίνει «συναίνεση» στην εποχή του GDPR;
  • Η συναίνεση όπως γίνεται αντιληπτή από την ομάδα εργασίας του άρθρου 29 είναι
  • «Ελεύθερη»
  • ‘Συγκεκριμένη’
  • ‘Ενημερωμένη’
  • ‘Αδιαμφισβήτητη’
  • Πρακτικές συμβουλές σχετικά με τη συλλογή, τη διαχείριση και την αποθήκευση συναινέσεων στο GDPR
  • Τι πρέπει να συμπεριλάβετε στο μήνυμα
  • Πώς θα πρέπει να αποθηκεύετε τις συναινέσεις
  • Πώς ελαφρύνουν το φορτίο οι Διαχειριστές Συναινέσεων
  • Η συλλογή των συναινέσεων των επισκεπτών με τον Διαχειριστή Συναινέσεων
  • Η διαχείριση των συναινέσεων των χρηστών με τον Διαχειριστή Συναινέσεων
  • Αποθήκευση των συναινέσεων των χρηστών με τον Διαχειριστή Συναινέσεων
  • Ορισμένες ερωτήσεις που μπορεί να θέλετε να ρωτήσετε

Περίληψη

Εισαγωγή

Συναίνεση και GDPR

Συναίνεση και GDPR

Οι νέοι κανόνες σχετικά με τη συναίνεση ενδέχεται να προκαλούν μεγάλη ανησυχία. Ειδικά όταν είμαστε όλοι συνηθισμένοι στο γεγονός ότι πολλές φορές τα δεδομένα χρήστη συλλέγονται χωρίς να ζητείται άδεια. Αυτό κάνει δύσκολο το να φανταστούμε ότι στην επερχόμενη εποχή του GDPR, όταν δεν τηρούνται οι αυστηρές προϋποθέσεις του νέου νόμου θα υπάρχουν σκληρές κυρώσεις.

Ωστόσο, πρέπει να το έχουμε υπόψη μας ότι ο νέος κανονισμός έχει δημιουργηθεί για κάποιο λόγο – να προστατεύσει την ιδιωτική ζωή των ατόμων και για να βοηθήσει στην αποκατάσταση εμπιστοσύνης και διαφάνειας στις δραστηριότητες μεταξύ ανθρώπων και οντοτήτων που επεξεργάζονται τα δεδομένα τους. Μελέτες δείχνουν ότι υπάρχουν πολλά πράγματα που θέλουν δουλειά. Η έρευνα “Η Κατάσταση Προστασίας Προσωπικών Δεδομένων και Εμπιστοσύνης των Καταναλωτών το 2017 “ που διεξήγαγε το Gigya βρήκε ότι το 68% των ερωτηθέντων δεν εμπιστεύονται μάρκες για να χειριστούν τα προσωπικά τους στοιχεία κατάλληλα. Αυτό πρόκειται να αλλάξει.

Οι νέοι κανόνες για τη συναίνεση θα βοηθήσουν σίγουρα στην αποκατάσταση αυτής της εμπιστοσύνης.

Ωστόσο, μια βαθιά κατανόηση του θέματος απαιτεί βαθιά κατάδυση στις διατάξεις του GDPR.

Γι’ αυτό κάναμε αυτόν τον οδηγό για να σας ενημερώσουμε για τις περισσότερες σημαντικές απαιτήσεις του GDPR όσον αφορά τη συναίνεση των χρηστών, όπως:

• Πότε θα χρειαστεί να λάβετε συναίνεση και ποιες άλλες επιλογές έχετε

• Ποια στοιχεία αποτελούν τη νόμιμη συναίνεση

• Τι συμβουλή για τη συλλογή συναινέσεων δίνεται από την ομάδα εργασίας του άρθρου 29
και από το γραφείο του Επίτροπου Πληροφοριών

• Και πολλά άλλα

Θα παρουσιάσουμε επίσης πρακτικούς τρόπους να εφαρμόσετε αυτές τις αρχές στο πλαίσιο των ψηφιακών επιχειρήσεων και των αναλύσεων ιστού – μεταξύ άλλων θεμάτων, θα συζητήσουμε τις δυνατότητες των εργαλείων Διαχειριστή Συναίνεσεων.

Ακούγεται καλό? Ας αρχίσουμε!

Ποιες δραστηριότητες θα απαιτήσουν να αποκτηθεί συναίνεση;

Το πρώτο πράγμα που πιθανώς θέλετε να ξέρετε είναι το πότε πρέπει να λάβετε συναίνεση από τους χρήστες σας. Ορισμένες δραστηριότητες το απαιτούν, άλλες όχι. Ο κατάλογος των δραστηριοτήτων που μπορείτε να νομιμοποιήσετε με τη συναίνεση είναι:

1. Επεξεργασία δεδομένων προσωπικού χαρακτήρα: συγκεκριμένοι τρόποι χρήσης προσωπικών δεδομένων, όπως επαναληπτικό μάρκετινγκ, εξατομίκευση περιεχομένου, μάρκετινγκ ηλεκτρονικού ταχυδρομείου και πολλά άλλα

2. Χρήση ειδικών κατηγοριών δεδομένων: για παράδειγμα, σχετικά με τη φυλετική ή εθνοτική καταγωγή, τις πολιτικές απόψεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, την συμμετοχή σε συνδικαλιστικές οργανώσεις, τα γενετικά δεδομένα, τα βιομετρικά δεδομένα

3. Αυτοματοποιημένη διαδικασία λήψης αποφάσεων: όπως η δημιουργία προφίλ

4. Υπερπόντια μεταφορά δεδομένων: αυτό ισχύει κυρίως για εταιρείες που βρίσκονται εκτός της ΕΕ

Όπως μπορείτε να δείτε, η συναίνεση θα είναι πιθανώς μια κατάλληλη βάση για νόμιμη επεξεργασία δεδομένων για τις περισσότερες δραστηριότητες μάρκετινγκ ή τα μηνύματα – συμπεριλαμβανομένου του μάρκετινγκ μέσω ηλεκτρονικού ταχυδρομείου, του επαναληπτικού μάρκετινγκ, της προώθησης, της εξατομίκευσης και άλλων δημοφιλών τακτικών για την ενίσχυση του ενδιαφέροντος για το εμπορικό σήμα σας.

Ωστόσο, είναι σημαντικό να γνωρίζουμε ότι υπάρχουν περισσότεροι λόγοι για τη νόμιμη επεξεργασία δεδομένων.

Πέντε ακόμη λόγοι για την επεξεργασία δεδομένων χρήστη

Το Γραφείο του Επίτροπου Πληροφοριών συνιστά ότι:

Η συναίνεση είναι μια νόμιμη βάση για την επεξεργασία, αλλά υπάρχουν εναλλακτικές λύσεις. Η συναίνεση δεν είναι εγγενώς καλύτερη ή πιο σημαντική από αυτές τις εναλλακτικές λύσεις. Εάν η συναίνεση είναι διφορούμενη, θα πρέπει να χρησιμοποιήσετε μια εναλλακτική λύση.

Η συναίνεση είναι κατάλληλη αν μπορείτε να προσφέρετε στον κόσμο πραγματική επιλογή και έλεγχο του τρόπου με τον οποίο χρησιμοποιείτε τα δεδομένα τους και θέλετε να οικοδομήσετε την εμπιστοσύνη και τη δέσμευσή τους. Αλλά αν δεν μπορείτε να προσφέρετε πραγματική επιλογή, η συναίνεση δεν είναι η αρμόζουσα για τήρηση των όρων του GDPR. Εάν έτσι κι αλλιώς θα συνεχίσετε να επεξεργάζεστε τα προσωπικά τους δεδομένα χωρίς συναίνεση, το να ζητάτε συναίνεση είναι παραπλανητικό και εγγενώς άδικο.

Τώρα δώστε προσοχή! Οι εξαιρέσεις και οι καταστάσεις όπου η συναίνεση δεν είναι κατάλληλη είναι πολύ περιορισμένες. Οι περισσότερες επιχειρήσεις που βρίσκονται αντιμέτωπες με τον καταναλωτή θα πρέπει να λάβουν συναίνεση.

Ακολουθούν ορισμένοι άλλοι τύποι νομικών λόγων για την επεξεργασία προσωπικών δεδομένων που αναφέρονται στο GDPR:

1) Συμβόλαιο με το άτομο: για παράδειγμα, όταν παρέχετε αγαθά ή υπηρεσίες που ζητούνται από ένα υποκείμενο των δεδομένων ή πρέπει να εκπληρώσετε μια υποχρέωση που απορρέει από σύμβαση εργασίας

2) Συμμόρφωση με μια νομική υποχρέωση: όταν η επεξεργασία ενός συγκεκριμένου τύπου δεδομένων είναι μια νομική απαίτηση που πρέπει να εκπληρώσετε (για παράδειγμα: επεξεργασία ποινικού μητρώου)

3) Ζωτικά συμφέροντα: για παράδειγμα, εάν η επεξεργασία δεδομένων θα προστατεύσει τη φυσική ακεραιότητα ή τη ζωή κάποιου ατόμου – αυτό ισχύει ιδιαίτερα για τις δραστηριότητες υγειονομικής περίθαλψης και ασφάλισης

4) Δημόσια καθήκοντα: για παράδειγμα, για την εκτέλεση επίσημων λειτουργιών ή καθηκόντων γενικού συμφέροντος. Αυτό ισχύει για τις δημόσιες αρχές (κυβερνητικά τμήματα, σχολεία, νοσοκομεία και αστυνομία)

5) Δικαιολογημένα συμφέροντα: όταν μια οργάνωση ιδιωτικού τομέα έχει πραγματικό λόγο για την επεξεργασία προσωπικών δεδομένων χωρίς συναίνεση, δεδομένου ότι το ενδιαφέρον τους δεν αντισταθμίζεται από αρνητικές επιπτώσεις στα δικαιώματα και τις ελευθερίες του ατόμου

Φαίνεται ότι η τελευταία από αυτές τις επιλογές – το δικαιολογημένο συμφέρον – μπορεί να είναι ένας καλός τρόπος για τη λήψη συναίνεσης στην περίπτωση ιδιωτικών επιχειρήσεων. Ωστόσο, εάν σκέφτεστε να βασιστείτε σε αυτό, θα πρέπει να γνωρίζετε ότι:

• Θα πρέπει να αποδείξετε ότι τα συμφέροντά σας και τα συμφέροντα των συγκεκριμένων ατόμων είναι ισορροπημένα

• Η αξιολόγηση αυτή πρέπει να τεκμηριώνεται και μπορεί να αμφισβητηθεί από ιδιώτες ή δημόσιες αρχές

• Οι χρήστες πρέπει να ενημερώνονται ότι επεξεργάζεστε τα προσωπικά τους δεδομένα (μπορείτε να συμπεριλάβετε αυτές τις πληροφορίες στην Πολιτική απορρήτου)

• Θα χρειαστεί να επιτρέψετε στους χρήστες σας να αντιταχθούν στην επεξεργασία δεδομένων

Τι σημαίνει «συναίνεση»;

Μπορεί να θέλετε να μάθετε πώς ο νέος νόμος περιγράφει τη συναίνεση. Το άρθρο 4 παράγραφος 11 του GDPR ορίζει τα εξής:

Ως «συναίνεση» του υποκειμένου των δεδομένων νοείται κάθε ελεύθερη, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη ένδειξη των επιθυμιών του προσώπου στο οποίο αναφέρονται τα δεδομένα, με την οποία αυτός, με δήλωση ή με σαφή και φανερή ενέργεια, συμφωνεί με την επεξεργασία των προσωπικών δεδομένων που αφορούν αυτόν ή αυτή.

Όπως καταλαβαίνετε, αυτός ο ορισμός είναι αρκετά γενικός και δεν σας παρέχει συμβουλές για την εφαρμογή της στρατηγικής συμμόρφωσής σας.

Αλλά απογοητεύεστε! Ευτυχώς, υπάρχουν πολλά έγγραφα και οδηγίες που ρίχνουν φως στις διατάξεις του GDPR.

Συναίνεση όπως γίνεται αντιληπτή από την ομάδα εργασίας του άρθρου 29

Ένα από τα πιο γνωστά σχόλια σχετικά με το GDPR είναι αυτό που συνέταξε η ομάδα εργασίας του άρθρου 29. Οι “Κατευθυντήριες γραμμές σχετικά με τη συναίνεση βάσει του κανονισμού 2016/679″ περιλαμβάνουν μια επισκόπηση των στοιχείων έγκυρης συναίνεσης που περιγράφονται στο άρθρο 4 παράγραφος 11 του GDPR («ελεύθερη», «συγκεκριμένη», «ενημερωμένη» και «αναμφισβήτητα υποδεικνυόμενη»).

Εδώ μπορείτε να μάθετε τι έχει να πει η ομάδα εργασίας του άρθρου 29 σχετικά με τα συγκεκριμένα επίθετα που χρησιμοποιούνται στον ορισμό:

“Ελεύθερη”

Το στοιχείο «ελεύθερο» συνεπάγεται πραγματική επιλογή και έλεγχο για τα υποκείμενα των δεδομένων. Κατά γενικό κανόνα, το GDPR ορίζει ότι εάν το υποκείμενο των δεδομένων δεν έχει πραγματική επιλογή, αισθάνεται υποχρεωμένο να συναινέσει ή ότι θα υποστεί αρνητικές συνέπειες εάν δεν συναινέσει, τότε η συναίνεση δεν είναι έγκυρη. Εάν η συναίνεση συνοδεύεται ως μη διαπραγματεύσιμο μέρος των όρων και προϋποθέσεων, θεωρείται ότι δεν δίνεται ελεύθερα.

Κατά συνέπεια, η συναίνεση δεν θα θεωρείται ελεύθερη εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς βλάβη. Η έννοια της ανισορροπίας μεταξύ του υπεύθυνου επεξεργασίας και του υποκειμένου των δεδομένων λαμβάνεται επίσης υπόψη από το GDPR.

Αυτό το σημείο είναι ιδιαίτερα χρήσιμο, διότι διευκολύνει τον προσδιορισμό του κατά πόσον οι επισκέπτες στον ιστότοπό σας είναι σε θέση να αποφασίσουν ελεύθερα εάν θέλουν να επεξεργαστείτε τα δεδομένα τους. Αυτό δεν συμβαίνει με τους υπεύθυνους επεξεργασίας δεδομένων που είναι δημόσιες αρχές και εργοδότες – η εξισορρόπηση εξουσίας είναι υπερβολικά μεγάλη και υπάρχει ο κίνδυνος οι συγκαταθέσεις των χρηστών να μην είναι πλήρως εθελοντικές. Σε αυτές τις περιπτώσεις, οι οργανισμοί πρέπει να χρησιμοποιούν ένα από τα άλλα νόμιμα μέσα επεξεργασίας.

Επίσης, είναι σημαντικό να τονιστεί ότι η συναίνεση δεν πρέπει ποτέ να αντιμετωπίζεται ως προϋπόθεση για τη χρήση του ιστότοπού σας ή για την αξιοποίηση των υπηρεσιών σας – για παράδειγμα, δεν μπορεί να συμπεριληφθεί στους όρους και τις προϋποθέσεις ενός ιστότοπου. Αυτό είναι ένα παράδειγμα μιας περίπτωσης όπου ο χρήστης δεν έχει ελεύθερη επιλογή όταν λαμβάνει αποφάσεις σχετικά με τη συναίνεση.

Σημαντική συμβουλή

Εάν δεν μπορείτε να παρέχετε στους χρήστες σας μια πραγματικά ελεύθερη επιλογή όσον αφορά την επεξεργασία των δεδομένων τους, η συναίνεση δεν είναι ο καλύτερος νομικός τρόπος που μπορείτε να επιλέξετε. Σε αυτό το σενάριο, θα πρέπει να αναζητήσετε άλλους τρόπους για να δικαιολογήσετε το δικαίωμά σας να επεξεργάζεστε τα προσωπικά δεδομένα των χρηστών.

‘Συγκεκριμένη’

Το άρθρο 6 παράγραφος 1α επιβεβαιώνει ότι η συναίνεση του υποκειμένου των δεδομένων πρέπει να δίδεται σε σχέση με «έναν ή περισσότερους συγκεκριμένουν σκοπούς» και ότι το υποκείμενο των δεδομένων έχει τη δυνατότητα επιλογής σε σχέση με καθέναν από αυτούς. Η απαίτηση ότι η συναίνεση πρέπει να είναι «συγκεκριμένη» αποσκοπεί στο να εξασφαλίσει ένα βαθμό ελέγχου του χρήστη και διαφάνεια για το υποκείμενο των δεδομένων. Η απαίτηση αυτή δεν έχει αλλάξει από το GDPR και εξακολουθεί να συνδέεται στενά με την απαίτηση της «ενημερωμένης» συναίνεσης. Ταυτόχρονα, πρέπει να ερμηνεύεται σύμφωνα με την απαίτηση να αποκτάται η «ελεύθερη» συναίνεση. Εν ολίγοις, για να συμμορφωθεί με το στοιχείο του «συγκεκριμένου», ο ελεγκτής πρέπει να εφαρμόζει:

• Προδιαγραφή του σκοπού ως εγγύηση κατά της υφέρπουσας διεύρυνσης των λειτουργιών

• Γραμμικότητα στις αιτήσεις συναίνεσης, και

• Σαφής διαχωρισμός των πληροφοριών που σχετίζονται με τη λήψη συναίνεσης για δραστηριότητες επεξεργασίας δεδομένων από πληροφορίες σχετικά με άλλα θέματα

Όπως μπορείτε να δείτε, οι οδηγίες του άρθρου 29 σας συμβουλεύουν να επισημάνετε κάθε πιθανό σκοπό για τη χρήση των δεδομένων του χρήστη. Με αυτό τον τρόπο μπορείτε να είστε βέβαιοι ότι λαμβάνετε «συγκεκριμένη» συναίνεση για έναν συγκεκριμένο τρόπο επεξεργασίας δεδομένων χρήστη. Στην πράξη, αυτό σημαίνει ότι θα χρειαστείτε ξεχωριστή συναίνεση για κάθε χρήση προσωπικών δεδομένων. Για παράδειγμα:

• μία για δραστηριότητες προσωποποίησης περιεχομένου

• μία άλλη για καμπάνιες επαναληπτικού μάρκετινγκ. Ιδιαίτερη προσοχή στο σημείο αυτό σε όσους κάνουν διαφήμιση στο facebook ή διαφήμιση στο Google και σε άλλα social media ειδικά σε περιπτώσεις που χρησιμοποιούνται τακτικές όπως το google remarketing και το facebook remarketing

• μία για τη χρήση cookies πρώτου μέρους

• μία άλλη για cookies τρίτου μέρους

• και ούτω καθεξής…

Όλα αυτά θα πρέπει να αναφέρονται στο πλαίσιο αίτησης συναίνεσης που εμφανίζεται στους χρήστες όταν επισκέπτονται τον ιστότοπό σας για πρώτη φορά.

Ωστόσο, είναι πιθανό να μην απαιτεί κάθε λόγος για τη χρήση προσωπικών δεδομένων την άμεση συναίνεση του χρήστη.

Ορισμένοι εμπειρογνώμονες υποδεικνύουν ότι ο εξελισσόμενος κανονισμός σχετικά με την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες (γνωστός επίσης ως «ιδιωτικό απόρρητο») θα αποκλείει, για παράδειγμα, τα cookies που χρησιμοποιούνται αποκλειστικά για λόγους αναλύσεων.Για τα cookies μπορείτε να διαβάσετε σχετικό μας άρθρο εδώ

Δυστυχώς, ακόμα περιμένουμε να δούμε πώς θα ξεδιπλωθούν τα πάντα κατά την τελική μορφή του κανονισμού. Μέχρι τότε, είναι ασφαλέστερο να υποθέσουμε ότι η χρήση των ιχνηλατών ανάλυσης ιστού θα απαιτήσει επίσης συναίνεση.

• Πώς επηρεάζει το ePrivacy τον Αυτοματισμό του Μάρκετινγκ, την Επαναγορά, την Προσωποποίηση και τα Web Analytics

• Τρέχουσα κατάσταση του κανονισμού ePrivacy καθώς εισέρχεται στην τελική ευθεία

Σημαντική συμβουλή

Βεβαιωθείτε ότι το αίτημα συναίνεσης για cookies σας παραθέτει κάθε σκοπό για τον οποίο χρησιμοποιείτε τα προσωπικά δεδομένα. Διαφορετικά, δεν μπορείτε να πείτε ότι οι συγκαταθέσεις των χρηστών σας ήταν «συγκεκριμένες».

‘Ενημερωμένη’

Το GDPR ενισχύει την απαίτηση ότι η συναίνεση πρέπει να είναι ενημερωμένη. Βάσει του άρθρου 5 του GDPR, η απαίτηση για διαφάνεια είναι μία από τις θεμελιώδεις αρχές που συνδέονται στενά με τις αρχές της δικαιοσύνης και της νομιμότητας. Η παροχή πληροφοριών στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πριν από τη συναίνεσή τους είναι απαραίτητη προκειμένου να μπορέσουν να λάβουν τεκμηριωμένες αποφάσεις, να κατανοήσουν σε τι συμφωνούν και για παράδειγμα να ασκήσουν το δικαίωμά τους να αποσύρουν τη συναίνεση τους. Εάν ο ελεγκτής δεν παρέχει προσβάσιμες πληροφορίες, ο έλεγχος του χρήστη γίνεται ψευδής και η συναίνεση θα είναι μια μη έγκυρη βάση για επεξεργασία.

Η συνέπεια της μη συμμόρφωσης με τις απαιτήσεις για την ενημερωμένη συναίνεση είναι ότι η συναίνεση θα είναι άκυρη και ο υπεύθυνος της επεξεργασίας ενδέχεται να παραβιάζει το άρθρο 6 του GDPR.

Το πιο σημαντικό πράγμα εδώ είναι το γεγονός ότι πρέπει να εξηγήσετε σαφώς στους ανθρώπους τι υπογράφουν. Τα άτομα πρέπει να γνωρίζουν ότι συναινούν στη επεξεργασία των προσωπικών τους δεδομένων. Επιπλέον, πρέπει να ενημερώνονται για τα δικαιώματά τους, όπως το δικαίωμα να αποσύρουν τη συναίνεσή τους, το δικαίωμα να διορθώσουν τα δεδομένα τους και πολλά άλλα.

Επίσης, η αίτηση συναίνεσης χρειάζεται να είναι:

• ευνόητη
• προεξέχουσα
• συνοπτική
• ξεχωριστή από άλλους όρους και προϋποθέσεις, και
• να παρουσιάζεται σε απλή γλώσσα

Και αν το αίτημα συναίνεσης σας δεν πληρεί αυτές τις απαιτήσεις (εάν είναι ασαφές, δύσκολο να κατανοηθεί ή δεν διαχωρίζεται από άλλα θέματα), θα θεωρείται άκυρο.

‘Αδιαμφισβήτητη’

Το GDPR είναι σαφές ότι η συναίνεση απαιτεί δήλωση από το υποκείμενο των δεδομένων ή σαφή πράξη, που σημαίνει ότι πρέπει πάντα να δίνεται με ενεργό κίνηση ή δήλωση. Πρέπει να είναι προφανές ότι το υποκείμενο των δεδομένων έχει συναινέσει στη συγκεκριμένη επεξεργασία.

Η «σαφής οριστική πράξη» νοείται ότι το υποκείμενο των δεδομένων πρέπει να έχει προβεί σε σκόπιμη ενέργεια για να δώσει τη συγκατάθεσή του για τη συγκεκριμένη επεξεργασία. Η Απαγγελία 32 καθορίζει πρόσθετες κατευθυντήριες γραμμές για το θέμα αυτό. Η συναίνεση μπορεί να συγκεντρωθεί μέσω γραπτής ή (καταγεγραμμένης) προφορικής δήλωσης, συμπεριλαμβανομένων των ηλεκτρονικών μέσων.

Όπως μπορείτε να δείτε, η λέξη «αδιαμφισβήτητη» υποδηλώνει ότι δεν πρέπει να υπάρχει αμφιβολία ότι το υποκείμενο των δεδομένων έχει συμφωνήσει με την επεξεργασία δεδομένων.

Σε άλλο τμήμα των κατευθυντήριων γραμμών τους, η ομάδα εργασίας του άρθρου 29 παρέχει περισσότερες πληροφορίες σχετικά με το φάσμα των πιθανών μηχανισμών με τους οποίους τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μπορούν να λάβουν σαφή και φανερή δράση. Περιλαμβάνει:

• την σημείωση σε ενα τετραγωνίδιο
• το να σύρουν σε μια οθόνη αφής
• το να κουνήσουν τα χέρια τους μπροστά από μια έξυπνη κάμερα
• την στροφή ενός smartphone στη φορά των δεικτών του ρολογιού ή σε μια κίνηση στο σχήμα του αριθμού οκτώ

Αυτό σημαίνει ότι τα κουτιά που έχουν σημειωθεί προηγουμένως δεν είναι πλέον μια επιλογή.

Σημαντική συμβουλή

Δεν επιτρέπεται να χρησιμοποιείτε κουτιά που έχουν σημειωθεί προηγουμένως πριν από τη συλλογή της συναίνεσης των χρηστών. Αντ’ αυτού, θα πρέπει να αναζητήσετε μια λύση που θα επιτρέψει στο υποκείμενο των δεδομένων να εκφράσει τη θέλησή του με πιο ενεργό τρόπο – για παράδειγμα, σημειώνοντας ένα τετραγωνίδιο.

Κάποιες περισσότερες πληροφορίες σχετικά με τη φύση της συναίνεσης

Με βάση τις υποδείξεις που περιέχονται στο ίδιο το GDPR καθώς και σε σχόλια που συζητούν τον κανονισμό, έχουμε επίσης βρει μερικά ακόμη επίθετα που περιγράφουν τη συναίνεση των χρηστών στο GDPR.

Περιορισμένη χρονικά

Δεν υπάρχει κανένας ρητός κανόνας για το πόσο μπορείτε να διατηρήσετε τα προσωπικά δεδομένα. Ωστόσο, το GDPR δηλώνει ότι η συναίνεση δεν δίνεται μία για πάντα. Επομένως, σας συνιστούμε να αναφέρετε στη συναίνεσή σας το για πόσο χρόνο θα αποθηκεύσετε και θα επεξεργαστείτε τα προσωπικά δεδομένα.

Αναθεωρημένη

Από τεχνικής πλευράς, οι συμφωνίες πριν από το GDPR μπορούν να θεωρηθούν έγκυρες βάσει του νέου νόμου (εάν συμμορφώνονται με τις διατάξεις του κανονισμού). Ωστόσο, ένα από τα μεγαλύτερα προβλήματα είναι το να αποδείξετε ότι οι χρήστες είχαν την ευκαιρία να αποσύρουν τη συναίνεσή τους για την επεξεργασία των δεδομένων τους. Αυτό καθιστά πιθανό ότι θα πρέπει να συγκεντρώσετε όλες τις συναινέσεις από το μηδέν.

Πρακτικές συμβουλές σχετικά με τη συλλογή, τη διαχείριση και την αποθήκευση συναινέσεων στο GDPR

Ελπίζουμε να μην σας τρόμαξαν πάρα πολύ όλες αυτές οι απαιτήσεις. Φυσικά, οι νέες απαιτήσεις θα αλλάξουν πολλά πράγματα στον τρόπο με τον οποίο αντιμετωπίζετε τα δεδομένα, αλλά υπάρχουν πολλά πιθανά σενάρια για τη συμμόρφωση με τον νέο νόμο. Τώρα θα παρουσιάσουμε αυτά που πιστεύουμε ότι είναι οι ευκολότεροι και ασφαλέστεροι τρόποι για να τα καταφέρετε.

Τι πρέπει να συμπεριλάβετε στο μήνυμα

Ο Κανονισμός  GDPR δεν αναφέρει ρητά τι πρέπει να έχει ένα αίτημα συναίνεσης. Ωστόσο, κατά τη γνώμη μας μια από τις πιο απλές λύσεις θα είναι να την παρουσιάσετε σε ένα αναδυόμενο κουτί που εμφανίζεται στους επισκέπτες κατά την πρώτη τους επίσκεψη στην ιστοσελίδα. Είμαστε όλοι αρκετά συνηθισμένοι σε αυτά στο διαδίκτυο, έτσι;

Αν αποφασίσετε ότι το αίτημα συναίνεσή σας θα έχει τη μορφή κουτιού, θα πρέπει να περιλαμβάνει τις ακόλουθες πληροφορίες:

• το όνομα του οργανισμού σας (δηλαδή του υπεύθυνου επεξεργασίας δεδομένων)

• το όνομα οποιωνδήποτε τρίτων ελεγκτών που θα βασίζονται στη συναίνεση (αν χρειαστεί)

• τον λόγο επεξεργασίας των δεδομένων (γιατί θέλετε να τα χρησιμοποιήσετε)

• τον σκοπό της επεξεργασίας των δεδομένων (τι θα κάνετε με αυτά)

• τα είδη των προσωπικών δεδομένων που συλλέγετε

• πόσο καιρό σκοπεύετε να διατηρήσετε τα δεδομένα (πολιτική διατήρησης)

Παρέχοντας στους χρήστες σας όλα τα στοιχεία που παρουσιάστηκαν παραπάνω, θα συμμορφωθείτε με την υποχρέωση ότι η συναίνεση πρέπει να είναι ενημερωμένη. Επιπλέον, θα ευθυγραμμιστείτε με κάθε άλλη απαίτηση που περιγράφεται παραπάνω σε αυτόν τον οδηγό.

Σημαντική σημείωση

Να θυμάστε ότι για να είναι έγκυρη η συναίνεση, ο χρήστης πρέπει να γνωρίζει ότι μπορεί να την ανακαλέσει όποτε θέλει. Θεωρούμε ότι ο ευκολότερος τρόπος για να το διασφαλίσουμε αυτό είναι να βάλουμε έναν σύνδεσμο στην κατάλληλη φόρμα στη σελίδα Πολιτικής Απορρήτου. Θα το συζητήσουμε αργότερα.

Πώς θα πρέπει να αποθηκεύετε τις συναινέσεις; 

Η συλλογή συναινέσεων για την επεξεργασία δεδομένων είναι ένα πράγμα. Η σωστή τεκμηρίωση των συλλεγόμενων δεδομένων είναι κάτι άλλο. Για να αποδείξετε ότι έχετε λάβει νόμιμη συναίνεση από τους χρήστες σας, πρέπει να διατηρήσετε τις ακόλουθες εγγραφές:

• Ποιος έδωσε τη συναίνεση – το όνομα του ατόμου ή άλλο αναγνωριστικό (όπως διεύθυνση ηλεκτρονικού ταχυδρομείου, cookie ή αναγνωριστικό συσκευής)

• Πότε έδωσε τη συγκατάθεσή του – ένα ηλεκτρονικό αρχείο που περιλαμβάνει μια σφραγίδα χρόνου

• Σε τι συναίνεσε – ένας κατάλογος των ειδικών σκοπών για τη χρήση προσωπικών δεδομένων που συμφώνησε

• Εάν και πότε απέσυρε ή άλλαξε τη συναίνεσή του

Με αυτόν τον τρόπο, όχι μόνο θα μπορείτε να αποδείξετε στις αρχές ότι έχετε όλες τις σχετικές πληροφορίες. Θα είναι επίσης πολύ πιο εύκολο για σας να επεξεργαστείτε κάθε πιθανό αίτημα του υποκειμένου των δεδομένων που προκύπτει από τα δικαιώματά του, όπως:

• Δικαίωμα πρόσβασης (άρθρο 15)
• Δικαίωμα επανόρθωσης (άρθρο 16)
• Δικαίωμα διαγραφής (επίσης γνωστό ως δικαίωμα να ξεχαστεί) (άρθρο 17)
• Δικαίωμα περιορισμού της επεξεργασίας
(Άρθρο 18)
• Δικαίωμα στη φορητότητα δεδομένων (άρθρο 20)
• Δικαίωμα κατά της επεξεργασίας (αρθρο 21)

Όσοι από εσάς σκοπεύετε να κατασκευάσετε μια ιστοσελίδα και πολύ περισσότερο να κατασκευάσετε ένα eshop / ηλεκτρονικό κατάστημα θα πρέπει να μιλήσετε με τον web designer σας και να βεβαιωθείτε ότι στην ομάδα εργασίας που θα αναλάβει το project σας υπάρχουν και αυτοί που θα αναλάβουν το GDPR. Μην κάνετε το λάθος να θεωρήσετε ότι ένα πρόσθετο / εργαλείο που θα περάσουν φτάνουν να ικανοποιηθούν οι συνθήκες που αναφέραμε προηγουμένως. Για να φτάσατε να διαβάσατε το άρθρο μέχρι του σημείου αυτού σίγουρα έχετε κατανοήσει την πολυπλοκότητα του ζητήματος. Η ιστοσελίδα και το eshop σας είναι η επιχείρηση σας και μάλιστα η δημόσια βιτρίνα της επιχείρησης σας άρα και είναι η πιο ευάλωτη συνυπολογίζοντας το γεγονός της ροής δεδομένων σε αυτή. Από μια φόρμα επικοινωνίας, από ένα email σε αυτή μέχρι και η ύπαρξη ενός απλού κώδικα google analytics μπορεί να σας καταστήσει υπόχρεους σε ένα πρόστιμο ίσο με το 4% του τζίρου σας και την βύθιση του κύρους της εταιρείας σας μην συνυπολογίζοντας τις αγωγές που θα προκύψουν από πελάτες – καταναλωτές σας. Η άγνοια κινδύνου επιτρέπεται σε παιδιά αλλά όχι σε ενηλίκους και σίγουρα όχι σε ανθρώπους που δραστηριοποιούνται στην αγορά και επιθυμούν να μακροημερεύσουν σε αυτήν.

Κλείνοντας να τονίσουμε ότι στο blog μας έχουμε ειδική κατηγορία άρθρων για το GDPR που μπορείτε να διαβάσετε εδώ

Σε συνεργασία με το Πανεπιστήμιο Πειραιώς μπορείτε να παρακολουθήσετε εξ’ αποστάσεως το elearning πρόγραμμα για τον κανονισμό gdpr που έχω την τιμή και χαρά να διδάσκω εκεί.

Ελπίζουμε να σας βοηθήσαμε να καταλάβετε την έννοια της συναίνεσης στον GDPR και ο οδηγός μας να αποτελέσει ένα πολύτιμο βοήθημα στα χέρια κάποιου που είναι ή φιλοδοξεί να εργαστεί σαν data protection officer – υπεύθυνος προσωπικών δεδομένων.

Για την dreamweaver.gr

Θανάσης Δαβαλάς

210 77 13 284

FB

LinkedIn

Data Protection Officer , ,