Άρθρα

GDPR και cookies.

GDPR και cookies | Τι χρειάζεται να γνωρίζω; | Συμμορφώνεται η ιστοσελίδα μου με την χρήση cookies;
________________________________________

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) και η Οδηγία για την προστασία ιδιωτικής ζωής (ePR) επηρεάζουν το πώς μπορείτε ως ιδιοκτήτης ιστοσελίδας να χρησιμοποιήσετε cookies και online tracking επισκεπτών από την ΕΕ.

Η Ευρωπαϊκη νομοθεσία για τη διαχείριση προσωπικών δεδομένων, ο Γενικός Κανονισμός Προστασίας Δεδομένων , αναφέρεται συχνά ως GDPR.
Πώς επηρεάζει ο GDPR τα cookies και το online tracking σας? Πώς μπορείτε να συμμορφωθείτε? Και πώς επηρεάζει την πολιτική cookies σας και τη συγκατάθεση σε cookies σας?

Σε αυτό το άρθρο προσφέρουμε μία αναλυτική εισαγωγή στον GDPR και έναν πρακτικό οδηγό σχετικά με το τι σημαίνουν οι νέοι κανόνες για εσάς και τη ιστοσελίδα σας. Σαν dreamweaver.gr έχουμε φροντίσει σχολαστικά  ώστε οι προσφάτως κατασκευασθέντες ιστοσελίδες μας καθώς και τα ηλεκτρονικά μας καταστήματα / eshop να διαθέτουν τις τεχνολογίες που απαιτούνται από τον νέο κανονισμό gdpr προκειμένου να είναι συμβατά με τον νέο γενικό κανονισμό προστασίας προσωπικών δεδομένων

GDPR και cookies

Ο GDPR είναι ένα σύνολο Ευρωπαϊκών κανονισμών που αντιπροσωπεύουν την πιο σημαντική πρωτοβουλία προστασίας δεδομένων εδώ και 20 χρόνια.

Ο σκοπός του είναι να προστατεύσει “φυσικά πρόσωπα όσον αφορά την επεξεργασία προσωπικών δεδομένων και την ελεύθερη κυκλοφορία τέτοιων δεδομένων ”, π.χ. το χρήστη μίας ιστοσελίδας.

Τα cookies αναφέρονται μία φορά στον 88 σελίδων κανονισμό. Αυτές οι λίγες γραμμές, παρόλα αυτά, έχουν σημαντική επίδραση στη συμμόρφωση όσον αφορά τα cookies:

(30): “Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας […]όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία […].Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.”

Με άλλα λόγια: όταν τα cookies μπορούν να ταυτοποιήσουν ένα άτομο, θεωρούνται προσωπικά δεδομένα.

Τι γίνεται με τα cookies επιτέλους;

Τα cookies είναι μικρά αρχεία που τοποθετούνται αυτόματα στον υπολογιστή σας όσο περιηγείστε στο διαδίκτυο. Από μόνα τους, είναι αβλαβή κομμάτια κειμένου που αποθηκεύονται τοπικά και μπορούν να ειδωθούν και διαγραφούν με ευκολία.
Τα cookies ωστόσο μπορούν να παρέχουν πολλές πληροφορίες σχετικά με τη δραστηριότητα και τις προτιμήσεις σας και μπορούν να χρησιμοποιηθούν ώστε να σας ταυτοποιήσουν χωρίς τη ρητή συγκατάθεσή σας.

Αυτό συνιστά μία μεγάλη παράβαση από νομικής άποψης και, καθώς οι τεχνολογίες δεδομένων γίνονται όλο και πιο εξελιγμένες, η ιδιωτικότητά σας ως χρήστη τίθεται όλο και περισσότερο σε κίνδυνο.

Τα cookies συχνά δεν προέρχονται καν απο την ιστοσελίδα που επισκέπτεστε αλλά από τρίτους που σας παρακολουθούν για εμπορικούς σκοπούς. Όλα αυτά λαμβάνουν χώρα στα “παρασκήνια”.

Αν και δε χρησιμοποιούνται όλα τα cookies με τρόπο που θα μπορούσε να ταυτοποιήσει χρήστες, η πλειοψηφία (και τα πιο χρήσιμα στους ιδιοκτήτες ιστοσελίδων) το κάνουν και υπόκεινται επομένως στον GDPR.

Cookies για υπηρεσίες ανάλυσης, διαφήμισης και λειτουργίας, όπως εργαλεία ερευνών και chat, είναι όλα παραδείγματα cookies που μπορούν να ταυτοποιήσουν χρήστες.

Το πρόβλημα με τα cookies είναι τόσο η ιδιωτικότητα – τι καταγράφεται; – και η διαφάνεια – ποιός σας ακολουθεί, για ποιό σκοπό, πού πηγαίνουν τα δεδομένα και πόσο καιρό παραμένουν;

Απαιτήσεις: Πώς εξασφαλίζετε ότι η ιστοσελίδα και τα cookies σας συμμορφώνεται με τον GDPR?

Ως ιδιοκτήτης ιστοσελίδας, η λήψη μέτρων προς συμμόρφωση σημαίνει την εξέταση των σχετικών με δεδομένα διαδικασιών σας και την εξασφάλιση του ότι η διαχείριση προσωπικών δεδομένων είναι σύμφωνη με τους νέους κανονισμούς .

Δείτε επίσης την ενημερωτική σελίδα από την ΕΕ: Προστασία δεδομένων: Καλύτεροι κανόνες για μικρές επιχειρήσεις

Ο Γενικός Κανονισμός Προστασίας Δεδομένων θεωρεί ένα όνομα, μία φωτογραφία, μία διεύθυνση ηλεκτρονικού ταχυδρομείου, τραπεζικές πληροφορίες, αναρτήσεις σε ιστοσελίδες κοινωνικής δικτύωσης, ιατρικά δεδομένα ή μία διεύθυνση IP προσωπικά δεδομένα.
Εάν η ιστοσελίδα ή ο οργανισμός σας επεξεργάζεται δεδομένα που είναι

(α) άμεσα προσωπικής φύσης, ή

(β) μπορούν να συνδυαστούν ή απομονωθούν προκειμένου να ταυτοποιήσουν ένα πρόσωπο, πρέπει να αναθεωρηθεί ώστε να πληρεί τις προϋποθέσεις.

Ελέγξετε και αξιολογήστε τα ευαίσθητα δεδομένα στον οργανισμό σας, επιθεωρήστε τις πολιτικές ασφαλείας σας και εξασφαλίστε οτι τα δεδομένα είναι ασφαλή.

Τα δύο βασικά σημεία που πρέπει να έχετε υπόψην σας είναι:

• Πώς αποθηκεύετε δεδομένα πελατών και χρηστών στον οργανισμό σας, και
• Τα cookies στην ιστοσελίδα σας (first-party και third-party εξίσου).

Η προσαρμογή της πολιτικής cookies και της συγκατάθεσης σε cookies σας είναι ένα σημαντικό κομμάτι αυτής της διαδικασίας.

Ποια στοιχεία πρέπει να υπάρχουν σε μία συγκατάθεση σε cookies που συμμορφώνεται με τον GDPR;

Κάθε διαφημιστική ενέργεια στο internet που στηρίζεται στην χρήση cookies όπως ενδεικτικά η διαφήμιση στο facebook μέσω facebook remarketing ή η διαφήμιση στο Google μέσω google remarketing σας επηρεάζει άμεσα. Σε ορισμένες περιπτώσεις και αναλόγως των τακτικών που χρησιμοποιείται για την προώθηση της ιστοσελίδας σας ή την προώθηση του ηλεκτρονικού σας καταστήματος χρησιμοποιούνται cookies και πρέπει να βεβαιωθείτε ότι δεν θα υποστείτε ένα βαρύτατο πρόστιμο που ανέρχεται στο 4% του τζίρου σας επειδή ο διαφημιστής δεν έχει συμμορφώσει τις πολιτικές του με τις απαιτήσεις του gdpr

Μία από τις πλέον χειροπιαστές απαιτήσεις του GDPR είναι ο ορισμός του τι αποτελεί μία κατάλληλη συγκατάθεση σε cookies, το οποίο σημαίνει ότι η συγκατάθεση πρέπει να είναι:

• Ενημερωμένη: Γιατί, πώς και πού χρησιμοποιούνται τα προσωπικά δεδομένα; Πρέπει να είναι ξεκάθαρο στο χρήστη σε τι συναινεί και πρέπει να είναι εφικτό να αποδεχθεί ή μη τα διάφορα είδη cookies.
• Βασισμένη σε πραγματική επιλογή: Αυτό σημαίνει, για παράδειγμα, οτι ο χρήστης πρέπει να έχει πρόσβαση στην ιστοσελίδα και τις λειτουργίες της ακόμη και όταν έχουν απορριφθεί όλα τα cookies εκτός από τα απολύτως απαραίτητα.
• Να παρέχεται μέσω καταφατικής θετικής δράσης που δεν μπορεί να παρερμηνευθεί.
• Να παρέχεται πριν απο την αρχική επεξεργασία των προσωπικών δεδομένων.
• Να μπορεί να αποσυρθεί. Πρέπει να είναι εύκολο για το χρήστη να αλλάξει γνώμη και να αποσύρει τη συγκατάθεσή του/της.

Επιπλέον,

• Ο χρήστης έχει δικαίωμα στη λήθη. Μετά απο αίτημα του χρήστη, όλα τα προσωπικά δεδομένα του/της πρέπει να διαγράφονται.
• Όλες οι παρασχεθείσες συγκαταθέσεις πρέπει να καταγράφονται προς τεκμηρίωση.

Τι είναι μία ειδοποίηση cookies που συμμορφούται με τον GDPR;

Οι ανωτέρω απαιτήσεις καθιστούν τις περισσότερες ειδοποιήσεις για cookies σε χρήση πριν από την εφαρμογή του GDPR παρωχημένες.
Για παράδειγμα, η σιωπηρή συγκατάθεση και η συγκατάθεση απλά μέσω της επίσκεψης μίας ιστοσελίδας δεν είναι πλέον επαρκείς.
Το ίδιο ισχύει για pop-ups και banners που δηλώνουν οτι ‘Με τη χρήση αυτής της ιστοσελίδας αποδέχεστε τα cookies’.
Ένα απλό κουμπί ΟΚ για την αποδοχή των cookies επίσης δεν επαρκεί .
Αυτό π.χ. δεν είναι αρκετό:

 

Παράδειγμα banner συγκατάθεσης σε cookies που συμμορφούται με τον GDPR

Αυτή είναι η ειδοποίηση της Cookiebot που ζητά συγκατάθεση για την τοποθέτηση cookies συμμορφούμενη με τον GDPR και την ePrivacy:

Συμμορφώνεται με τους κανονισμούς λόγω των παρακάτω:

• Πρώτα απ’όλα, παρόλο που δεν είναι εμφανές δια γυμνού οφθαλμού, όλα τα scripts εκτός από τα απολύτως απαραίτητα είναι σε παύση μέχρι να παρασχεθεί η συγκατάθεση στα cookies. Το χαρακτηριστικό αυτό ονομάζεται ‘πρότερη συγκατάθεση’ και είναι απαίτηση τόσο του GDPR όσο και της Οδηγίας e-Privacy. Στον GDPR πρέπει να υπάρχει συγκατάθεση για την τοποθέτηση cookies που παρακολουθούν προσωπικά δεδομένα, ενώ στην Οδηγία ePrivacy απαιτείται συγκατάθεση του χρήστη πριν από την τοποθέτηση κάθε είδους cookies άλλου από τα απολύτως απαραίτητα.
• Οι πληροφορίες σχετικά με τα cookies είναι ακριβείς και συγκεκριμένες και παρέχονται σε σαφή και απλή γλώσσα, όλα απαιτήσεις του GDPR.
• Εάν ο χρήστης επιλέξει να εμφανιστούν οι λεπτομέρειες, η ειδοποίηση επεκτείνεται σε μία πλήρη επισκόπηση όλων των ενεργών cookies και online tracking που χρησιμοποιούνται στην ιστοσελίδα. Η λίστα βασίζεται σε μηνιαίο έλεγχο όλων των σελίδων της ιστοσελίδας που ανιχνεύει και αναγνωρίζει όλα τα cookies και τις γνωστές τεχνολογίες tracking που χρησιμοποιούνται στην ιστοσελίδα. Τα cookies παρουσιάζονται ολοκληρωμένα με περιγραφές προέλευσης, διάρκειας και σκοπού.
• Τα cookies ομαδοποιούνται σε τέσσερις αναλυτικές κατηγορίες τις οποίες ο χρήστης μπορεί να επιλέξει ή όχι. Τα απαραίτητα cookies δεν μπορούν να μην επιλεγούν, επειδή είναι whitelisted και απαραίτητα για τη σωστή λειτουργία της ιστοσελίδας. Οι κατηγορίες cookies που δε διαχειρίζονται προσωπικά δεδομένα μπορούν να είναι προεπιλεγμένες ενώ αυτές που διαχειρίζονται πρέπει να επιλεγούν ενεργητικά απο το χρήστη προκειμένου να υπάρχει συμμόρφωση.
• Στο συγκεκριμένο παράδειγμα, τα cookies για προτιμήσεις και στατιστικά στην ιστοσελίδα δε διαχειρίζονται προσωπικά δεδομένα και μπορούν επομένως να είναι προεπιλεγμένα. Τα marketing cookies παρακολουθούν προσωπικά δεδομένα και είναι επομένως μη επιλεγμένα ως προεπιλογή.
• Ο χρήστης έχει πρόσβαση στη συγκατάθεσή του στην ιστοσελίδα και μπορεί ανά πάσα στιγμή να αλλάξει γνώμη ως προς τη συγκατάθεση και να επιλέξει να την αποσύρει.
• Όλες οι παρασχεθείσες συγκαταθέσεις είναι αποθηκευμένες με ασφάλεια ως τεκμηρίωση οτι η συγκατάθεση έχει παρασχεθεί, άλλη μία απαίτηση του GDPR.
• Κάθε 12 μήνες από την πρώτη επίσκεψη του χρήστη στην ιστοσελίδα η συγκατάθεση εμφανίζεται ξανά ζητώντας ανανέωση.

Πώς κάνω την πολιτική cookies μου συμβατή με τον GDPR;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων σημαίνει οτι θα πρέπει να αναθεωρήσετε την πολιτική cookies σας ώστε να είναι σύμφωνη με τους κανονισμούς.
Ο GDPR και η Οδηγία ePrivacy της ΕΕ απαιτούν πρότερη ενημερωμένη συγκατάθεση από τους χρήστες της ιστοσελίδας σας και ο GDPR απαιτεί να τεκμηριώνετε κάθε συγκατάθεση.

Ταυτόχρονα, πρέπει να μπορείτε να εξηγήσετε ποια δεδομένα χρηστών μοιράζεστε με ενσωματωμένες υπηρεσίες τρίτων στην ιστοσελίδα σας και πού αποστέλλονται τα στοιχεία χρηστών στον κόσμο.

Μία πολιτική cookies GDPR και ePrivacy πρέπει να συμμορφώνεται με τις ακόλουθες απαιτήσεις:

Διαφανής πολιτική cookies

Μία συμμορφούμενη πολιτική cookies πρέπει να δίνει στο χρήστη μία ξεκάθαρη και ακριβή εικόνα του πώς χρησιμοποιούνται τα cookies στην ιστοσελίδα ανά πάσα στιγμή. Το να είναι η πολιτική cookies γραμμένη σε απλή και κατανοητή γλώσσα είναι μία από τις απαιτήσεις.

Επισκόπηση και ευθύνη για cookies στην ιστοσελίδα σας

Μπορεί να υποβληθείτε σε ελέγχους και να απαιτηθεί να λογοδοτήσετε αναλυτικά για τις διεργασίες δεδομένων που πραγματοποιούνται αναφορικά με την ιστοσελίδα σας.Αυτό γίνεται πιο δύσκολα από οτι λέγεται αφού οι περισσότερες ιστοσελίδες έχουν ένα μεγάλο αριθμό cookies τρίτων να ρέουν διαμέσου του συστήματός τους.

Ζητείται συγκατάθεση μέσω θετικής δράσης

Η μεγαλύτερη αλλαγή της GDPR όσον αφορά τα cookies και το online tracking είναι το ότι η συγκατάθεση πρέπει να δίνεται μέσω ξεκάθαρης θετικής δράσης.
Οι πολίτες της ΕΕ έχουν συνηθίσει –παρόλο που πιθανώς τους ενοχλούν ελαφρώς- τα banners σε όλες τις ιστοσελίδες που ανακοινώνουν τη χρήση cookies, μερικές φορές ζητώντας την επιλογή του OK αλλά χωρίς να προσφέρουν πραγματική επιλογή.
Αυτό δεν είναι επαρκές με τους κανονισμούς. Η συγκατάθεση πρέπει να δοθεί ως καταφατική θετική δράση και η απόρριψη των cookies πρέπει να είναι μία πραγματική επιλογή.

Δυνατότητα απόσυρσης της συγκατάθεσης ανά πάσα στιγμή

Ο χρήστης πρέπει να έχει τη δυνατότητα να αποσύρει τη συγκατάθεσή του/της.
Είναι επομένως σημαντικό το να εξασφαλιστεί οτι οι χρήστες έχουν πρόσβαση στην παρούσα κατάσταση συγκατάθεσής τους ανά πάσα στιγμή και μπορούν να αλλάξουν τις ρυθμίσεις ή να αποσύρουν συνολικά τη συγκατάθεσή τους.

Ανανέωση της συγκατάθεσης

Η συγκατάθεση πρέπει να ανανεώνεται κάθε 12 μήνες από την πρώτη επίσκεψη του χρήστη στην ιστοσελίδα.
Φιλικός στο χρήστης διάλογος χωρίς περιττά στοιχεία
Μία πρόκληση του GDPR είναι το οτι από τη μία, η χρήση των cookies πρέπει να είναι διαφανής και οι χρήστες πρέπει να έχουν στη διάθεσή τους πληροφόρηση σχετικά με το πώς χρησιμοποιούνται τα δεδομένα τους.
Από την άλλη, ωστόσο, η επικοινωνία πρέπει να είναι ξεκάθαρη και εύκολα κατανοητή ώστε ο χρήστης να έχει πραγματική επιλογή.

Πρότερη συγκατάθεση

Με τον GDPR και την Οδηγία ePrivacy, η συγκατάθεση του χρήστη πρέπει να δοθεί πριν την τοποθέτηση των cookies. Στον GDPR απαιτείται πρότερη συγκατάθεση για την τοποθέτηση cookies που παρακολουθούν προσωπικά δεδομένα, ενώ η Οδηγία ePrivacy είναι ακόμη πιο ευρεία και απαιτεί τη λήψη συγκατάθεσης για την τοποθέτηση όλων των cookies, εκτός από τα απολύτως απαραίτητα.
Οι συγκαταθέσεις πρέπει να καταγράφονται ως αποδείξεις
Όλες οι συγκαταθέσεις πρέπει να αποθηκεύονται με ασφάλεια ώστε να μπορούν να χρησιμοποιηθούν ως αποδείξεις σε περίπτωση ελέγχου.

Μπορώ να χρησιμοποιήσω ένα υπόδειγμα πολιτικής cookies;
________________________________________
Υπάρχουν αναρίθμητες υπηρεσίες στο internet που παρέχουν υποδείγματα ή παράγουν πολιτικές cookies για την ιστοσελίδα σας. Απλά αναζητήστε “cookie policy template” και θα βρείτε διάφορες για να επιλέξετε.
Να είστε ωστόσο προσεκτικοί. Συνιστούμε να μη χρησιμοποιείτε υποδείγματα ή δημιουργούς πολιτικών, διότι είναι απαίτηση του GDPR οι πληροφορίες σχετικά με τα cookies και το tracking να είναι συγκεκριμένες και ακριβείς.
Πρώτα απ’όλα, όλες οι ιστοσελίδες είναι διαφορετικές, και δεύτερον, τα cookies μπορεί να αλλάξουν χωρίς να το προσέξετε καν, ειδικά αν χρησιμοποιείτε τρίτους όπως ενσωματωμένο περιεχόμενο, διαφημίσεις ή εργαλεία ανάλυσης.
Με το Cookiebot μπορείτε να δημοσιεύσετε την αναφορά από τη μηνιαία σάρωση της ιστοσελίδας σας ως ολοκληρωμένο κομμάτι της πολιτικής cookies ή της πολιτικής ιδιωτικότητάς σας.
Με αυτόν τον τρόπο, οι πληροφορίες που παρέχετε στους χρήστες σας σχετικά με τα cookies σε χρήση στην ιστοσελίδα σας είναι ακριβείς ανά πάσα στιγμή.
Πώς να κάνετε εύκολα τα cookies και το online tracking συμβατά με τον GDPR και την ePrivacy
________________________________________
Προκειμένου να συμμορφωθείτε με τις απαιτήσεις, μπορείτε να δημιουργήσετε τη δική σας συγκατάθεση βασισμένη στον GDPR. Ή να γραφτείτε στο Cookiebot, πλήρως συμβατές με τον GDPR λύσεις cookies και online tracking.

Το Cookiebot συνδυάζει την πολιτική cookies με την παρακολούθηση της δραστηριότητας cookies στην ιστοσελίδα σας, εξασφαλίζοντας έτσι οτι η πολιτική είναι επικαιροποιημένη και αληθής ανά πάσα στιγμή.

Μία μηνιαία αναφορά παράγεται σχετικά με τα cookies και τη δραστηριότητα επεξεργασίας δεδομένων στην ιστοσελίδα, εξασφαλίζοντας ότι ο ιδιοκτήτης έχει τον έλεγχο ανά πάσα στιγμή.

Η συγκατάθεση του χρήστη ζητείται μέσω ενός κατανοητού banner, στο οποίο οι χρήστες μπορούν να αποδεχθούν ή μη τα διάφορα είδη cookies.

Οι χρήστες μπορούν να έχουν ανά πάσα στιγμή πρόσβαση στη συγκατάθεση και να την επεξεργαστούν ή αποσύρουν.
Κάθε δώδεκα μήνες από την πρώτη επίσκεψη του χρήστη στην ιστοσελίδα, η συγκατάθεση ανανεώνεται αυτόματα.
Η επικοινωνία στο banner συγκατάθεσης είναι φιλική στο χρήστη και χωρίς περιττά στοιχεία, προσφέροντας πραγματική διαφάνεια αλλά αποφεύγοντας ταυτόχρονα τον κορεσμό με πληροφορίες.
Η συγκατάθεση ζητείται πριν από την τοποθέτηση των cookies, εκτός απο τα απολύτως απαραίτητα και επομένως νόμιμα.
Όλες οι συγκαταθέσεις συλλέγονται αυτόματα μέσω μίας ασφαλούς σύνδεσης και αποθηκεύονται ως ισχυρά κρυπτογραφημένα κλειδιά.
GDPR και είδη tracking cookies
________________________________________
Υπάρχουν συνολικά τέσσερις διαφορετικοί τύποι cookies, ανάλογα με τη διάρκεια και την προέλευσή τους.

Ο GDPR επηρρεάζει και τους τέσσερις τύπους και η προέλευση και η διάρκεια των cookies πρέπει να παρουσιάζονται στο χρήστη ώστε να τις αποδεχθεί με καταφατικό και ενημερωμένο τρόπο.

Session cookies και ο GDPR

Αυτά τα cookies είναι προσωρινά και λήγουν αφού εγκαταλείψετε την ιστοσελίδα. Session cookies χρησιμοποιούνται κυρίως από ηλεκτρονικά καταστήματα για να διατηρήσουν τα αντικείμενά σας στο καλάθι όσο ψωνίζετε online.

Μόνιμα cookies και ο GDPR

Μόνιμα cookies μπορεί να παραμείνουν στο δίσκο σας για μεγάλο διάστημα αφού έχει ολοκληρωθεί η επίσκεψη.
Σύμφωνα με τον νόμο, πρέπει να διαγράφονται τουλάχιστον κάθε 12 μήνες, αλλά ένα cookie μπορεί να μείνει στο δίσκο για πάντα.
Αυτά τα cookies μπορεί να διαθέτουν πληροφορίες όπως στοιχεία σύνδεσης, πληροφορίες επαφής και αριθμούς λογαριασμού ώστε να μη χρειάζεται να τα πληκτρολογείτε κάθε φορά που χρησιμοποιείτε την ιστοσελίδα.

First-party cookies και ο GDPR

First-party cookies εκδίδονται από την ιστοσελίδα που επισκεφθήκατε. Αυτά τα cookies συχνά χρησιμεύουν ώστε να δώσουν στην ιστοσελίδα μνήμη σχετικά με τα δεδομένα και τις προτιμήσεις σας.

Third-party cookies και ο GDPR

Third-party cookies είναι cookies που τοποθετούνται από μία ιστοσελίδα διαφορετική από αυτήν στην οποία βρίσκεστε.
Ο σκοπός των third-party cookies είναι συχνά η συλλογή συγκεκριμένων πληροφοριών για την πραγματοποίηση ερευνών σχετικά με τη συμπεριφορά και τα δημογραφικά στοιχεία, καθώς και για στοχευμένο marketing κτλ.

Τι είναι ο GDPR?
________________________________________
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι νομοθεσία με εφαρμογή σε ολόκληρη την ΕΕ που ρυθμίζει –μεταξύ άλλων- πώς διαχειρίζονται οι ιστοσελίδες προσωπικά δεδομένα.
Είναι η πιο σημαντική πρωτοβουλία σχετικά με την προστασία δεδομένων εδώ και 20 χρόνια και έχει βαρυσήμαντες επιπτώσεις για κάθε οργανισμό παγκοσμίως ο οποίος εξυπηρετεί άτομα απο την Ευρωπαϊκή Ένωση.
Προκειμένου να δώσει τον έλεγχο στα άτομα ως προς το πώς χρησιμοποιούνται τα δεδομένα τους και να προστατεύσει “θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων”, ο κανονισμός θέτει αυστηρές απαιτήσεις σχετικά με διαδικασίες διαχείρισης δεδομένων, διαφάνεια, τεκμηρίωση και συγκατάθεση χρηστών.
Ως διαχειριστής δεδομένων, κάθε οργανισμός πρέπει να καταγράφει και να επιτηρεί τις δραστηριότητες διαχείρισης προσωπικών δεδομένων.
Αυτό περιλαμβάνει προσωπικά δεδομένα των οποίων η διαχείριση γίνεται εντός του οργανισμού αλλά και από τρίτους – τους αποκαλούμενους επεξεργαστές δεδομένων.
Οι επεξεργαστές δεδομένων μπορούν να είναι ο,τιδήποτε από παρόχους Software-as-a-Service μέχρι ενσωματωμένες υπηρεσίες τρίτων που παρακολουθούν και επισκέπτες στην ιστοσελίδα του οργανισμού και δημιουργούν προφίλ τους.
Τόσο οι διαχειριστές όσο και οι επεξεργαστές δεδομένων πρέπει να είναι σε θέση να δικαιολογήσουν το είδος των δεδομένων που επεξεργάζονται, το σκοπό της επεξεργασίας και το σε ποιές χώρες και τρίτους αναμεταδίδονται τα δεδομένα.
Δεδομένα μπορούν να μεταφερθούν μόνο σε άλλους οργανισμούς που συμμορφώνονται με τον GDPR ή σε εκείνους εντός δικαιοδοσιών που κρίνονται ‘επαρκείς’.
Καμία επεξεργασία ευαίσθητων προσωπικών δεδομένων δεν επιτρέπεται χωρίς τη ρητή συγκατάθεση ενός ατόμου. Για μη ευαίσθητα δεδομένα, επαρκεί η σιωπηρή συγκατάθεση.
Σε κάθε περίπτωση, η συγκατάθεση πρέπει να δίνεται ελεύθερα επί τη βάσει σαφών και συγκεκριμένων πληροφοριών σχετικά με είδη δεδομένων και σκοπούς – και πάντα προτού λάβει χώρα οποιαδήποτε επεξεργασία, επίσης γνωστή και ως ‘πρότερη’ συγκατάθεση.
Όλες οι συγκαταθέσεις πρέπει να καταγράφονται ως αποδείξεις οτι η συγκατάθεση έχει δοθεί.
Τα άτομα τώρα έχουν το “δικαίωμα φορητότητας δεδομένων“, το “δικαίωμα πρόσβασης στα δεδομένα“, μαζί με το “δικαίωμα στη λήθη” και πρέπει να είναι σε θέση να αποσύρουν τη συγκατάθεσή τους οποτεδήποτε το θελήσουν.
Σε τέτοια περίπτωση, ο διαχειριστής δεδομένων πρέπει να διαγράψει τα προσωπικά δεδομένα του ατόμου, εάν δεν είναι πλέον απαραίτητα για το σκοπό για τον οποίο συνελλέγησαν.
Σε περίπτωση παραβίασης δεδομένων, η εταιρία πρέπει να είναι σε θέση να ειδοποιήσει τις αρχές προστασίας δεδομένων και τα άτομα που επηρρεάζονται εντός 72 ωρών.
Πέραν αυτών, ο GDPR επιβάλλει την υποχρέωση σε δημόσιες αρχές, οργανισμούς με περισσότερους από 250 εργαζόμενους και εταιρίες που επεξεργάζονται ευαίσθητα προσωπικά δεδομένα σε μεγάλη κλίμακα να απασχολούν ή εκπαιδεύουν έναν υπεύθυνο προστασίας δεδομένων (DPO).
Ο DPO πρέπει να λαμβάνει μέτρα για να εξασφαλίσει συμμόρφωση με τον GDPR σε όλον τον οργανισμό.
Σχετικά με το Brexit, η Βρετανική κυβέρνηση σχεδιάζει να εφαρμόσει ισοδύναμη νομοθεσία που θα ακολουθεί σε μεγάλο βαθμό τον GDPR.
Κανονισμός (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27 Aπριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Ποιος είναι ο ορισμός των προσωπικών δεδομένων κατά τον GDPR;

Στο Γενικό Κανονισμό για την Προστασία Δεδομένων, τα δεδομένα προς προστασία ορίζονται ως εξής (πλάγια στοιχεία δικά μας):
(26): Οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση, η οποία θα μπορούσε να αποδοθεί σε φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών, θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο.
Προκειμένου να καθοριστεί το εάν ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, πρέπει να ληφθούν υπόψην όλα τα μέσα, όπως η απομόνωση, τα οποία είναι πιθανόν να χρησιμοποιηθούν είτε απο το διαχειριστή ή από άλλο άτομο για να να γίνει άμεση ή έμμεση αναγνώριση του φυσικού προσώπου.
Προκειμένου να εξακριβωθεί το εάν κάποια μέσα είναι πιθανόν να χρησιμοποιηθούν για να ταυτοποιηθεί το φυσικό πρόσωπο, πρέπει να ληφθούν υπόψην όλοι οι αντικειμενικοί παράγοντες, όπως το κόστος και ο χρόνος που απαιτείται για την ταυτοποίηση, λαμβάνοντας υπόψην τη διαθέσιμη τεχνολογία τη δεδομένη στιγμή της επεξεργασίας και τις τεχνολογικές εξελίξεις.
Οι αρχές της προστασίας δεδομένων δεν πρέπει επομένως να εφαρμόζονται σε ανώνυμες πληροφορίες, συγκεκριμένα πληροφορίες που δε σχετίζονται με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, ή σε προσωπικά δεδομένα που έχουν καταστεί ανώνυμα με τέτοιον τρόπο ώστε το υποκείμενο των δεδομένων να μην είναι πλέον ταυτοποιήσιμο.

Αυτός ο Κανονισμός δεν αφορά επομένως την επεξεργασία τέτοιων ανώνυμων πληροφοριών, συμπεριλαμβανομένης για στατιστικούς ή ερευνητικούς σκοπούς.

Ημερομηνία εφαρμογής GDPR: 25η Μαϊου 2018

Μία Ευρωπαϊκή νομοθεσία τέτοιου εύρους και σημασίας είναι το αποτέλεσμα μίας μακράς διαδικασίας.
Τον Ιανουάριο του 2012, η Ευρωπαϊκή Επιτροπή πρότεινε μία ολοκληρωμένη αναθεώρηση των κανόνων προστασίας δεδομένων του 1995 (Οδηγία 95/46/EΕ), ευθυγραμμίζοντας την Ευρώπη με την ψηφιακή εποχή.

Στις 4 Μαϊου 2016, τα επίσημα κείμενα του Κανονισμού και της Οδηγίας δημοσιεύθηκαν στην Επίσημη Εφημερίδα της ΕΕ σε όλες τις επίσημες γλώσσες.

Ενώ ο κανονισμός τέθηκε σε ισχύ στις 24 Μαϊου 2016, η ημερομηνία εφαρμογής είναι η 25η Μαϊου 2018.

Μετά από αυτήν την ημερομηνία, οργανισμοί που αποτυγχάνουν να εφαρμόσουν τις απαιτήσεις ή να τεκμηριώσουν τις προσπάθειές τους να συμμορφωθούν θα αντιμετωπίζουν πρόστιμα έως 20 εκατομμυρίων ευρώ ή 4% του κύκλου εργασιών της εταιρίας το προηγούμενο οικονομικό έτος, ο,τι από τα δύο είναι υψηλότερο.

Ελπίζουμε να βοηθήσαμε στην κατανόηση του ζητήματος cookies και gdpr ενώ θα χαρούμε να σας βοηθήσουμε σε κάθε τυχόν απορία σας. Θα συνιστούσαμε να ρίξετε μια ματιά στην σελίδα μας που αναφερόμαστε εκτενώς στο ζήτημα αυτό και τις υπηρεσίες που παρέχουμε σχετικά με το gdpr και τις υπηρεσίες data protection officer καθώς και στο blog μας στην κατηγορία αυτή όπου ανανεώνεται και εμπλουτίζεται συνεχώς.

Για την dreamweaver.gr

Θανάσης Δαβαλάς

 

 

 

 

Email Marketing και GDPR

Email Marketing και GDPR.

Μια πλήρη ανατροπή του μέχρι τώρα σκηνικού

Αν ανησυχείτε για την αποστολή δεδομένων  μέσω ηλεκτρονικού ταχυδρομείου, έχετε δίκαιο. Τα emails μοιάζουν περισσότερο με απλές ταχυδρομικές κάρτες, διότι μπορούν θεωρητικά να διαβαστούν σε οποιονδήποτε από τους πολλούς διακομιστές μέσω των οποίων περνούν .

Φυσικά, το “διαβάστηκε από” είναι δύσκολο να σημαίνει “διαβάστηκε από κάποιον άνθρωπο”. Ωστόσο, κάποιο λογισμικό μπορεί να αναζητήσει πράγματα όπως κωδικούς πρόσβασης και αριθμούς πιστωτικών καρτών.

Ένα πιο πιθανό πρόβλημα είναι η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου σε λάθος διεύθυνση, είτε επειδή οι χρήστες έχουν λανθασμένες διευθύνσεις ηλεκτρονικού ταχυδρομείου (αυτό συμβαίνει εκπληκτικά συχνά) είτε λόγω ανθρώπινου σφάλματος. Επιλέξτε μια λάθος διεύθυνση από μια λίστα προτάσεων αυτόματης συμπλήρωσης και θα μπορούσατε να στείλετε προσωπικά δεδομένα σε λάθος παραλήπτη. Αυτή θα είναι μια παραβίαση δεδομένων που ίσως πρέπει να αναφερθεί.

Θα ήταν προφανώς καλό αν όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου ήταν κρυπτογραφημένα από προεπιλογή, έτσι ώστε μόνο ο προοριζόμενος παραλήπτης να μπορεί να τα διαβάσει. Τρεις δεκαετίες ιστορίας λένε ότι αυτό δεν πρόκειται να συμβεί σύντομα, ή και καθόλου. Η κρυπτογράφηση δημόσιου κλειδιού είναι πολύ δύσκολη για άτομα που απλά θέλουν να στείλουν κανονικά μηνύματα ηλεκτρονικού ταχυδρομείου.

Τα emails μοιάζουν περισσότερο με απλές ταχυδρομικές κάρτες, διότι μπορούν θεωρητικά να διαβαστούν σε οποιονδήποτε από τους πολλούς διακομιστές μέσω των οποίων περνούν ή από κάποιον που αποκτά πρόσβαση στην “διαδικτυακή λεωφόρο”.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου μοιάζουν περισσότερο με απλές ταχυδρομικές κάρτες, διότι μπορούν θεωρητικά να διαβαστούν σε οποιονδήποτε από τους πολλούς διακομιστές μέσω των οποίων περνούν ή από κάποιον που χτυπά μια γραμμή.

Μερικοί μεγάλοι οργανισμοί έχουν κρυπτογραφημένες υπηρεσίες ηλεκτρονικού ταχυδρομείου, όπως το NHS, αλλά αυτό δεν βοηθά τους υπόλοιπους μας.

Μερικοί άνθρωποι επιλέγουν ασφαλείς υπηρεσίες ηλεκτρονικού ταχυδρομείου, όπως το ProtonMail στην Ελβετία και το Tutanota στη Γερμανία. Ωστόσο, εκεί πρέπει να στείλετε στους εξωτερικούς παραλήπτες έναν κωδικό πρόσβασης – για παράδειγμα, με ένα μήνυμα κειμένου SMS – για να αποκρυπτογραφήσουν το μήνυμα ηλεκτρονικού ταχυδρομείου.

Οι χρήστες του Tutanota λαμβάνουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου που λέει ότι “έχετε ένα κρυπτογραφημένο μήνυμα ηλεκτρονικού ταχυδρομείου” και κάνετε κλικ σε ένα σύνδεσμο για να το διαβάσετε και να απαντήσετε σε αυτό σε ένα πρόγραμμα περιήγησης. Πρέπει να εξάγετε το μήνυμα ηλεκτρονικού ταχυδρομείου εάν θέλετε να διατηρήσετε ένα αντίγραφο.

Υπάρχουν επίσης plug-ins για το Gmail και το Microsoft Outlook που παρέχουν ασφαλείς υπηρεσίες ηλεκτρονικού ταχυδρομείου. Εάν κάποιος από τους εργοδότες σας χρησιμοποιεί ένα ασφαλές σύστημα, ενδέχεται να σας επιτρέψει να συμμετάσχετε.

Εάν δεν υπάρχει άλλη εναλλακτική λύση, θα πρέπει να κρυπτογραφείτε και να προστατεύετε τις εικόνες και τα έγγραφά σας με κωδικό, προτού τα στείλετε ως συνημμένα ηλεκτρονικού ταχυδρομείου. Και πάλι, πρέπει να στείλετε τον κωδικό ξεχωριστά, είτε μέσω μιας διαφορετικής υπηρεσίας ανταλλαγής μηνυμάτων είτε στην ανάρτηση.

Τοποθεσίες ηλεκτρονικής αποθήκευσης

Είναι καλή ιδέα να ανεβάσετε τα συνημμένα αρχεία και στη συνέχεια να στείλετε στους χρήστες έναν σύνδεσμο. Ωστόσο, λάβετε υπόψη ότι ανεβάζετε έγγραφα σε εταιρείες αποθήκευσης δεδομένων  που πολλάκις έχουν παραβιαστεί ή έχουν οι ίδιες χρησιμοποιήσει τα δεδομένα αυτά για αλλότριους λόγους. Κρυπτογραφήστε τα έγγραφά σας πριν τα ανεβάσετε.

Η κρυπτογράφηση προστατεύει τα δεδομένα σας εάν τεθεί σε κίνδυνο μια υπηρεσία ηλεκτρονικής αποθήκευσης – έχει συμβεί – ή αν το ηλεκτρονικό ταχυδρομείο σας έχει παραβιαστεί.

Δυστυχώς, η χρήση του Google Drive προκαλεί μια επιπλέον επιπλοκή. Εάν χρησιμοποιείτε το Gmail, τότε μπορείτε να υποθέσετε ότι τα δεδομένα σας αποθηκεύονται , διαβιβάζονται ή είναι προσβάσιμα από τις ΗΠΑ.

Το GDPR δεν υποχρεώνει τους χρήστες να αποθηκεύουν δεδομένα σε διακομιστές εντός της ΕΕ. Ωστόσο, υπάρχουν πρόσθετες απαιτήσεις εάν οι εξυπηρετητές βρίσκονται εκτός της ΕΕ.

Πρώτον, πρέπει να έχετε νόμιμο λόγο για τη μεταφορά προσωπικών δεδομένων εκτός της ΕΕ.

Δεύτερον, πρέπει να έχετε τη συγκατάθεση του ατόμου του οποίου τα δεδομένα εξάγονται. Τρίτον, πρέπει να δώσετε στο πρόσωπο αυτό την επιλογή να αποχωρήσει.

Σε άλλο άρθρο μας θα εξετάσουμε πώς μπορείτε να δημιουργήσετε μια ειδοποίηση περί απορρήτου GDPR και θα μπορούσατε να προσαρμόσετε το δείγμα της ώστε να καλύπτει την αποθήκευση Gmail εκτός της ΕΕ. Αν το θέμα σας απασχολεί για πρώτη φορά σας συνιστούμε να διαβάσετε κάποια από τα άρθρα μας για το ζήτημα αυτό

GDPR ποιους αφορά

WordPress και GDPR

GDPR Αίτημα Προσωπικών Δεδομένων

GDPR Νομοθεσία / Γλωσσάρι

Υπεύθυνος Προστασίας Προσωπικών Δεδομένων. Σύνταξη ανακοίνωσης απορρήτου βάσει του GDPR

GDPR. Τι πρέπει να κάνω για την ιστοσελίδα μου

Θα μπορούσατε να αλλάξετε στη χρήση μιας υπηρεσίας ηλεκτρονικού ταχυδρομείου που λειτουργεί πλήρως εντός της ΕΕ , έστω και μόνο για όσους επιλέγουν να αποχωρήσουν ή μπορείτε να κάνετε αναβάθμιση στην επί πληρωμή υπηρεσία της Google.

Η Google ισχυρίζεται ότι οι G Suite και Google Cloud Platform (GCP) υπηρεσίες της είναι πλήρως συμβατές με το GDPR, επειδή προσφέρει την υπογραφή πρότυπων συμβατικών ρητρών της ΕΕ και τροποποίησης της επεξεργασίας δεδομένων. Τα ψιλά γράμματα σημειώνουν ότι “τα μέρη αναγνωρίζουν και συμφωνούν ότι η μη ευρωπαϊκή νομοθεσία για την προστασία δεδομένων μπορεί επίσης να ισχύει για την επεξεργασία των προσωπικών δεδομένων του πελάτη” και ότι “η Google δεν θα επεξεργαστεί τα προσωπικά δεδομένα του πελάτη για διαφημιστικούς σκοπούς ούτε θα προβάλει διαφημίσεις στις υπηρεσίες”.

Δεν πιστεύω ότι ο GDPR θα σταματήσει πραγματικά το email marketing όπως πολλοί εικάζουν . Σίγουρα όμως θα βάλει ένα φρένο στο ανεβάζω μια λίστα από emails και στέλνω κατά συρροή διαφημιστικά emails  .  Είναι σίγουρα πάντως ένα ζήτημα που πρέπει να απασχολήσει άμεσα τον data protection officer / υπεύθυνο προστασίας δεδομένων της επιχείρησης σας για να μην βρεθείτε αντιμέτωποι με ένα υπέρογκο πρόστιμο 4% επί του τζίρου σας.

Φυσικά η συλλογή των email χρηστών και επισκεπτών στον ιστοτόπο σας ή στο ηλεκτρονικό σας κατάστημα και η σύνδεση του με υπηρεσίες email marketing όπως το MailChimp κ.α. ή και η αποστολή μέσω του script και του server φιλοξενίας σας διαφημιστικών emails δεν καλύπτεται πλέον από μια απλή υπογραφή της επιχείρησης σας και ένα συμφωνώ του χρήστη και ένα δικαίωμα απεγγραφής από την ενημερωτική σας λίστα. Σαν dreamweaver.gr τόσο στα πακέτα μας κατασκευής eshop όσο και στα πακέτα κατασκευής ιστοσελίδας έχουμε φροντίσει να εναρμονίσει τους μηχανισμούς αυτούς με την νέα νομοθεσία . Αν δεν το έχετε κάνει μέχρι τώρα κάντε το σήμερα.

Νομίζουμε ότι το video που ακολουθεί θα σας πείσει για την αναγκαιότητα των άμεσων ενεργειών σας για την διευθέτηση αυτού του κενού ασφαλείας αν τουλάχιστον δεν έχετε άγνοια κινδύνου.

[embedyt] https://www.youtube.com/watch?v=HbqnrtcIeAo&width=1060&height=596&modestbranding=1[/embedyt]

Για την dreamweaver.gr

Θανάσης Δαβαλάς

 

GDPR Νομοθεσία / Γλωσσάρι

EU GDPR Νομοθεσία / Γλωσσάριο  

Νομοθεσία

Οδηγία Προστασίας Δεδομένων

Η Ευρωπαϊκή Οδηγία 95/46/ΕΚ ελέγχει την επεξεργασία προσωπικών δεδομένων στην ΕΕ και θα αντικατασταθεί από τον GDPR από τις 25 Μαϊου 2018. Η Οδηγία εισήγαγε βασικές προϋποθέσεις που έπρεπε να εφαρμοστούν μέσω ξεχωριστής νομοθεσίας σε κάθε κράτος-μέλος της ΕΕ.

Αυτό έδωσε στα μέλη τη δυνατότητα να επεκτείνουν το πεδίο εφαρμογής της Οδηγίας ή να διατηρήσουν προϋπάρχουσες αυστηρότερες προϋποθέσεις ή να αποφασίσουν να μην εκμεταλλευθούν πλήρως τις παρεκκλίσεις, το οποίο εξηγεί την εφαρμογή διαφορετικών πλαισίων προστασίας δεδομένων στην Ευρώπη. Μπορεί να βρεθεί online εδώ: http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf

EU GDPR

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) υιοθετήθηκε ως Κανονισμός (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου στις 27 Απριλίου 2016.
Σε αντίθεση με την Οδηγία Προστασίας Δεδομένων, ο GDPR πρόκειται να εφαρμοστεί απευθείας σε κάθε κράτος-μέλος της ΕΕ χωρίς εφαρμοστική νομοθεσία και να δημιουργήσει ένα πλαίσιο μέσα στο οποίο μπορούν να δημιουργηθούν πιο λεπτομερείς κανόνες. Αυτό εναρμονίζει την νομοθεσία σε όλη την Ευρώπη.

Η απαίτηση ειδοποίησης της DPA σε περίπτωση νέας επεξεργασίας, για παράδειγμα, καταργείται (εκτός από ένα μικρό αριθμό περιπτώσεων) και αντικαθίσταται από την υποχρέωση καταγραφής όλων των επεξεργασιών. Υπεύθυνοι επεξεργασίας και επεξεργαστές πρέπει να συμφωνήσουν ως προς τις αρμοδιότητες, αλλιώς θα είναι υπόλογοι από κοινού. Ο Κανονισμός μπορεί να βρεθεί online εδώ: http://eur-lex.europa.eu/legal-content/EN/TXT/

Οδηγία e-Privacy

Η Οδηγία e-Privacy υιοθετήθηκε ως Οδηγία 2002/58/EC του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου. Αυτήν τη στιγμή ελέγχει τα δικαιώματα ιδιωτικότητας που εφαρμόζονται στην τεχνολογία και το περιεχόμενο ηλεκτρονικής επικοινωνίας. Η Οδηγία μπορεί να βρεθεί online εδώ: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do

Κανονισμός e-Privacy

Ακολουθώντας την υιοθέτηση του GDPR, η Οδηγία e-Privacy θα αναθεωρηθεί ώστε να συμμορφωθεί με τον GDPR και να καλύψει τις τεχνολογικές καινοτομίες από την τελευταία τροποποίηση της Οδηγίας το 2009. Μία πρόταση με τίτλο “Κανονισμός Ιδιωτικότητας και Ηλεκτρονικής Επικοινωνίας” δημοσιοποιήθηκε στις 10 Ιανουαρίου 2017.

Ο Κανονισμός θα έχει εφαρμογή σε κάθε πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας ή σε κάθε οντότητα που επεξεργάζεται δεδομένα ηλεκτρονικής επικοινωνίας. Θα έχει επίδραση στον τρόπο με τον οποίο οργανισμοί αλληλεπιδρούν ηλεκτρονικά με πολίτες της ΕΕ, συμπεριλαμβανομένων της ιχνηλάτησης χρηστών, της συλλογής δεδομένων σε συσκευές χρηστών και της άμεσης εμπορικής προώθησης. Το σχέδιο του Κανονισμού και τα σχετικά έγγραφα μπορούν να βρεθούν online εδώ: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications

Όργανα GDPR

EDPS

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) δημιουργήθηκε το 2004 με στόχο τη διασφάλιση του σεβασμού από οργανισμούς και όργανα της ΕΕ του δικαιώματος των ανθρώπων στην ιδιωτικότητα όταν επεξεργάζονται τα προσωπικά δεδομένα τους. Στις βασικές λειτουργίες του, ο EDPS (1) επιβλέπει την επεξεργασία από τη διοίκηση της ΕΕ προσωπικών δεδομένων ώστε να εξασφαλίζεται η συμμόρφωση με κανόνες ιδιωτικότητας, διαχειρίζεται καταγγελίες και διεξάγει έρευνες, και (2) συμβουλεύει οργανισμούς και όργανα της ΕΕ σχετικά με όλες τις απόψεις της επεξεργασίας προσωπικών δεδομένων και τις σχετικές πολιτικές και νομοθεσία.

Η Ομάδα Εργασίας Άρθρου 29

Η Ομάδα Εργασίας Άρθρου 29 (“A29WP”) είναι ένα μη ρυθμιστικό όργανο προστασίας δεδομένων. Η κύρια λειτουργία του είναι η παροχή συμβουλών και συστάσεων στα κράτη-μέλη και το κοινό σχετικά με την προστασία δεδομένων και την επεξεργασία προσωπικών δεδομένων. Το όργανο αποτελείται από εκπροσώπους εθνικών αρχών προστασίας δεδομένων της ΕΕ, του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (“EDPS”) και της Ευρωπαϊκής Επιτροπής. Μετατράπηκε στο “Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων” (“EDPB”) με τον GDPR.

EDPB

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα αντικαταστήσει την Ομάδα Εργασίας Άρθρου 29 και οι λειτουργίες του θα περιλαμβάνουν την εξασφάλιση της ομοιομορφίας της εφαρμογής του GDPR, συμβουλές προς την Ευρωπαϊκή Επιτροπή, την έκδοση οδηγιών, κανόνων συμπεριφοράς και συστάσεων, την αναγνώριση οργάνων πιστοποίησης και την έκδοση γνωμοδοτήσεων για σχέδια αποφάσεων εποπτικών αρχών.

DPA / Supervisory Authority / Lead Authority

Οι DPAs είναι οι εθνικές αρχές προστασίας δεδομένων, επιφορτισμένες με την ιδιωτικότητα και την προστασία προσωπικών δεδομένων. Κάθε κράτος-μέλος όρισε ένα όργανο DPA για να εφαρμόσει την τοπική νομοθεσία προστασίας δεδομένων και για να προσφέρει καθοδήγηση. Οι DPAs έχουν αξιοσημείωτες δυνατότητες επιβολής, συμπεριλαμβανομένης της δυνατότητας να επιβάλλουν υψηλά πρόστιμα.

Ορολογία GDPR

Υποκείμενο των δεδομένων

«Το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και του οποίου η ταυτότητα είναι γνωστή η μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιοριστεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική».

Ένα υποκείμενο των δεδομένων είναι ένα φυσικό πρόσωπο. Παραδείγματα ενός υποκειμένου δεδομένων μπορούν να είναι ένα πρόσωπο, ένας πελάτης, ένας δυνητικός πελάτης, ένας υπάλληλος, ένας αρμόδιος κτλ.

Άρθρο 2(α) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(α) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 1 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 1 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(γ) Ν. 2472/1997

Επιχείρηση

«Φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα».

Άρθρο 4 παρ. 18 Γενικού Κανονισμού Προστασίας Δεδομένων

Όμιλος επιχειρήσεων

«Μία ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις».

Άρθρο 4 παρ. 19 Γενικού Κανονισμού Προστασίας Δεδομένων

Δεσμευτικοί εταιρικοί κανόνες

«Οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις η δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούνται την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα».

Άρθρο 4 παρ. 20 Γενικού Κανονισμού Προστασίας Δεδομένων

Προσωπικά δεδομένα

Κάθε πληροφορία σχετική με ένα ταυτοποιημένο/ταυτοποιήσιμο άτομο, είτε σχετίζεται με την προσωπική, επαγγελματική ή δημόσια ζωή του/της. Μπορεί να είναι οτιδήποτε από ένα όνομα, φωτογραφία, διεύθυνση email, στοιχεία τραπεζικού λογαριασμού, δημοσιεύσεις σε ιστοσελίδες κοινωνικής δικτύωσης, ιατρικά δεδομένα, διεύθυνση IP ή ένα συνδυασμό δεδομένων που ταυτοποιεί άμεσα ή έμμεσα το πρόσωπο.

Δεδομένα προσωπικού χαρακτήρα

«Κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή η μπορεί να εξακριβωθεί» Άρθρο 2(α) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(α) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 1 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 1 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(α) Ν. 2472/1997

Ευαίσθητα προσωπικά δεδομένα

Ο GDPR αναφέρεται σε ευαίσθητα προσωπικά δεδομένα ως “ειδικές κατηγορίες προσωπικών δεδομένων”. Οι ειδικές κατηγορίες δεδομένων περιλαμβάνουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές απόψεις, συμμετοχή σε συνδικάτα, σεξουαλικό προσανατολισμό, και δεδομένα υγείας, γενετικά και βιομετρικά όταν έχουν επεξεργαστεί με τέτοιον τρόπο ώστε να ταυτοποιούν ένα συγκεκριμένο πρόσωπο. Προσωπικά δεδομένα σχετικά με καταδίκες και παραπτώματα δε συμπεριλαμβάνονται αλλά παρόμοια μέτρα προστασίας εφαρμόζονται στην επεξεργασία τους.

Ευαίσθητα δεδομένα

«Τα δεδομένα που αφορούν στη φυλετική η εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων».

Άρθρο 2 (β)Ν. 2472 / 1997

Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα

«Η φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή η συμμετοχή σε συνδικαλιστική οργάνωση, τα βιομετρικά και γενετικά δεδομένα όταν υποβάλλονται σε επεξεργασία με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή το γενετήσιο προσανατολισμό». Άρθρο 9 παρ. 1 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 10 παρ.1 Οδηγίας (ΕΕ) 2016/680

Γενετικά δεδομένα «Τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία Παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου». Άρθρο 4 παρ. 14 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 11 Οδηγίας (ΕΕ) 2016/680

Βιομετρικά δεδομένα «Δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεδεμένη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα».

Άρθρο 4 παρ. 15 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 14 Οδηγίας (ΕΕ) 2016/680

Δεδομένα που αφορούν την υγεία

«Δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, συμπεριλαμβανομένης και της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του». Άρθρο 4 παρ. 16 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 17 Οδηγίας (ΕΕ) 2016/680

Υπεύθυνος επεξεργασίας

Κάθε οργανισμός, πρόσωπο ή όργανο που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων, ελέγχει τα δεδομένα και είναι υπεύθυνος για αυτά, μεμονωμένα ή από κοινού. Παραδείγματα προσώπου ως υπεύθυνου επεξεργασίας περιλαμβάνουν ιατρούς, φαρμακοποιούς και πολιτικούς όταν αυτοί διατηρούν προσωπικές πληροφορίες σχετικά με τους ασθενείς, πελάτες, ψηφοφόρους τους κτλ. Παραδείγματα οργανισμών ως υπεύθυνου επεξεργασίας μπορεί να είναι κερδοσκοπικοί ή μη, ιδιωτικοί ή κυβερνητικοί, μεγάλοι ή μικροί, όταν διατηρούν προσωπικές πληροφορίες σχετικά με τους υπαλλήλους, πελάτες τους κτλ.

Αρχεία των δραστηριοτήτων επεξεργασίας

«Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπος του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος». Άρθρο 35 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 27 Οδηγίας (ΕΕ) 2016/680

Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων

«Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους».

Άρθρο 35 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 27 Οδηγίας (ΕΕ) 2016/680

Προηγούμενη διαβούλευση με την εποπτική αρχή

«Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντίκτυπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας». Άρθρο 36 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 28 Οδηγίας (ΕΕ) 2016/680

Επεξεργαστής δεδομένων

Ένας επεξεργαστής δεδομένων επεξεργάζεται τα δεδομένα εκ μέρους του υπεύθυνου επεξεργασίας δεδομένων. Παραδείγματα περιλαμβάνουν εταιρίες μισθοδοσίας, λογιστές και εταιρίες έρευνας αγοράς όπως επίσης και τηλεφωνικά κέντρα / call centers

Υπεύθυνος επεξεργασίας

«Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα η από κοινού με άλλα καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους».

Άρθρο 2(δ) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(δ) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 7 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 8 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(ζ) Ν. 2472/1997

Εκτελών την επεξεργασία

«Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας» Άρθρο 2(ε) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(ε) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 8 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 9 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(θ) Ν. 2472/1997

Τρίτος

«Οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπευθύνο επεξεργασίας, των εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα του προσωπικού χαρακτήρα»

Άρθρο 2(στ) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(στ) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 10 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 2(θ) Ν. 2472/1997

Αρχείο δεδομένων προσωπικού χαρακτήρα ή σύστημα αρχειοθέτησης

«Κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική η γεωγραφική βάση» Άρθρο 2(γ) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(γ) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 6 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 6 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(ε) Ν. 2472/1997

Συγκατάθεση

«Κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και πλήρει επιγνώσει με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή σαφή θετική ενέργεια να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν»

Άρθρο 2(η) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(η) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 11 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 2(ια) Ν. 2472/1997

Κατάρτιση προφίλ

«Οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου»

Άρθρο 4 παρ. 4 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 4 Οδηγίας (ΕΕ) 2016/680

Ψευδωνυμοποίηση

«Η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο η ταυτοποιήσιμο φυσικό πρόσωπο».

Άρθρο 4 παρ. 5 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 5 Οδηγίας (ΕΕ) 2016/680

Παραβίαση δεδομένων προσωπικού χαρακτήρα

«Η παραβίαση της ασφάλειας που οδήγησε τυχαία η παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση η πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν υποβλήθηκαν κατ άλλο τρόπο σε επεξεργασία».

Άρθρο 4 παρ. 12 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 11 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2 αρ. 8 της οδηγίας (ΕΚ)
2002 / 58

Άρθρο 2 παρ. 11 Ν. 3471 / 2006
DPO

Ο ορισμός ενός Υπεύθυνου Προστασίας Δεδομένων – Data Protection Officer είναι υποχρεωτικός εάν:

(1) επεξεργασία εκτελείται από μία δημόσια αρχή,

ή

(2) οι “βασικές δραστηριότητες” ενός υπεύθυνου επεξεργασίας / επεξεργαστή δεδομένων είτε απαιτούν “την τακτική και συστηματική παρακολούθηση υποκειμένων των δεδομένων σε μεγάλη κλίμακα ” ή αποτελούνται απο την επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων σχετικά με καταδίκες “σε μεγάλη κλίμακα”.

Λογοδοσία

Λογοδοσία είναι η δυνατότητα επίδειξης συμμόρφωσης με τον GDPR. Ο Κανονισμός δηλώνει ευθέως ότι αυτή είναι ευθύνη του οργανισμού. Προκειμένου να επιδειχθεί η συμμόρφωση, πρέπει να εφαρμοστούν τα κατάλληλα τεχνικά και οργανωτικά μέτρα. Εργαλεία βέλτιστων πρακτικών όπως αξιολογήσεις επίδρασης στην ιδιωτικότητα και ιδιωτικότητα από σχεδιασμό απαιτούνται τώρα νομικά σε συγκεκριμένες περιπτώσεις. Σε περιπτώσεις όπως την κατασκευή μιας ιστοσελίδας ή την κατασκευή ενός eshop πρέπει να καταδειχθούν τα μέτρα που έχουν παρθεί για την προστασία και ακεραιότητα των δεδομένων που διακινούνται μέσα από αυτές (ειδικότερα στην περίπτωση ενός ηλεκτρονικού καταστήματος σε σχέση μια μια απλή ιστοσελίδα ) καθώς και να αποδειχθεί η ύπαρξη ενός σχεδιασμού που να προστατεύει την ιδιωτικότητα των πληροφοριών .

Συγκατάθεση

Συγκατάθεση είναι κάθε “ελεύθερη, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη” ένδειξη των επιθυμιών του ατόμου, με την οποία το υποκείμενο των δεδομένων υποδηλώνει, είτε μέσω δήλωσης ή μέσω ξεκάθαρης θετικής δράσης, τη συμφωνία του με την επεξεργασία προσωπικών δεδομένων σχετικών με αυτό για έναν ή περισσότερους συγκεκριμένους σκοπούς.

Η θετική δράση, ή θετική επιλογή συμμετοχής, σημαίνει οτι η συγκατάθεση δεν μπορεί να θεωρηθεί ως δεδομένη με βάση τη σιωπή, προεπιλεγμένα πεδία ή αδράνεια. Πρέπει επίσης να είναι διαχωρισμένη απο όρους χρήσης και να μπορεί να αποσυρθεί με απλό τρόπο. Δημόσιες αρχές και εργοδότες πρέπει να προσέξουν ιδιαίτερα ώστε να διασφαλιστεί οτι η συγκατάθεση παρέχεται ελεύθερα.

Οι υπάρχουσες συγκαταθέσεις δε χρειάζεται να ανανεωθούν αυτόματα ως προετοιμασία για τον GDPR αλλά πρέπει να ανταποκρίνονται στα πρότυπα του GDPR ως προς το να είναι συγκεκριμένες, να καλύπτουν διαφορετικές χρήσεις δεδομένων, να είναι ξεκάθαρες, να περιλαμβάνουν επιθυμία συμμετοχής, να είναι κατάλληλα τεκμηριωμένες και να μπορούν να αποσυρθούν εύκολα.

Εάν όχι, αλλάξτε τους μηχανισμούς συγκατάθεσης σας και αναζητήστε νέα συγκατάθεση συμβατή με τον GDPR ή βρείτε μία εναλλακτική για τη συγκατάθεση.

Ειδικά σε διαφημιστικές ενέργειες στο διαδίκτυο και σε προωθητικές ενέργειες τόσο σε μηχανές αναζήτησης όπως το Google αλλά και social media όπως το facebook., instagram κ.α. πρέπει να υπάρχει η συγκατάθεση του χρήστη. Ας παραθέσουμε ένα πιο συγκεκριμένο παράδειγμα. Ας υποθέσουμε ότι χρησιμοποιείται κώδικα google remarketing ή facebook remarketing για να εμφανίζεται διαφημίσεις στους χρήστες που επισκέφτηκαν τον ιστοτόπο σας πρέπει να έχετε την συγκατάθεση του χρήστη. Είναι ένα σημείο – παγίδα που θα επηρεάσει πολλούς διαφημιζομένους σε google και facebook μέσω της τακτικής αυτής.

One-stop-shop concept

Εάν μία επιχείρηση είναι εγκατεστημένη σε περισσότερα από ένα κράτη-μέλη, θα έχει μία “κυρίαρχη αρχή” καθορισμένη από τη “βασική έδρα” της στην ΕΕ. Μία εποπτική αρχή που δεν είναι κυρίαρχη αρχή μπορεί να έχει επίσης ρυθμιστικό ρόλο, π.χ. όταν η επεξεργασία επηρεάζει υποκείμενα δεδομένων στη χώρα όπου αυτή η εποπτική αρχή είναι η εθνική αρχή.

Αξιολόγηση επίδρασης στην ιδιωτικότητα (PIA)

Ο GDPR επιβάλλει μία νέα υποχρέωση σε υπεύθυνους διαχείρισης δεδομένων και διαχειριστές δεδομένων να διεξάγουν μία Αξιολόγηση Επίδρασης Προστασίας Δεδομένων (γνωστή και ως αξιολόγηση επίδρασης στην ιδιωτικότητα ή PIA) προτού προβούν σε οποιαδήποτε επεξεργασία που δημιουργεί συγκεκριμένο κίνδυνο για την ιδιωτικότητα λόγω της φύσης, του εύρους ή των σκοπών της.

Επεξεργασία

Επεξεργασία είναι κάθε επιχείρηση που εκτελείται σε προσωπικά σετ δεδομένων όπως η δημιουργία, συλλογή, αποθήκευση, θέαση, μεταφορά, χρήση, μετατροπή, μεταβίβαση, διαγραφή κτλ. με χρήση αυτοματοποιημένων μέσων ή χωρίς.

Κατάρτιση προφίλ

Κατάρτιση προφίλ είναι κάθε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που αποσκοπεί στην αξιολόγηση συγκεκριμένων προσωπικών στοιχείων σχετικών με ένα άτομο ή στην ανάλυση ή πρόβλεψη της απόδοσης αυτού του ατόμου στην εργασία, της οικονομικής κατάστασης, της τοποθεσίας, της υγείας, προσωπικών προτιμήσεων, αξιοπιστίας ή συμπεριφοράς.

Πρόσβαση του υποκειμένου

Αυτό είναι το δικαίωμα του υποκειμένου των δεδομένων να λάβει απο τον υπεύθυνο διαχείρισης δεδομένων -κατόπιν αιτήματος- συγκεκριμένες πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων του/της.

Γεωγραφικό εύρος

Το γεωγραφικό εύρος του GDPR περιλαμβάνει τον Ευρωπαϊκό Οικονομικό Χώρο (EΟΧ – όλα τα 28 κράτη-μέλη της ΕΕ), τις Ισλανδία, Λιχτενστάιν και Νορβηγία και δεν περιλαμβάνει την Ελβετία.

Τρίτος

Ένας τρίτος είναι κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή κάθε άλλο όργανο άλλο από το υποκείμενο των δεδομένων, τον υπεύθυνο διαχείρισης, τον επεξεργαστή και τα άτομα που είναι εξουσιοδοτημένα να επεξεργαστούν τα δεδομένα υπό τον άμεσο έλεγχο του υπεύθυνου διαχείρισης ή του επεξεργαστή.

Μεταβίβαση

Η μεταβίβαση προσωπικών δεδομένων σε χώρες εκτός του ΕΟΧ ή σε διεθνείς οργανισμούς υπόκειται σε περιορισμούς. Όπως με την Οδηγία Προστασίας Δεδομένων, δε χρειάζεται να μεταφερθούν φυσικά τα δεδομένα .Ακόμα και η θέαση / μεταφορά των δεδομένων σε ένα άλλο σημείο θεωρείται ως μεταφορά δεδομένων κάτω από την οπτική του GDPR .

Για την DreamWeaver.Gr
Θανάσης Δαβαλάς

Portfolio Items