Άρθρα

Ασφάλεια προσωπικών δεδομένων και gdpr

Ασφάλεια προσωπικών δεδομένων και gdpr

Διαδικασία Διαχείρισης Περιστατικών Παραβίασης Προσωπικών Δεδομένων gdpr

 

Aσφαλεια προσωπικων δεδομενων και gdpr: Προτού ξεκινήσουμε να κάνουμε λόγο για το πως χειριζόμαστε ένα θέμα ασφάλειας προσωπικών δεδομένων βάσει του νέου κανονισμού gdpr θα πρέπει να παραθέσουμε κάποιες βασικές έννοιες για την έννοια της παραβίασης των προσωπικών δεδομένων και πως αυτή πρέπει να χειρίζεται βάσει των απαιτήσεων του gdpr.

Στις επόμενες παραγράφους αναλύουμε κάποιες βασικές γνώσεις , με ιδιαίτερα σύντομο τρόπο , ώστε ακολούθως να σας παρουσιάσουμε ένα υπόδειγμα διαδικασίας Διαχείρισης Περιστατικών Παραβίασης Προσωπικών Δεδομένων gdpr. Πρέπει να τονίσουμε ότι ενώ το υπόδειγμα αυτό είναι πλήρες θεωρούμε αυτονόητο ότι γνωρίζεται τι είναι το gdpr  ενώ τόσο ο φυσικός σας χώρος όσο και η ιστοσελίδα σας ή το ηλεκτρονικό σας κατάστημα (eshop) θα πρέπει να συμμορφώνονται πλήρως με τις απαιτήσεις του νέου κανονισμού προστασίας προσωπικών δεδομένων .

Μην διστάσετε να διαβάσετε την πλούσια θέλουμε να πιστεύουμε αρθρογραφία μας στο ζήτημα αυτό  στην αντίστοιχη κατηγορία του blog μας εδώ που καλύπτει πολλές πτυχές του ζητήματος.

Για το μεν φυσικό σας χώρο πρέπει να έχει γίνει μια ολοκληρωμένη διαδικασία από εξειδικευμένη εταιρεία (μπορείτε να δείτε την πρόταση μας εδώ )  ενώ όσο αφορά την ιστοσελίδα και το eshop σας θα πρέπει είτε να το αναλάβει η εταιρεία που θα σας κάνει την διαδικασία συμμόρφωσης με το gdpr , κάτι που συνιστούμε έτσι ώστε να μην έχετε δυο συνεργάτες για το ίδιο ουσιαστικά ζήτημα , ή να απευθυνθείτε στον κατασκευαστή του eshop / website σας ο οποίος όμως δεν πρέπει να είναι απλά ένας web designer / web developer που δεν συνδυάζει και γνώσεις αλλά και συνεργάτες για το GDPR γιατί τότε το τελικό αποτέλεσμα είναι σίγουρο ότι δεν θα σας καλύψει.

Ας ξεκινήσουμε με τον ορισμό παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 4 παρ. 12 GDPR):

Σύμφωνα με την Ευρωπαϊκή Επιτροπή, παραβίαση δεδομένων επέρχεται όταν πραγματοποιηθεί ένα συμβάν ασφαλείας σε σχέση με τα δεδομένα για τα οποία ευθύνεται  ένας οργανισμός το αποτέλεσμα του οποίου είναι η παραβίαση του απορρήτου, της διαθεσιμότητας ή της ακεραιότητας προσωπικών δεδομένων .

  •  Η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι ένα είδος  περιστατικού ασφάλειας.Υπάρχουν πολλών ειδών και δεν είναι επί του παρόντος η ανάλυση τους. Να σημειωθεί ότι ΔΕΝ λογίζονται  όλα τα περιστατικά ασφάλειας ως παραβιάσεις προσωπικών δεδομένων.
  •  Συνέπεια αυτής της παραβίασης είναι ότι ο Υπεύθυνος Επεξεργασίας (Data Protection Officer ) δεν είναι σε θέση να εγγυηθεί τη συμμόρφωση με τις αρχές που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα ιδίως αυτές  της ακεραιότητας καθώς και της εμπιστευτικότηταςΓια τον σκοπό αυτό πρέπει να υιοθετήσετε μια διαδικασία Αντιμετώπισης Περιστατικών Ασφάλειας & Γνωστοποίησης τυχόν Παραβιάσεων

    Δυο είναι τα σχετικά άρθρα που αφορούν την διαδικασία αυτή .

  • Το άρθρο  33 που αφορά την γνωστοποίηση τυχόν παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Προσωπικών Δεδομένων
  • Το άρθρο 34 που σχετίζεται με την ανακοίνωση τυχόν παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

Η εταιρία που είναι ο Υπεύθυνος Επεξεργασίας για να ανταποκριθεί στις υποχρεώσεις των προαναφερθέντων άρθρων  πρέπει να διαθέτει συγκεκριμένη διαδικασία αντιμετώπισης περιστατικών ασφάλειας και γνωστοποίησης παραβιάσεων η οποία να περιλαμβάνει τουλάχιστον  τα ακόλουθα:
Σαφείς ρόλους των οργάνων της εταιρίας. Πρόβλεψη των απαιτούμενων ενεργειών που απαιτούνται για την αντιμετώπιση ενός τέτοιου περιστατικού όπως ενδεικτικά τρόπος αναφοράς του περιστατικού, συγκέντρωση σχετικών  στοιχείων του συμβάντος και αξιολόγηση αυτού καθώς και την ενημέρωση της διοίκησης της εταιρείας από τον Data Protection Officer ( DPO)  , των  εμπλεκομένων και της Αρχής Προστασίας Προσωπικών Δεδομένων καθώς και τον ορισμό τρόπου και μέτρα περιορισμού των επιπτώσεων του περιστατικού παραβίασης.

Ο DPO οφείλει να  ενημερώσει την Αρχή  αμελλητί μέσα σε χρονικό διάστημα 72 ωρών,  από τη στιγμή που αποκτά γνώση του γεγονότος της παραβίασης  , εκτός αν έχει αξιολογήσει και φυσικά μπορεί να αποδείξει ότι το περιστατικό δεν αποτελεί κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων των οποίων τα προσωπικά δεδομένα εμπλέκονται. Έυσι θα αποφύγετε και το σχετικό gdpr πρόστιμο το οποίο πάντα είναι βαρύτατο.

Προσοχή σε αυτό το σημείο. Αν η  γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιηθεί εντός του προαναφερθέντος χρονικού διαστήματος των  72 ωρών, αυτή θα πρέπει να συνοδεύεται από αιτιολόγηση για την καθυστέρηση βάσει του άρθρου άρθρο 33  και της παραγράφου  1.

Ακολουθεί το υπόδειγμα μας για την διαδικασία διαχείρισης περιστατικών παραβίασης προσωπικών δεδομένων το οποίο φυσικά πρέπει να εμπλουτιστεί με τις ενέργειες  και τις προβλέψεις που έχουν γίνει ήδη.

Διαδικασία Διαχείρισης Περιστατικών Παραβίασης Προσωπικών Δεδομένων gdpr

Η Επιχείρηση επενδύει στην προστασία των προσωπικών δεδομένων που επεξεργάζεται – είτε αυτά αφορούν σε εργαζομένους της, είτε σε οποιοδήποτε τρίτο φυσικό πρόσωπο με το οποίο αυτή συναλλάσσεται – στοχεύοντας στην εξάλειψη της πιθανότητας επέλευσης συμβάντος, το οποίο μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση, καταστροφή, διαγραφή ή και διαρροή τους.

Σε αυτή την κατεύθυνση και σε συμμόρφωση με τα άρθρα 33 και 34 του Γενικού Κανονισμού Προστασίας Δεδομένων, εφαρμόζεται η παρακάτω διαδικασία:

Βήμα 1ο

Εντοπισμός και αρχική αξιολόγηση του περιστατικού

Εάν οποιοσδήποτε εργαζόμενος (ή εξωτερικός συνεργάτης) αντιληφθεί ότι συνέβη κάποιο περιστατικό παραβίασης ασφάλειας δεδομένων, πρέπει να το αναφέρει άμεσα στον προϊστάμενό του (ή, αν πρόκειται για συνεργάτη, στο αρμόδιο άτομο από την “όνομα επιχείρησης” ).

Ο προϊστάμενος με τη σειρά του το αναφέρει άμεσα στον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων της όνομα επιχείρησης και “ονοματεπώνυμο υπευθύνου”

Αναφέρονται πάσης φύσεως περιστατικά παραβίασης χωρίς ο εκάστοτε εργαζόμενος / συνεργάτης / προϊστάμενος να αξιολογήσει κατά πόσο η παραβίαση αφορά προσωπικά δεδομένα ή όχι.

Βήμα 2ο

Αξιολόγηση του κατά πόσο το συγκεκριμένο περιστατικό παραβίασης αφορά σε δεδομένα προσωπικού χαρακτήρα

Ο Data Protection Officer θα εξετάσει εάν το υπό διερεύνηση περιστατικό αφορά και σε δεδομένα προσωπικού χαρακτήρα (μπορεί να αφορά σε δεδομένα της εταιρείας ή και  στατιστικά δεδομένα).

Βήμα 3ο

Αξιολόγηση των κινδύνων που είναι δυνατόν να δημιουργηθούν από το συγκεκριμένο περιστατικό παραβίασης για τα υποκείμενα των δεδομένων

Σε περίπτωση που κριθεί ότι το υπό διερεύνηση περιστατικό αφορά σε δεδομένα προσωπικού χαρακτήρα, ο Data Protection Officer θα προχωρήσει άμεσα σε ενημέρωση της Διοίκησης, των υπευθύνων των τμημάτων που αφορά η παραβίαση και, εφόσον η παραβίαση αφορά ηλεκτρονικό αρχείο, του προϊσταμένου του τμήματος IT.

Ταυτόχρονα ο Data Protection Officer προβαίνει σε αξιολόγηση των κινδύνων που μπορεί να δημιουργηθούν για τα υποκείμενα των δεδομένων από το συγκεκριμένο περιστατικό παραβίασης.

Στο πλαίσιο αυτό εξετάζεται τι είδους δεδομένα παραβιάστηκαν (απλά / ευαίσθητα / κρυπτογραφημένα / ψευδωνυμοποιημένα), τι συνέβη στα δεδομένα (υποκλοπή / καταστροφή), πόσα άτομα επηρεάζονται από το περιστατικό, τι είδους συνέπειες ενδέχεται να υποστούν τα υποκείμενα (ως προς τη φυσική τους ασφάλεια / τη φήμη / την οικονομική τους κατάσταση).

Στο κομμάτι αυτό, εφόσον απαιτείται, ο Data Protection Officer συνεπικουρείται από την ομάδα των ως άνω υπευθύνων τμημάτων που έχει κληθεί προς υποστήριξη.

Βήμα 4ο

Γνωστοποίηση σε Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα /Υποκείμενα

Εάν ο Data Protection Officer κρίνει ότι η συγκεκριμένη παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, προχωράει αμελλητί σε γνωστοποίηση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα  και σε κάθε περίπτωση εντός 72 ωρών από τη στιγμή που η εταιρεία θα αποκτήσει γνώση του γεγονότος.

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η οποία ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, η εταιρεία υποχρεούται να ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στα ίδια τα υποκείμενα των δεδομένων.

Σε κάθε άλλη περίπτωση, όταν δηλαδή δεν ενδέχεται να προκληθούν κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων π.χ. επειδή τα δεδομένα προσωπικού χαρακτήρα που παραβιάστηκαν ήταν ψευδωνυμοποιημένα / κρυπτογραφημένα, ο Data Protection Officer δεν προβαίνει σε καμία γνωστοποίηση.

Καταγράφει όμως το περιστατικό παραβίασης στο βιβλίο καταγραφής περιστατικών παραβίασης ασφάλειας δεδομένων, το οποίο τηρείται στα γραφεία της εταιρείας, έτσι ώστε να μπορεί να τεκμηριωθεί η συμμόρφωση της Εταιρείας με το άρθρο 33 παρ. 5 του Κανονισμού.

Εφαρμογή του Κώδικα

Η συμμόρφωση και εφαρμογή των αρχών του παρόντος Κώδικα, αφορά όλους όσοι εργάζονται στη “όνομα επιχείρησης”, εταιρείες κατά οποιονδήποτε τρόπο συνδεδεμένες με τη “όνομα επιχείρησης” , εταιρείες οι οποίες εξαρτώνται κατά οποιονδήποτε τρόπο από τη “όνομα επιχείρησης” και εταιρείες που ανήκουν ή θα μπορούν να ανήκουν στο μέλλον σε όμιλο επιχειρήσεων “όνομα επιχείρησης” , ανεξάρτητα από την νομική/συμβατική μορφή τους (παροχής εξαρτημένης εργασίας, παροχής ανεξάρτητων υπηρεσιών, έργου, κ.λπ.) ή τη διάρκειά τους, ανάλογα με τα καθήκοντα και τις ευθύνες τους και ανεξαρτήτως της ιεραρχικής θέσης που κατέχουν.

Κάθε εργαζόμενος λαμβάνει γνώση του παρόντος Κώδικα Δεοντολογίας και Επαγγελματικής Συμπεριφοράς και τον τηρεί, αποδεχόμενος ότι αποτελεί μέρος των συμβατικών του υποχρεώσεων έναντι της “όνομα επιχείρησης”

Ημερομηνία Υπεύθυνος (σφραγίδα -υπογραφή)

Το να έχει η διαδικασία αυτή την πιστοποίηση ενός οργανισμού , όπως της  e-data protection officers ltd , που εδρεύει στο Λονδίνο του Ηνωμένου Βασιλείου  με την οποία εμείς σαν dreamweaver.gr συνεργαζόμαστε αποτελεί απαραίτητη προϋπόθεση. Ελπίζουμε να μπορέσαμε να σας βοηθήσουμε ενώ θα χαρούμε να μας καλέσετε στο 210 74 84 84 5 ή να μας στείλετε email στο s at dreamweaver .gr με απορίες και διευκρινήσεις που πιθανότατα έχετε

Για την dreamweaver.gr

Θανάσης Δαβαλάς

GDPR και cookies.

GDPR και cookies | Τι χρειάζεται να γνωρίζω; | Συμμορφώνεται η ιστοσελίδα μου με την χρήση cookies;
________________________________________

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) και η Οδηγία για την προστασία ιδιωτικής ζωής (ePR) επηρεάζουν το πώς μπορείτε ως ιδιοκτήτης ιστοσελίδας να χρησιμοποιήσετε cookies και online tracking επισκεπτών από την ΕΕ.

Η Ευρωπαϊκη νομοθεσία για τη διαχείριση προσωπικών δεδομένων, ο Γενικός Κανονισμός Προστασίας Δεδομένων , αναφέρεται συχνά ως GDPR.
Πώς επηρεάζει ο GDPR τα cookies και το online tracking σας? Πώς μπορείτε να συμμορφωθείτε? Και πώς επηρεάζει την πολιτική cookies σας και τη συγκατάθεση σε cookies σας?

Σε αυτό το άρθρο προσφέρουμε μία αναλυτική εισαγωγή στον GDPR και έναν πρακτικό οδηγό σχετικά με το τι σημαίνουν οι νέοι κανόνες για εσάς και τη ιστοσελίδα σας. Σαν dreamweaver.gr έχουμε φροντίσει σχολαστικά  ώστε οι προσφάτως κατασκευασθέντες ιστοσελίδες μας καθώς και τα ηλεκτρονικά μας καταστήματα / eshop να διαθέτουν τις τεχνολογίες που απαιτούνται από τον νέο κανονισμό gdpr προκειμένου να είναι συμβατά με τον νέο γενικό κανονισμό προστασίας προσωπικών δεδομένων

GDPR και cookies

Ο GDPR είναι ένα σύνολο Ευρωπαϊκών κανονισμών που αντιπροσωπεύουν την πιο σημαντική πρωτοβουλία προστασίας δεδομένων εδώ και 20 χρόνια.

Ο σκοπός του είναι να προστατεύσει “φυσικά πρόσωπα όσον αφορά την επεξεργασία προσωπικών δεδομένων και την ελεύθερη κυκλοφορία τέτοιων δεδομένων ”, π.χ. το χρήστη μίας ιστοσελίδας.

Τα cookies αναφέρονται μία φορά στον 88 σελίδων κανονισμό. Αυτές οι λίγες γραμμές, παρόλα αυτά, έχουν σημαντική επίδραση στη συμμόρφωση όσον αφορά τα cookies:

(30): “Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας […]όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία […].Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.”

Με άλλα λόγια: όταν τα cookies μπορούν να ταυτοποιήσουν ένα άτομο, θεωρούνται προσωπικά δεδομένα.

Τι γίνεται με τα cookies επιτέλους;

Τα cookies είναι μικρά αρχεία που τοποθετούνται αυτόματα στον υπολογιστή σας όσο περιηγείστε στο διαδίκτυο. Από μόνα τους, είναι αβλαβή κομμάτια κειμένου που αποθηκεύονται τοπικά και μπορούν να ειδωθούν και διαγραφούν με ευκολία.
Τα cookies ωστόσο μπορούν να παρέχουν πολλές πληροφορίες σχετικά με τη δραστηριότητα και τις προτιμήσεις σας και μπορούν να χρησιμοποιηθούν ώστε να σας ταυτοποιήσουν χωρίς τη ρητή συγκατάθεσή σας.

Αυτό συνιστά μία μεγάλη παράβαση από νομικής άποψης και, καθώς οι τεχνολογίες δεδομένων γίνονται όλο και πιο εξελιγμένες, η ιδιωτικότητά σας ως χρήστη τίθεται όλο και περισσότερο σε κίνδυνο.

Τα cookies συχνά δεν προέρχονται καν απο την ιστοσελίδα που επισκέπτεστε αλλά από τρίτους που σας παρακολουθούν για εμπορικούς σκοπούς. Όλα αυτά λαμβάνουν χώρα στα “παρασκήνια”.

Αν και δε χρησιμοποιούνται όλα τα cookies με τρόπο που θα μπορούσε να ταυτοποιήσει χρήστες, η πλειοψηφία (και τα πιο χρήσιμα στους ιδιοκτήτες ιστοσελίδων) το κάνουν και υπόκεινται επομένως στον GDPR.

Cookies για υπηρεσίες ανάλυσης, διαφήμισης και λειτουργίας, όπως εργαλεία ερευνών και chat, είναι όλα παραδείγματα cookies που μπορούν να ταυτοποιήσουν χρήστες.

Το πρόβλημα με τα cookies είναι τόσο η ιδιωτικότητα – τι καταγράφεται; – και η διαφάνεια – ποιός σας ακολουθεί, για ποιό σκοπό, πού πηγαίνουν τα δεδομένα και πόσο καιρό παραμένουν;

Απαιτήσεις: Πώς εξασφαλίζετε ότι η ιστοσελίδα και τα cookies σας συμμορφώνεται με τον GDPR?

Ως ιδιοκτήτης ιστοσελίδας, η λήψη μέτρων προς συμμόρφωση σημαίνει την εξέταση των σχετικών με δεδομένα διαδικασιών σας και την εξασφάλιση του ότι η διαχείριση προσωπικών δεδομένων είναι σύμφωνη με τους νέους κανονισμούς .

Δείτε επίσης την ενημερωτική σελίδα από την ΕΕ: Προστασία δεδομένων: Καλύτεροι κανόνες για μικρές επιχειρήσεις

Ο Γενικός Κανονισμός Προστασίας Δεδομένων θεωρεί ένα όνομα, μία φωτογραφία, μία διεύθυνση ηλεκτρονικού ταχυδρομείου, τραπεζικές πληροφορίες, αναρτήσεις σε ιστοσελίδες κοινωνικής δικτύωσης, ιατρικά δεδομένα ή μία διεύθυνση IP προσωπικά δεδομένα.
Εάν η ιστοσελίδα ή ο οργανισμός σας επεξεργάζεται δεδομένα που είναι

(α) άμεσα προσωπικής φύσης, ή

(β) μπορούν να συνδυαστούν ή απομονωθούν προκειμένου να ταυτοποιήσουν ένα πρόσωπο, πρέπει να αναθεωρηθεί ώστε να πληρεί τις προϋποθέσεις.

Ελέγξετε και αξιολογήστε τα ευαίσθητα δεδομένα στον οργανισμό σας, επιθεωρήστε τις πολιτικές ασφαλείας σας και εξασφαλίστε οτι τα δεδομένα είναι ασφαλή.

Τα δύο βασικά σημεία που πρέπει να έχετε υπόψην σας είναι:

• Πώς αποθηκεύετε δεδομένα πελατών και χρηστών στον οργανισμό σας, και
• Τα cookies στην ιστοσελίδα σας (first-party και third-party εξίσου).

Η προσαρμογή της πολιτικής cookies και της συγκατάθεσης σε cookies σας είναι ένα σημαντικό κομμάτι αυτής της διαδικασίας.

Ποια στοιχεία πρέπει να υπάρχουν σε μία συγκατάθεση σε cookies που συμμορφώνεται με τον GDPR;

Κάθε διαφημιστική ενέργεια στο internet που στηρίζεται στην χρήση cookies όπως ενδεικτικά η διαφήμιση στο facebook μέσω facebook remarketing ή η διαφήμιση στο Google μέσω google remarketing σας επηρεάζει άμεσα. Σε ορισμένες περιπτώσεις και αναλόγως των τακτικών που χρησιμοποιείται για την προώθηση της ιστοσελίδας σας ή την προώθηση του ηλεκτρονικού σας καταστήματος χρησιμοποιούνται cookies και πρέπει να βεβαιωθείτε ότι δεν θα υποστείτε ένα βαρύτατο πρόστιμο που ανέρχεται στο 4% του τζίρου σας επειδή ο διαφημιστής δεν έχει συμμορφώσει τις πολιτικές του με τις απαιτήσεις του gdpr

Μία από τις πλέον χειροπιαστές απαιτήσεις του GDPR είναι ο ορισμός του τι αποτελεί μία κατάλληλη συγκατάθεση σε cookies, το οποίο σημαίνει ότι η συγκατάθεση πρέπει να είναι:

• Ενημερωμένη: Γιατί, πώς και πού χρησιμοποιούνται τα προσωπικά δεδομένα; Πρέπει να είναι ξεκάθαρο στο χρήστη σε τι συναινεί και πρέπει να είναι εφικτό να αποδεχθεί ή μη τα διάφορα είδη cookies.
• Βασισμένη σε πραγματική επιλογή: Αυτό σημαίνει, για παράδειγμα, οτι ο χρήστης πρέπει να έχει πρόσβαση στην ιστοσελίδα και τις λειτουργίες της ακόμη και όταν έχουν απορριφθεί όλα τα cookies εκτός από τα απολύτως απαραίτητα.
• Να παρέχεται μέσω καταφατικής θετικής δράσης που δεν μπορεί να παρερμηνευθεί.
• Να παρέχεται πριν απο την αρχική επεξεργασία των προσωπικών δεδομένων.
• Να μπορεί να αποσυρθεί. Πρέπει να είναι εύκολο για το χρήστη να αλλάξει γνώμη και να αποσύρει τη συγκατάθεσή του/της.

Επιπλέον,

• Ο χρήστης έχει δικαίωμα στη λήθη. Μετά απο αίτημα του χρήστη, όλα τα προσωπικά δεδομένα του/της πρέπει να διαγράφονται.
• Όλες οι παρασχεθείσες συγκαταθέσεις πρέπει να καταγράφονται προς τεκμηρίωση.

Τι είναι μία ειδοποίηση cookies που συμμορφούται με τον GDPR;

Οι ανωτέρω απαιτήσεις καθιστούν τις περισσότερες ειδοποιήσεις για cookies σε χρήση πριν από την εφαρμογή του GDPR παρωχημένες.
Για παράδειγμα, η σιωπηρή συγκατάθεση και η συγκατάθεση απλά μέσω της επίσκεψης μίας ιστοσελίδας δεν είναι πλέον επαρκείς.
Το ίδιο ισχύει για pop-ups και banners που δηλώνουν οτι ‘Με τη χρήση αυτής της ιστοσελίδας αποδέχεστε τα cookies’.
Ένα απλό κουμπί ΟΚ για την αποδοχή των cookies επίσης δεν επαρκεί .
Αυτό π.χ. δεν είναι αρκετό:

 

Παράδειγμα banner συγκατάθεσης σε cookies που συμμορφούται με τον GDPR

Αυτή είναι η ειδοποίηση της Cookiebot που ζητά συγκατάθεση για την τοποθέτηση cookies συμμορφούμενη με τον GDPR και την ePrivacy:

Συμμορφώνεται με τους κανονισμούς λόγω των παρακάτω:

• Πρώτα απ’όλα, παρόλο που δεν είναι εμφανές δια γυμνού οφθαλμού, όλα τα scripts εκτός από τα απολύτως απαραίτητα είναι σε παύση μέχρι να παρασχεθεί η συγκατάθεση στα cookies. Το χαρακτηριστικό αυτό ονομάζεται ‘πρότερη συγκατάθεση’ και είναι απαίτηση τόσο του GDPR όσο και της Οδηγίας e-Privacy. Στον GDPR πρέπει να υπάρχει συγκατάθεση για την τοποθέτηση cookies που παρακολουθούν προσωπικά δεδομένα, ενώ στην Οδηγία ePrivacy απαιτείται συγκατάθεση του χρήστη πριν από την τοποθέτηση κάθε είδους cookies άλλου από τα απολύτως απαραίτητα.
• Οι πληροφορίες σχετικά με τα cookies είναι ακριβείς και συγκεκριμένες και παρέχονται σε σαφή και απλή γλώσσα, όλα απαιτήσεις του GDPR.
• Εάν ο χρήστης επιλέξει να εμφανιστούν οι λεπτομέρειες, η ειδοποίηση επεκτείνεται σε μία πλήρη επισκόπηση όλων των ενεργών cookies και online tracking που χρησιμοποιούνται στην ιστοσελίδα. Η λίστα βασίζεται σε μηνιαίο έλεγχο όλων των σελίδων της ιστοσελίδας που ανιχνεύει και αναγνωρίζει όλα τα cookies και τις γνωστές τεχνολογίες tracking που χρησιμοποιούνται στην ιστοσελίδα. Τα cookies παρουσιάζονται ολοκληρωμένα με περιγραφές προέλευσης, διάρκειας και σκοπού.
• Τα cookies ομαδοποιούνται σε τέσσερις αναλυτικές κατηγορίες τις οποίες ο χρήστης μπορεί να επιλέξει ή όχι. Τα απαραίτητα cookies δεν μπορούν να μην επιλεγούν, επειδή είναι whitelisted και απαραίτητα για τη σωστή λειτουργία της ιστοσελίδας. Οι κατηγορίες cookies που δε διαχειρίζονται προσωπικά δεδομένα μπορούν να είναι προεπιλεγμένες ενώ αυτές που διαχειρίζονται πρέπει να επιλεγούν ενεργητικά απο το χρήστη προκειμένου να υπάρχει συμμόρφωση.
• Στο συγκεκριμένο παράδειγμα, τα cookies για προτιμήσεις και στατιστικά στην ιστοσελίδα δε διαχειρίζονται προσωπικά δεδομένα και μπορούν επομένως να είναι προεπιλεγμένα. Τα marketing cookies παρακολουθούν προσωπικά δεδομένα και είναι επομένως μη επιλεγμένα ως προεπιλογή.
• Ο χρήστης έχει πρόσβαση στη συγκατάθεσή του στην ιστοσελίδα και μπορεί ανά πάσα στιγμή να αλλάξει γνώμη ως προς τη συγκατάθεση και να επιλέξει να την αποσύρει.
• Όλες οι παρασχεθείσες συγκαταθέσεις είναι αποθηκευμένες με ασφάλεια ως τεκμηρίωση οτι η συγκατάθεση έχει παρασχεθεί, άλλη μία απαίτηση του GDPR.
• Κάθε 12 μήνες από την πρώτη επίσκεψη του χρήστη στην ιστοσελίδα η συγκατάθεση εμφανίζεται ξανά ζητώντας ανανέωση.

Πώς κάνω την πολιτική cookies μου συμβατή με τον GDPR;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων σημαίνει οτι θα πρέπει να αναθεωρήσετε την πολιτική cookies σας ώστε να είναι σύμφωνη με τους κανονισμούς.
Ο GDPR και η Οδηγία ePrivacy της ΕΕ απαιτούν πρότερη ενημερωμένη συγκατάθεση από τους χρήστες της ιστοσελίδας σας και ο GDPR απαιτεί να τεκμηριώνετε κάθε συγκατάθεση.

Ταυτόχρονα, πρέπει να μπορείτε να εξηγήσετε ποια δεδομένα χρηστών μοιράζεστε με ενσωματωμένες υπηρεσίες τρίτων στην ιστοσελίδα σας και πού αποστέλλονται τα στοιχεία χρηστών στον κόσμο.

Μία πολιτική cookies GDPR και ePrivacy πρέπει να συμμορφώνεται με τις ακόλουθες απαιτήσεις:

Διαφανής πολιτική cookies

Μία συμμορφούμενη πολιτική cookies πρέπει να δίνει στο χρήστη μία ξεκάθαρη και ακριβή εικόνα του πώς χρησιμοποιούνται τα cookies στην ιστοσελίδα ανά πάσα στιγμή. Το να είναι η πολιτική cookies γραμμένη σε απλή και κατανοητή γλώσσα είναι μία από τις απαιτήσεις.

Επισκόπηση και ευθύνη για cookies στην ιστοσελίδα σας

Μπορεί να υποβληθείτε σε ελέγχους και να απαιτηθεί να λογοδοτήσετε αναλυτικά για τις διεργασίες δεδομένων που πραγματοποιούνται αναφορικά με την ιστοσελίδα σας.Αυτό γίνεται πιο δύσκολα από οτι λέγεται αφού οι περισσότερες ιστοσελίδες έχουν ένα μεγάλο αριθμό cookies τρίτων να ρέουν διαμέσου του συστήματός τους.

Ζητείται συγκατάθεση μέσω θετικής δράσης

Η μεγαλύτερη αλλαγή της GDPR όσον αφορά τα cookies και το online tracking είναι το ότι η συγκατάθεση πρέπει να δίνεται μέσω ξεκάθαρης θετικής δράσης.
Οι πολίτες της ΕΕ έχουν συνηθίσει –παρόλο που πιθανώς τους ενοχλούν ελαφρώς- τα banners σε όλες τις ιστοσελίδες που ανακοινώνουν τη χρήση cookies, μερικές φορές ζητώντας την επιλογή του OK αλλά χωρίς να προσφέρουν πραγματική επιλογή.
Αυτό δεν είναι επαρκές με τους κανονισμούς. Η συγκατάθεση πρέπει να δοθεί ως καταφατική θετική δράση και η απόρριψη των cookies πρέπει να είναι μία πραγματική επιλογή.

Δυνατότητα απόσυρσης της συγκατάθεσης ανά πάσα στιγμή

Ο χρήστης πρέπει να έχει τη δυνατότητα να αποσύρει τη συγκατάθεσή του/της.
Είναι επομένως σημαντικό το να εξασφαλιστεί οτι οι χρήστες έχουν πρόσβαση στην παρούσα κατάσταση συγκατάθεσής τους ανά πάσα στιγμή και μπορούν να αλλάξουν τις ρυθμίσεις ή να αποσύρουν συνολικά τη συγκατάθεσή τους.

Ανανέωση της συγκατάθεσης

Η συγκατάθεση πρέπει να ανανεώνεται κάθε 12 μήνες από την πρώτη επίσκεψη του χρήστη στην ιστοσελίδα.
Φιλικός στο χρήστης διάλογος χωρίς περιττά στοιχεία
Μία πρόκληση του GDPR είναι το οτι από τη μία, η χρήση των cookies πρέπει να είναι διαφανής και οι χρήστες πρέπει να έχουν στη διάθεσή τους πληροφόρηση σχετικά με το πώς χρησιμοποιούνται τα δεδομένα τους.
Από την άλλη, ωστόσο, η επικοινωνία πρέπει να είναι ξεκάθαρη και εύκολα κατανοητή ώστε ο χρήστης να έχει πραγματική επιλογή.

Πρότερη συγκατάθεση

Με τον GDPR και την Οδηγία ePrivacy, η συγκατάθεση του χρήστη πρέπει να δοθεί πριν την τοποθέτηση των cookies. Στον GDPR απαιτείται πρότερη συγκατάθεση για την τοποθέτηση cookies που παρακολουθούν προσωπικά δεδομένα, ενώ η Οδηγία ePrivacy είναι ακόμη πιο ευρεία και απαιτεί τη λήψη συγκατάθεσης για την τοποθέτηση όλων των cookies, εκτός από τα απολύτως απαραίτητα.
Οι συγκαταθέσεις πρέπει να καταγράφονται ως αποδείξεις
Όλες οι συγκαταθέσεις πρέπει να αποθηκεύονται με ασφάλεια ώστε να μπορούν να χρησιμοποιηθούν ως αποδείξεις σε περίπτωση ελέγχου.

Μπορώ να χρησιμοποιήσω ένα υπόδειγμα πολιτικής cookies;
________________________________________
Υπάρχουν αναρίθμητες υπηρεσίες στο internet που παρέχουν υποδείγματα ή παράγουν πολιτικές cookies για την ιστοσελίδα σας. Απλά αναζητήστε “cookie policy template” και θα βρείτε διάφορες για να επιλέξετε.
Να είστε ωστόσο προσεκτικοί. Συνιστούμε να μη χρησιμοποιείτε υποδείγματα ή δημιουργούς πολιτικών, διότι είναι απαίτηση του GDPR οι πληροφορίες σχετικά με τα cookies και το tracking να είναι συγκεκριμένες και ακριβείς.
Πρώτα απ’όλα, όλες οι ιστοσελίδες είναι διαφορετικές, και δεύτερον, τα cookies μπορεί να αλλάξουν χωρίς να το προσέξετε καν, ειδικά αν χρησιμοποιείτε τρίτους όπως ενσωματωμένο περιεχόμενο, διαφημίσεις ή εργαλεία ανάλυσης.
Με το Cookiebot μπορείτε να δημοσιεύσετε την αναφορά από τη μηνιαία σάρωση της ιστοσελίδας σας ως ολοκληρωμένο κομμάτι της πολιτικής cookies ή της πολιτικής ιδιωτικότητάς σας.
Με αυτόν τον τρόπο, οι πληροφορίες που παρέχετε στους χρήστες σας σχετικά με τα cookies σε χρήση στην ιστοσελίδα σας είναι ακριβείς ανά πάσα στιγμή.
Πώς να κάνετε εύκολα τα cookies και το online tracking συμβατά με τον GDPR και την ePrivacy
________________________________________
Προκειμένου να συμμορφωθείτε με τις απαιτήσεις, μπορείτε να δημιουργήσετε τη δική σας συγκατάθεση βασισμένη στον GDPR. Ή να γραφτείτε στο Cookiebot, πλήρως συμβατές με τον GDPR λύσεις cookies και online tracking.

Το Cookiebot συνδυάζει την πολιτική cookies με την παρακολούθηση της δραστηριότητας cookies στην ιστοσελίδα σας, εξασφαλίζοντας έτσι οτι η πολιτική είναι επικαιροποιημένη και αληθής ανά πάσα στιγμή.

Μία μηνιαία αναφορά παράγεται σχετικά με τα cookies και τη δραστηριότητα επεξεργασίας δεδομένων στην ιστοσελίδα, εξασφαλίζοντας ότι ο ιδιοκτήτης έχει τον έλεγχο ανά πάσα στιγμή.

Η συγκατάθεση του χρήστη ζητείται μέσω ενός κατανοητού banner, στο οποίο οι χρήστες μπορούν να αποδεχθούν ή μη τα διάφορα είδη cookies.

Οι χρήστες μπορούν να έχουν ανά πάσα στιγμή πρόσβαση στη συγκατάθεση και να την επεξεργαστούν ή αποσύρουν.
Κάθε δώδεκα μήνες από την πρώτη επίσκεψη του χρήστη στην ιστοσελίδα, η συγκατάθεση ανανεώνεται αυτόματα.
Η επικοινωνία στο banner συγκατάθεσης είναι φιλική στο χρήστη και χωρίς περιττά στοιχεία, προσφέροντας πραγματική διαφάνεια αλλά αποφεύγοντας ταυτόχρονα τον κορεσμό με πληροφορίες.
Η συγκατάθεση ζητείται πριν από την τοποθέτηση των cookies, εκτός απο τα απολύτως απαραίτητα και επομένως νόμιμα.
Όλες οι συγκαταθέσεις συλλέγονται αυτόματα μέσω μίας ασφαλούς σύνδεσης και αποθηκεύονται ως ισχυρά κρυπτογραφημένα κλειδιά.
GDPR και είδη tracking cookies
________________________________________
Υπάρχουν συνολικά τέσσερις διαφορετικοί τύποι cookies, ανάλογα με τη διάρκεια και την προέλευσή τους.

Ο GDPR επηρρεάζει και τους τέσσερις τύπους και η προέλευση και η διάρκεια των cookies πρέπει να παρουσιάζονται στο χρήστη ώστε να τις αποδεχθεί με καταφατικό και ενημερωμένο τρόπο.

Session cookies και ο GDPR

Αυτά τα cookies είναι προσωρινά και λήγουν αφού εγκαταλείψετε την ιστοσελίδα. Session cookies χρησιμοποιούνται κυρίως από ηλεκτρονικά καταστήματα για να διατηρήσουν τα αντικείμενά σας στο καλάθι όσο ψωνίζετε online.

Μόνιμα cookies και ο GDPR

Μόνιμα cookies μπορεί να παραμείνουν στο δίσκο σας για μεγάλο διάστημα αφού έχει ολοκληρωθεί η επίσκεψη.
Σύμφωνα με τον νόμο, πρέπει να διαγράφονται τουλάχιστον κάθε 12 μήνες, αλλά ένα cookie μπορεί να μείνει στο δίσκο για πάντα.
Αυτά τα cookies μπορεί να διαθέτουν πληροφορίες όπως στοιχεία σύνδεσης, πληροφορίες επαφής και αριθμούς λογαριασμού ώστε να μη χρειάζεται να τα πληκτρολογείτε κάθε φορά που χρησιμοποιείτε την ιστοσελίδα.

First-party cookies και ο GDPR

First-party cookies εκδίδονται από την ιστοσελίδα που επισκεφθήκατε. Αυτά τα cookies συχνά χρησιμεύουν ώστε να δώσουν στην ιστοσελίδα μνήμη σχετικά με τα δεδομένα και τις προτιμήσεις σας.

Third-party cookies και ο GDPR

Third-party cookies είναι cookies που τοποθετούνται από μία ιστοσελίδα διαφορετική από αυτήν στην οποία βρίσκεστε.
Ο σκοπός των third-party cookies είναι συχνά η συλλογή συγκεκριμένων πληροφοριών για την πραγματοποίηση ερευνών σχετικά με τη συμπεριφορά και τα δημογραφικά στοιχεία, καθώς και για στοχευμένο marketing κτλ.

Τι είναι ο GDPR?
________________________________________
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι νομοθεσία με εφαρμογή σε ολόκληρη την ΕΕ που ρυθμίζει –μεταξύ άλλων- πώς διαχειρίζονται οι ιστοσελίδες προσωπικά δεδομένα.
Είναι η πιο σημαντική πρωτοβουλία σχετικά με την προστασία δεδομένων εδώ και 20 χρόνια και έχει βαρυσήμαντες επιπτώσεις για κάθε οργανισμό παγκοσμίως ο οποίος εξυπηρετεί άτομα απο την Ευρωπαϊκή Ένωση.
Προκειμένου να δώσει τον έλεγχο στα άτομα ως προς το πώς χρησιμοποιούνται τα δεδομένα τους και να προστατεύσει “θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων”, ο κανονισμός θέτει αυστηρές απαιτήσεις σχετικά με διαδικασίες διαχείρισης δεδομένων, διαφάνεια, τεκμηρίωση και συγκατάθεση χρηστών.
Ως διαχειριστής δεδομένων, κάθε οργανισμός πρέπει να καταγράφει και να επιτηρεί τις δραστηριότητες διαχείρισης προσωπικών δεδομένων.
Αυτό περιλαμβάνει προσωπικά δεδομένα των οποίων η διαχείριση γίνεται εντός του οργανισμού αλλά και από τρίτους – τους αποκαλούμενους επεξεργαστές δεδομένων.
Οι επεξεργαστές δεδομένων μπορούν να είναι ο,τιδήποτε από παρόχους Software-as-a-Service μέχρι ενσωματωμένες υπηρεσίες τρίτων που παρακολουθούν και επισκέπτες στην ιστοσελίδα του οργανισμού και δημιουργούν προφίλ τους.
Τόσο οι διαχειριστές όσο και οι επεξεργαστές δεδομένων πρέπει να είναι σε θέση να δικαιολογήσουν το είδος των δεδομένων που επεξεργάζονται, το σκοπό της επεξεργασίας και το σε ποιές χώρες και τρίτους αναμεταδίδονται τα δεδομένα.
Δεδομένα μπορούν να μεταφερθούν μόνο σε άλλους οργανισμούς που συμμορφώνονται με τον GDPR ή σε εκείνους εντός δικαιοδοσιών που κρίνονται ‘επαρκείς’.
Καμία επεξεργασία ευαίσθητων προσωπικών δεδομένων δεν επιτρέπεται χωρίς τη ρητή συγκατάθεση ενός ατόμου. Για μη ευαίσθητα δεδομένα, επαρκεί η σιωπηρή συγκατάθεση.
Σε κάθε περίπτωση, η συγκατάθεση πρέπει να δίνεται ελεύθερα επί τη βάσει σαφών και συγκεκριμένων πληροφοριών σχετικά με είδη δεδομένων και σκοπούς – και πάντα προτού λάβει χώρα οποιαδήποτε επεξεργασία, επίσης γνωστή και ως ‘πρότερη’ συγκατάθεση.
Όλες οι συγκαταθέσεις πρέπει να καταγράφονται ως αποδείξεις οτι η συγκατάθεση έχει δοθεί.
Τα άτομα τώρα έχουν το “δικαίωμα φορητότητας δεδομένων“, το “δικαίωμα πρόσβασης στα δεδομένα“, μαζί με το “δικαίωμα στη λήθη” και πρέπει να είναι σε θέση να αποσύρουν τη συγκατάθεσή τους οποτεδήποτε το θελήσουν.
Σε τέτοια περίπτωση, ο διαχειριστής δεδομένων πρέπει να διαγράψει τα προσωπικά δεδομένα του ατόμου, εάν δεν είναι πλέον απαραίτητα για το σκοπό για τον οποίο συνελλέγησαν.
Σε περίπτωση παραβίασης δεδομένων, η εταιρία πρέπει να είναι σε θέση να ειδοποιήσει τις αρχές προστασίας δεδομένων και τα άτομα που επηρρεάζονται εντός 72 ωρών.
Πέραν αυτών, ο GDPR επιβάλλει την υποχρέωση σε δημόσιες αρχές, οργανισμούς με περισσότερους από 250 εργαζόμενους και εταιρίες που επεξεργάζονται ευαίσθητα προσωπικά δεδομένα σε μεγάλη κλίμακα να απασχολούν ή εκπαιδεύουν έναν υπεύθυνο προστασίας δεδομένων (DPO).
Ο DPO πρέπει να λαμβάνει μέτρα για να εξασφαλίσει συμμόρφωση με τον GDPR σε όλον τον οργανισμό.
Σχετικά με το Brexit, η Βρετανική κυβέρνηση σχεδιάζει να εφαρμόσει ισοδύναμη νομοθεσία που θα ακολουθεί σε μεγάλο βαθμό τον GDPR.
Κανονισμός (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27 Aπριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Ποιος είναι ο ορισμός των προσωπικών δεδομένων κατά τον GDPR;

Στο Γενικό Κανονισμό για την Προστασία Δεδομένων, τα δεδομένα προς προστασία ορίζονται ως εξής (πλάγια στοιχεία δικά μας):
(26): Οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση, η οποία θα μπορούσε να αποδοθεί σε φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών, θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο.
Προκειμένου να καθοριστεί το εάν ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, πρέπει να ληφθούν υπόψην όλα τα μέσα, όπως η απομόνωση, τα οποία είναι πιθανόν να χρησιμοποιηθούν είτε απο το διαχειριστή ή από άλλο άτομο για να να γίνει άμεση ή έμμεση αναγνώριση του φυσικού προσώπου.
Προκειμένου να εξακριβωθεί το εάν κάποια μέσα είναι πιθανόν να χρησιμοποιηθούν για να ταυτοποιηθεί το φυσικό πρόσωπο, πρέπει να ληφθούν υπόψην όλοι οι αντικειμενικοί παράγοντες, όπως το κόστος και ο χρόνος που απαιτείται για την ταυτοποίηση, λαμβάνοντας υπόψην τη διαθέσιμη τεχνολογία τη δεδομένη στιγμή της επεξεργασίας και τις τεχνολογικές εξελίξεις.
Οι αρχές της προστασίας δεδομένων δεν πρέπει επομένως να εφαρμόζονται σε ανώνυμες πληροφορίες, συγκεκριμένα πληροφορίες που δε σχετίζονται με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, ή σε προσωπικά δεδομένα που έχουν καταστεί ανώνυμα με τέτοιον τρόπο ώστε το υποκείμενο των δεδομένων να μην είναι πλέον ταυτοποιήσιμο.

Αυτός ο Κανονισμός δεν αφορά επομένως την επεξεργασία τέτοιων ανώνυμων πληροφοριών, συμπεριλαμβανομένης για στατιστικούς ή ερευνητικούς σκοπούς.

Ημερομηνία εφαρμογής GDPR: 25η Μαϊου 2018

Μία Ευρωπαϊκή νομοθεσία τέτοιου εύρους και σημασίας είναι το αποτέλεσμα μίας μακράς διαδικασίας.
Τον Ιανουάριο του 2012, η Ευρωπαϊκή Επιτροπή πρότεινε μία ολοκληρωμένη αναθεώρηση των κανόνων προστασίας δεδομένων του 1995 (Οδηγία 95/46/EΕ), ευθυγραμμίζοντας την Ευρώπη με την ψηφιακή εποχή.

Στις 4 Μαϊου 2016, τα επίσημα κείμενα του Κανονισμού και της Οδηγίας δημοσιεύθηκαν στην Επίσημη Εφημερίδα της ΕΕ σε όλες τις επίσημες γλώσσες.

Ενώ ο κανονισμός τέθηκε σε ισχύ στις 24 Μαϊου 2016, η ημερομηνία εφαρμογής είναι η 25η Μαϊου 2018.

Μετά από αυτήν την ημερομηνία, οργανισμοί που αποτυγχάνουν να εφαρμόσουν τις απαιτήσεις ή να τεκμηριώσουν τις προσπάθειές τους να συμμορφωθούν θα αντιμετωπίζουν πρόστιμα έως 20 εκατομμυρίων ευρώ ή 4% του κύκλου εργασιών της εταιρίας το προηγούμενο οικονομικό έτος, ο,τι από τα δύο είναι υψηλότερο.

Ελπίζουμε να βοηθήσαμε στην κατανόηση του ζητήματος cookies και gdpr ενώ θα χαρούμε να σας βοηθήσουμε σε κάθε τυχόν απορία σας. Θα συνιστούσαμε να ρίξετε μια ματιά στην σελίδα μας που αναφερόμαστε εκτενώς στο ζήτημα αυτό και τις υπηρεσίες που παρέχουμε σχετικά με το gdpr και τις υπηρεσίες data protection officer καθώς και στο blog μας στην κατηγορία αυτή όπου ανανεώνεται και εμπλουτίζεται συνεχώς.

Για την dreamweaver.gr

Θανάσης Δαβαλάς

 

 

 

 

Email Marketing και GDPR

Email Marketing και GDPR.

Μια πλήρη ανατροπή του μέχρι τώρα σκηνικού

Αν ανησυχείτε για την αποστολή δεδομένων  μέσω ηλεκτρονικού ταχυδρομείου, έχετε δίκαιο. Τα emails μοιάζουν περισσότερο με απλές ταχυδρομικές κάρτες, διότι μπορούν θεωρητικά να διαβαστούν σε οποιονδήποτε από τους πολλούς διακομιστές μέσω των οποίων περνούν .

Φυσικά, το “διαβάστηκε από” είναι δύσκολο να σημαίνει “διαβάστηκε από κάποιον άνθρωπο”. Ωστόσο, κάποιο λογισμικό μπορεί να αναζητήσει πράγματα όπως κωδικούς πρόσβασης και αριθμούς πιστωτικών καρτών.

Ένα πιο πιθανό πρόβλημα είναι η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου σε λάθος διεύθυνση, είτε επειδή οι χρήστες έχουν λανθασμένες διευθύνσεις ηλεκτρονικού ταχυδρομείου (αυτό συμβαίνει εκπληκτικά συχνά) είτε λόγω ανθρώπινου σφάλματος. Επιλέξτε μια λάθος διεύθυνση από μια λίστα προτάσεων αυτόματης συμπλήρωσης και θα μπορούσατε να στείλετε προσωπικά δεδομένα σε λάθος παραλήπτη. Αυτή θα είναι μια παραβίαση δεδομένων που ίσως πρέπει να αναφερθεί.

Θα ήταν προφανώς καλό αν όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου ήταν κρυπτογραφημένα από προεπιλογή, έτσι ώστε μόνο ο προοριζόμενος παραλήπτης να μπορεί να τα διαβάσει. Τρεις δεκαετίες ιστορίας λένε ότι αυτό δεν πρόκειται να συμβεί σύντομα, ή και καθόλου. Η κρυπτογράφηση δημόσιου κλειδιού είναι πολύ δύσκολη για άτομα που απλά θέλουν να στείλουν κανονικά μηνύματα ηλεκτρονικού ταχυδρομείου.

Τα emails μοιάζουν περισσότερο με απλές ταχυδρομικές κάρτες, διότι μπορούν θεωρητικά να διαβαστούν σε οποιονδήποτε από τους πολλούς διακομιστές μέσω των οποίων περνούν ή από κάποιον που αποκτά πρόσβαση στην “διαδικτυακή λεωφόρο”.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου μοιάζουν περισσότερο με απλές ταχυδρομικές κάρτες, διότι μπορούν θεωρητικά να διαβαστούν σε οποιονδήποτε από τους πολλούς διακομιστές μέσω των οποίων περνούν ή από κάποιον που χτυπά μια γραμμή.

Μερικοί μεγάλοι οργανισμοί έχουν κρυπτογραφημένες υπηρεσίες ηλεκτρονικού ταχυδρομείου, όπως το NHS, αλλά αυτό δεν βοηθά τους υπόλοιπους μας.

Μερικοί άνθρωποι επιλέγουν ασφαλείς υπηρεσίες ηλεκτρονικού ταχυδρομείου, όπως το ProtonMail στην Ελβετία και το Tutanota στη Γερμανία. Ωστόσο, εκεί πρέπει να στείλετε στους εξωτερικούς παραλήπτες έναν κωδικό πρόσβασης – για παράδειγμα, με ένα μήνυμα κειμένου SMS – για να αποκρυπτογραφήσουν το μήνυμα ηλεκτρονικού ταχυδρομείου.

Οι χρήστες του Tutanota λαμβάνουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου που λέει ότι “έχετε ένα κρυπτογραφημένο μήνυμα ηλεκτρονικού ταχυδρομείου” και κάνετε κλικ σε ένα σύνδεσμο για να το διαβάσετε και να απαντήσετε σε αυτό σε ένα πρόγραμμα περιήγησης. Πρέπει να εξάγετε το μήνυμα ηλεκτρονικού ταχυδρομείου εάν θέλετε να διατηρήσετε ένα αντίγραφο.

Υπάρχουν επίσης plug-ins για το Gmail και το Microsoft Outlook που παρέχουν ασφαλείς υπηρεσίες ηλεκτρονικού ταχυδρομείου. Εάν κάποιος από τους εργοδότες σας χρησιμοποιεί ένα ασφαλές σύστημα, ενδέχεται να σας επιτρέψει να συμμετάσχετε.

Εάν δεν υπάρχει άλλη εναλλακτική λύση, θα πρέπει να κρυπτογραφείτε και να προστατεύετε τις εικόνες και τα έγγραφά σας με κωδικό, προτού τα στείλετε ως συνημμένα ηλεκτρονικού ταχυδρομείου. Και πάλι, πρέπει να στείλετε τον κωδικό ξεχωριστά, είτε μέσω μιας διαφορετικής υπηρεσίας ανταλλαγής μηνυμάτων είτε στην ανάρτηση.

Τοποθεσίες ηλεκτρονικής αποθήκευσης

Είναι καλή ιδέα να ανεβάσετε τα συνημμένα αρχεία και στη συνέχεια να στείλετε στους χρήστες έναν σύνδεσμο. Ωστόσο, λάβετε υπόψη ότι ανεβάζετε έγγραφα σε εταιρείες αποθήκευσης δεδομένων  που πολλάκις έχουν παραβιαστεί ή έχουν οι ίδιες χρησιμοποιήσει τα δεδομένα αυτά για αλλότριους λόγους. Κρυπτογραφήστε τα έγγραφά σας πριν τα ανεβάσετε.

Η κρυπτογράφηση προστατεύει τα δεδομένα σας εάν τεθεί σε κίνδυνο μια υπηρεσία ηλεκτρονικής αποθήκευσης – έχει συμβεί – ή αν το ηλεκτρονικό ταχυδρομείο σας έχει παραβιαστεί.

Δυστυχώς, η χρήση του Google Drive προκαλεί μια επιπλέον επιπλοκή. Εάν χρησιμοποιείτε το Gmail, τότε μπορείτε να υποθέσετε ότι τα δεδομένα σας αποθηκεύονται , διαβιβάζονται ή είναι προσβάσιμα από τις ΗΠΑ.

Το GDPR δεν υποχρεώνει τους χρήστες να αποθηκεύουν δεδομένα σε διακομιστές εντός της ΕΕ. Ωστόσο, υπάρχουν πρόσθετες απαιτήσεις εάν οι εξυπηρετητές βρίσκονται εκτός της ΕΕ.

Πρώτον, πρέπει να έχετε νόμιμο λόγο για τη μεταφορά προσωπικών δεδομένων εκτός της ΕΕ.

Δεύτερον, πρέπει να έχετε τη συγκατάθεση του ατόμου του οποίου τα δεδομένα εξάγονται. Τρίτον, πρέπει να δώσετε στο πρόσωπο αυτό την επιλογή να αποχωρήσει.

Σε άλλο άρθρο μας θα εξετάσουμε πώς μπορείτε να δημιουργήσετε μια ειδοποίηση περί απορρήτου GDPR και θα μπορούσατε να προσαρμόσετε το δείγμα της ώστε να καλύπτει την αποθήκευση Gmail εκτός της ΕΕ. Αν το θέμα σας απασχολεί για πρώτη φορά σας συνιστούμε να διαβάσετε κάποια από τα άρθρα μας για το ζήτημα αυτό

GDPR ποιους αφορά

WordPress και GDPR

GDPR Αίτημα Προσωπικών Δεδομένων

GDPR Νομοθεσία / Γλωσσάρι

Υπεύθυνος Προστασίας Προσωπικών Δεδομένων. Σύνταξη ανακοίνωσης απορρήτου βάσει του GDPR

GDPR. Τι πρέπει να κάνω για την ιστοσελίδα μου

Θα μπορούσατε να αλλάξετε στη χρήση μιας υπηρεσίας ηλεκτρονικού ταχυδρομείου που λειτουργεί πλήρως εντός της ΕΕ , έστω και μόνο για όσους επιλέγουν να αποχωρήσουν ή μπορείτε να κάνετε αναβάθμιση στην επί πληρωμή υπηρεσία της Google.

Η Google ισχυρίζεται ότι οι G Suite και Google Cloud Platform (GCP) υπηρεσίες της είναι πλήρως συμβατές με το GDPR, επειδή προσφέρει την υπογραφή πρότυπων συμβατικών ρητρών της ΕΕ και τροποποίησης της επεξεργασίας δεδομένων. Τα ψιλά γράμματα σημειώνουν ότι “τα μέρη αναγνωρίζουν και συμφωνούν ότι η μη ευρωπαϊκή νομοθεσία για την προστασία δεδομένων μπορεί επίσης να ισχύει για την επεξεργασία των προσωπικών δεδομένων του πελάτη” και ότι “η Google δεν θα επεξεργαστεί τα προσωπικά δεδομένα του πελάτη για διαφημιστικούς σκοπούς ούτε θα προβάλει διαφημίσεις στις υπηρεσίες”.

Δεν πιστεύω ότι ο GDPR θα σταματήσει πραγματικά το email marketing όπως πολλοί εικάζουν . Σίγουρα όμως θα βάλει ένα φρένο στο ανεβάζω μια λίστα από emails και στέλνω κατά συρροή διαφημιστικά emails  .  Είναι σίγουρα πάντως ένα ζήτημα που πρέπει να απασχολήσει άμεσα τον data protection officer / υπεύθυνο προστασίας δεδομένων της επιχείρησης σας για να μην βρεθείτε αντιμέτωποι με ένα υπέρογκο πρόστιμο 4% επί του τζίρου σας.

Φυσικά η συλλογή των email χρηστών και επισκεπτών στον ιστοτόπο σας ή στο ηλεκτρονικό σας κατάστημα και η σύνδεση του με υπηρεσίες email marketing όπως το MailChimp κ.α. ή και η αποστολή μέσω του script και του server φιλοξενίας σας διαφημιστικών emails δεν καλύπτεται πλέον από μια απλή υπογραφή της επιχείρησης σας και ένα συμφωνώ του χρήστη και ένα δικαίωμα απεγγραφής από την ενημερωτική σας λίστα. Σαν dreamweaver.gr τόσο στα πακέτα μας κατασκευής eshop όσο και στα πακέτα κατασκευής ιστοσελίδας έχουμε φροντίσει να εναρμονίσει τους μηχανισμούς αυτούς με την νέα νομοθεσία . Αν δεν το έχετε κάνει μέχρι τώρα κάντε το σήμερα.

Νομίζουμε ότι το video που ακολουθεί θα σας πείσει για την αναγκαιότητα των άμεσων ενεργειών σας για την διευθέτηση αυτού του κενού ασφαλείας αν τουλάχιστον δεν έχετε άγνοια κινδύνου.

[embedyt] https://www.youtube.com/watch?v=HbqnrtcIeAo&width=1060&height=596&modestbranding=1[/embedyt]

Για την dreamweaver.gr

Θανάσης Δαβαλάς

 

GDPR Νομοθεσία / Γλωσσάρι

EU GDPR Νομοθεσία / Γλωσσάριο  

Νομοθεσία

Οδηγία Προστασίας Δεδομένων

Η Ευρωπαϊκή Οδηγία 95/46/ΕΚ ελέγχει την επεξεργασία προσωπικών δεδομένων στην ΕΕ και θα αντικατασταθεί από τον GDPR από τις 25 Μαϊου 2018. Η Οδηγία εισήγαγε βασικές προϋποθέσεις που έπρεπε να εφαρμοστούν μέσω ξεχωριστής νομοθεσίας σε κάθε κράτος-μέλος της ΕΕ.

Αυτό έδωσε στα μέλη τη δυνατότητα να επεκτείνουν το πεδίο εφαρμογής της Οδηγίας ή να διατηρήσουν προϋπάρχουσες αυστηρότερες προϋποθέσεις ή να αποφασίσουν να μην εκμεταλλευθούν πλήρως τις παρεκκλίσεις, το οποίο εξηγεί την εφαρμογή διαφορετικών πλαισίων προστασίας δεδομένων στην Ευρώπη. Μπορεί να βρεθεί online εδώ: http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf

EU GDPR

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) υιοθετήθηκε ως Κανονισμός (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου στις 27 Απριλίου 2016.
Σε αντίθεση με την Οδηγία Προστασίας Δεδομένων, ο GDPR πρόκειται να εφαρμοστεί απευθείας σε κάθε κράτος-μέλος της ΕΕ χωρίς εφαρμοστική νομοθεσία και να δημιουργήσει ένα πλαίσιο μέσα στο οποίο μπορούν να δημιουργηθούν πιο λεπτομερείς κανόνες. Αυτό εναρμονίζει την νομοθεσία σε όλη την Ευρώπη.

Η απαίτηση ειδοποίησης της DPA σε περίπτωση νέας επεξεργασίας, για παράδειγμα, καταργείται (εκτός από ένα μικρό αριθμό περιπτώσεων) και αντικαθίσταται από την υποχρέωση καταγραφής όλων των επεξεργασιών. Υπεύθυνοι επεξεργασίας και επεξεργαστές πρέπει να συμφωνήσουν ως προς τις αρμοδιότητες, αλλιώς θα είναι υπόλογοι από κοινού. Ο Κανονισμός μπορεί να βρεθεί online εδώ: http://eur-lex.europa.eu/legal-content/EN/TXT/

Οδηγία e-Privacy

Η Οδηγία e-Privacy υιοθετήθηκε ως Οδηγία 2002/58/EC του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου. Αυτήν τη στιγμή ελέγχει τα δικαιώματα ιδιωτικότητας που εφαρμόζονται στην τεχνολογία και το περιεχόμενο ηλεκτρονικής επικοινωνίας. Η Οδηγία μπορεί να βρεθεί online εδώ: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do

Κανονισμός e-Privacy

Ακολουθώντας την υιοθέτηση του GDPR, η Οδηγία e-Privacy θα αναθεωρηθεί ώστε να συμμορφωθεί με τον GDPR και να καλύψει τις τεχνολογικές καινοτομίες από την τελευταία τροποποίηση της Οδηγίας το 2009. Μία πρόταση με τίτλο “Κανονισμός Ιδιωτικότητας και Ηλεκτρονικής Επικοινωνίας” δημοσιοποιήθηκε στις 10 Ιανουαρίου 2017.

Ο Κανονισμός θα έχει εφαρμογή σε κάθε πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας ή σε κάθε οντότητα που επεξεργάζεται δεδομένα ηλεκτρονικής επικοινωνίας. Θα έχει επίδραση στον τρόπο με τον οποίο οργανισμοί αλληλεπιδρούν ηλεκτρονικά με πολίτες της ΕΕ, συμπεριλαμβανομένων της ιχνηλάτησης χρηστών, της συλλογής δεδομένων σε συσκευές χρηστών και της άμεσης εμπορικής προώθησης. Το σχέδιο του Κανονισμού και τα σχετικά έγγραφα μπορούν να βρεθούν online εδώ: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications

Όργανα GDPR

EDPS

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) δημιουργήθηκε το 2004 με στόχο τη διασφάλιση του σεβασμού από οργανισμούς και όργανα της ΕΕ του δικαιώματος των ανθρώπων στην ιδιωτικότητα όταν επεξεργάζονται τα προσωπικά δεδομένα τους. Στις βασικές λειτουργίες του, ο EDPS (1) επιβλέπει την επεξεργασία από τη διοίκηση της ΕΕ προσωπικών δεδομένων ώστε να εξασφαλίζεται η συμμόρφωση με κανόνες ιδιωτικότητας, διαχειρίζεται καταγγελίες και διεξάγει έρευνες, και (2) συμβουλεύει οργανισμούς και όργανα της ΕΕ σχετικά με όλες τις απόψεις της επεξεργασίας προσωπικών δεδομένων και τις σχετικές πολιτικές και νομοθεσία.

Η Ομάδα Εργασίας Άρθρου 29

Η Ομάδα Εργασίας Άρθρου 29 (“A29WP”) είναι ένα μη ρυθμιστικό όργανο προστασίας δεδομένων. Η κύρια λειτουργία του είναι η παροχή συμβουλών και συστάσεων στα κράτη-μέλη και το κοινό σχετικά με την προστασία δεδομένων και την επεξεργασία προσωπικών δεδομένων. Το όργανο αποτελείται από εκπροσώπους εθνικών αρχών προστασίας δεδομένων της ΕΕ, του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (“EDPS”) και της Ευρωπαϊκής Επιτροπής. Μετατράπηκε στο “Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων” (“EDPB”) με τον GDPR.

EDPB

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα αντικαταστήσει την Ομάδα Εργασίας Άρθρου 29 και οι λειτουργίες του θα περιλαμβάνουν την εξασφάλιση της ομοιομορφίας της εφαρμογής του GDPR, συμβουλές προς την Ευρωπαϊκή Επιτροπή, την έκδοση οδηγιών, κανόνων συμπεριφοράς και συστάσεων, την αναγνώριση οργάνων πιστοποίησης και την έκδοση γνωμοδοτήσεων για σχέδια αποφάσεων εποπτικών αρχών.

DPA / Supervisory Authority / Lead Authority

Οι DPAs είναι οι εθνικές αρχές προστασίας δεδομένων, επιφορτισμένες με την ιδιωτικότητα και την προστασία προσωπικών δεδομένων. Κάθε κράτος-μέλος όρισε ένα όργανο DPA για να εφαρμόσει την τοπική νομοθεσία προστασίας δεδομένων και για να προσφέρει καθοδήγηση. Οι DPAs έχουν αξιοσημείωτες δυνατότητες επιβολής, συμπεριλαμβανομένης της δυνατότητας να επιβάλλουν υψηλά πρόστιμα.

Ορολογία GDPR

Υποκείμενο των δεδομένων

«Το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και του οποίου η ταυτότητα είναι γνωστή η μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιοριστεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική».

Ένα υποκείμενο των δεδομένων είναι ένα φυσικό πρόσωπο. Παραδείγματα ενός υποκειμένου δεδομένων μπορούν να είναι ένα πρόσωπο, ένας πελάτης, ένας δυνητικός πελάτης, ένας υπάλληλος, ένας αρμόδιος κτλ.

Άρθρο 2(α) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(α) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 1 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 1 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(γ) Ν. 2472/1997

Επιχείρηση

«Φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα».

Άρθρο 4 παρ. 18 Γενικού Κανονισμού Προστασίας Δεδομένων

Όμιλος επιχειρήσεων

«Μία ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις».

Άρθρο 4 παρ. 19 Γενικού Κανονισμού Προστασίας Δεδομένων

Δεσμευτικοί εταιρικοί κανόνες

«Οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις η δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούνται την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα».

Άρθρο 4 παρ. 20 Γενικού Κανονισμού Προστασίας Δεδομένων

Προσωπικά δεδομένα

Κάθε πληροφορία σχετική με ένα ταυτοποιημένο/ταυτοποιήσιμο άτομο, είτε σχετίζεται με την προσωπική, επαγγελματική ή δημόσια ζωή του/της. Μπορεί να είναι οτιδήποτε από ένα όνομα, φωτογραφία, διεύθυνση email, στοιχεία τραπεζικού λογαριασμού, δημοσιεύσεις σε ιστοσελίδες κοινωνικής δικτύωσης, ιατρικά δεδομένα, διεύθυνση IP ή ένα συνδυασμό δεδομένων που ταυτοποιεί άμεσα ή έμμεσα το πρόσωπο.

Δεδομένα προσωπικού χαρακτήρα

«Κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή η μπορεί να εξακριβωθεί» Άρθρο 2(α) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(α) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 1 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 1 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(α) Ν. 2472/1997

Ευαίσθητα προσωπικά δεδομένα

Ο GDPR αναφέρεται σε ευαίσθητα προσωπικά δεδομένα ως “ειδικές κατηγορίες προσωπικών δεδομένων”. Οι ειδικές κατηγορίες δεδομένων περιλαμβάνουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές απόψεις, συμμετοχή σε συνδικάτα, σεξουαλικό προσανατολισμό, και δεδομένα υγείας, γενετικά και βιομετρικά όταν έχουν επεξεργαστεί με τέτοιον τρόπο ώστε να ταυτοποιούν ένα συγκεκριμένο πρόσωπο. Προσωπικά δεδομένα σχετικά με καταδίκες και παραπτώματα δε συμπεριλαμβάνονται αλλά παρόμοια μέτρα προστασίας εφαρμόζονται στην επεξεργασία τους.

Ευαίσθητα δεδομένα

«Τα δεδομένα που αφορούν στη φυλετική η εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων».

Άρθρο 2 (β)Ν. 2472 / 1997

Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα

«Η φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή η συμμετοχή σε συνδικαλιστική οργάνωση, τα βιομετρικά και γενετικά δεδομένα όταν υποβάλλονται σε επεξεργασία με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή το γενετήσιο προσανατολισμό». Άρθρο 9 παρ. 1 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 10 παρ.1 Οδηγίας (ΕΕ) 2016/680

Γενετικά δεδομένα «Τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία Παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου». Άρθρο 4 παρ. 14 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 11 Οδηγίας (ΕΕ) 2016/680

Βιομετρικά δεδομένα «Δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεδεμένη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα».

Άρθρο 4 παρ. 15 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 14 Οδηγίας (ΕΕ) 2016/680

Δεδομένα που αφορούν την υγεία

«Δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, συμπεριλαμβανομένης και της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του». Άρθρο 4 παρ. 16 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 17 Οδηγίας (ΕΕ) 2016/680

Υπεύθυνος επεξεργασίας

Κάθε οργανισμός, πρόσωπο ή όργανο που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων, ελέγχει τα δεδομένα και είναι υπεύθυνος για αυτά, μεμονωμένα ή από κοινού. Παραδείγματα προσώπου ως υπεύθυνου επεξεργασίας περιλαμβάνουν ιατρούς, φαρμακοποιούς και πολιτικούς όταν αυτοί διατηρούν προσωπικές πληροφορίες σχετικά με τους ασθενείς, πελάτες, ψηφοφόρους τους κτλ. Παραδείγματα οργανισμών ως υπεύθυνου επεξεργασίας μπορεί να είναι κερδοσκοπικοί ή μη, ιδιωτικοί ή κυβερνητικοί, μεγάλοι ή μικροί, όταν διατηρούν προσωπικές πληροφορίες σχετικά με τους υπαλλήλους, πελάτες τους κτλ.

Αρχεία των δραστηριοτήτων επεξεργασίας

«Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπος του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος». Άρθρο 35 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 27 Οδηγίας (ΕΕ) 2016/680

Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων

«Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους».

Άρθρο 35 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 27 Οδηγίας (ΕΕ) 2016/680

Προηγούμενη διαβούλευση με την εποπτική αρχή

«Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντίκτυπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας». Άρθρο 36 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 28 Οδηγίας (ΕΕ) 2016/680

Επεξεργαστής δεδομένων

Ένας επεξεργαστής δεδομένων επεξεργάζεται τα δεδομένα εκ μέρους του υπεύθυνου επεξεργασίας δεδομένων. Παραδείγματα περιλαμβάνουν εταιρίες μισθοδοσίας, λογιστές και εταιρίες έρευνας αγοράς όπως επίσης και τηλεφωνικά κέντρα / call centers

Υπεύθυνος επεξεργασίας

«Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα η από κοινού με άλλα καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους».

Άρθρο 2(δ) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(δ) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 7 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 8 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(ζ) Ν. 2472/1997

Εκτελών την επεξεργασία

«Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας» Άρθρο 2(ε) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(ε) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 8 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 9 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(θ) Ν. 2472/1997

Τρίτος

«Οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπευθύνο επεξεργασίας, των εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα του προσωπικού χαρακτήρα»

Άρθρο 2(στ) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(στ) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 10 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 2(θ) Ν. 2472/1997

Αρχείο δεδομένων προσωπικού χαρακτήρα ή σύστημα αρχειοθέτησης

«Κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική η γεωγραφική βάση» Άρθρο 2(γ) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(γ) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 6 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 6 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(ε) Ν. 2472/1997

Συγκατάθεση

«Κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και πλήρει επιγνώσει με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή σαφή θετική ενέργεια να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν»

Άρθρο 2(η) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(η) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 11 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 2(ια) Ν. 2472/1997

Κατάρτιση προφίλ

«Οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου»

Άρθρο 4 παρ. 4 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 4 Οδηγίας (ΕΕ) 2016/680

Ψευδωνυμοποίηση

«Η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο η ταυτοποιήσιμο φυσικό πρόσωπο».

Άρθρο 4 παρ. 5 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 5 Οδηγίας (ΕΕ) 2016/680

Παραβίαση δεδομένων προσωπικού χαρακτήρα

«Η παραβίαση της ασφάλειας που οδήγησε τυχαία η παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση η πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν υποβλήθηκαν κατ άλλο τρόπο σε επεξεργασία».

Άρθρο 4 παρ. 12 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 11 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2 αρ. 8 της οδηγίας (ΕΚ)
2002 / 58

Άρθρο 2 παρ. 11 Ν. 3471 / 2006
DPO

Ο ορισμός ενός Υπεύθυνου Προστασίας Δεδομένων – Data Protection Officer είναι υποχρεωτικός εάν:

(1) επεξεργασία εκτελείται από μία δημόσια αρχή,

ή

(2) οι “βασικές δραστηριότητες” ενός υπεύθυνου επεξεργασίας / επεξεργαστή δεδομένων είτε απαιτούν “την τακτική και συστηματική παρακολούθηση υποκειμένων των δεδομένων σε μεγάλη κλίμακα ” ή αποτελούνται απο την επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων σχετικά με καταδίκες “σε μεγάλη κλίμακα”.

Λογοδοσία

Λογοδοσία είναι η δυνατότητα επίδειξης συμμόρφωσης με τον GDPR. Ο Κανονισμός δηλώνει ευθέως ότι αυτή είναι ευθύνη του οργανισμού. Προκειμένου να επιδειχθεί η συμμόρφωση, πρέπει να εφαρμοστούν τα κατάλληλα τεχνικά και οργανωτικά μέτρα. Εργαλεία βέλτιστων πρακτικών όπως αξιολογήσεις επίδρασης στην ιδιωτικότητα και ιδιωτικότητα από σχεδιασμό απαιτούνται τώρα νομικά σε συγκεκριμένες περιπτώσεις. Σε περιπτώσεις όπως την κατασκευή μιας ιστοσελίδας ή την κατασκευή ενός eshop πρέπει να καταδειχθούν τα μέτρα που έχουν παρθεί για την προστασία και ακεραιότητα των δεδομένων που διακινούνται μέσα από αυτές (ειδικότερα στην περίπτωση ενός ηλεκτρονικού καταστήματος σε σχέση μια μια απλή ιστοσελίδα ) καθώς και να αποδειχθεί η ύπαρξη ενός σχεδιασμού που να προστατεύει την ιδιωτικότητα των πληροφοριών .

Συγκατάθεση

Συγκατάθεση είναι κάθε “ελεύθερη, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη” ένδειξη των επιθυμιών του ατόμου, με την οποία το υποκείμενο των δεδομένων υποδηλώνει, είτε μέσω δήλωσης ή μέσω ξεκάθαρης θετικής δράσης, τη συμφωνία του με την επεξεργασία προσωπικών δεδομένων σχετικών με αυτό για έναν ή περισσότερους συγκεκριμένους σκοπούς.

Η θετική δράση, ή θετική επιλογή συμμετοχής, σημαίνει οτι η συγκατάθεση δεν μπορεί να θεωρηθεί ως δεδομένη με βάση τη σιωπή, προεπιλεγμένα πεδία ή αδράνεια. Πρέπει επίσης να είναι διαχωρισμένη απο όρους χρήσης και να μπορεί να αποσυρθεί με απλό τρόπο. Δημόσιες αρχές και εργοδότες πρέπει να προσέξουν ιδιαίτερα ώστε να διασφαλιστεί οτι η συγκατάθεση παρέχεται ελεύθερα.

Οι υπάρχουσες συγκαταθέσεις δε χρειάζεται να ανανεωθούν αυτόματα ως προετοιμασία για τον GDPR αλλά πρέπει να ανταποκρίνονται στα πρότυπα του GDPR ως προς το να είναι συγκεκριμένες, να καλύπτουν διαφορετικές χρήσεις δεδομένων, να είναι ξεκάθαρες, να περιλαμβάνουν επιθυμία συμμετοχής, να είναι κατάλληλα τεκμηριωμένες και να μπορούν να αποσυρθούν εύκολα.

Εάν όχι, αλλάξτε τους μηχανισμούς συγκατάθεσης σας και αναζητήστε νέα συγκατάθεση συμβατή με τον GDPR ή βρείτε μία εναλλακτική για τη συγκατάθεση.

Ειδικά σε διαφημιστικές ενέργειες στο διαδίκτυο και σε προωθητικές ενέργειες τόσο σε μηχανές αναζήτησης όπως το Google αλλά και social media όπως το facebook., instagram κ.α. πρέπει να υπάρχει η συγκατάθεση του χρήστη. Ας παραθέσουμε ένα πιο συγκεκριμένο παράδειγμα. Ας υποθέσουμε ότι χρησιμοποιείται κώδικα google remarketing ή facebook remarketing για να εμφανίζεται διαφημίσεις στους χρήστες που επισκέφτηκαν τον ιστοτόπο σας πρέπει να έχετε την συγκατάθεση του χρήστη. Είναι ένα σημείο – παγίδα που θα επηρεάσει πολλούς διαφημιζομένους σε google και facebook μέσω της τακτικής αυτής.

One-stop-shop concept

Εάν μία επιχείρηση είναι εγκατεστημένη σε περισσότερα από ένα κράτη-μέλη, θα έχει μία “κυρίαρχη αρχή” καθορισμένη από τη “βασική έδρα” της στην ΕΕ. Μία εποπτική αρχή που δεν είναι κυρίαρχη αρχή μπορεί να έχει επίσης ρυθμιστικό ρόλο, π.χ. όταν η επεξεργασία επηρεάζει υποκείμενα δεδομένων στη χώρα όπου αυτή η εποπτική αρχή είναι η εθνική αρχή.

Αξιολόγηση επίδρασης στην ιδιωτικότητα (PIA)

Ο GDPR επιβάλλει μία νέα υποχρέωση σε υπεύθυνους διαχείρισης δεδομένων και διαχειριστές δεδομένων να διεξάγουν μία Αξιολόγηση Επίδρασης Προστασίας Δεδομένων (γνωστή και ως αξιολόγηση επίδρασης στην ιδιωτικότητα ή PIA) προτού προβούν σε οποιαδήποτε επεξεργασία που δημιουργεί συγκεκριμένο κίνδυνο για την ιδιωτικότητα λόγω της φύσης, του εύρους ή των σκοπών της.

Επεξεργασία

Επεξεργασία είναι κάθε επιχείρηση που εκτελείται σε προσωπικά σετ δεδομένων όπως η δημιουργία, συλλογή, αποθήκευση, θέαση, μεταφορά, χρήση, μετατροπή, μεταβίβαση, διαγραφή κτλ. με χρήση αυτοματοποιημένων μέσων ή χωρίς.

Κατάρτιση προφίλ

Κατάρτιση προφίλ είναι κάθε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που αποσκοπεί στην αξιολόγηση συγκεκριμένων προσωπικών στοιχείων σχετικών με ένα άτομο ή στην ανάλυση ή πρόβλεψη της απόδοσης αυτού του ατόμου στην εργασία, της οικονομικής κατάστασης, της τοποθεσίας, της υγείας, προσωπικών προτιμήσεων, αξιοπιστίας ή συμπεριφοράς.

Πρόσβαση του υποκειμένου

Αυτό είναι το δικαίωμα του υποκειμένου των δεδομένων να λάβει απο τον υπεύθυνο διαχείρισης δεδομένων -κατόπιν αιτήματος- συγκεκριμένες πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων του/της.

Γεωγραφικό εύρος

Το γεωγραφικό εύρος του GDPR περιλαμβάνει τον Ευρωπαϊκό Οικονομικό Χώρο (EΟΧ – όλα τα 28 κράτη-μέλη της ΕΕ), τις Ισλανδία, Λιχτενστάιν και Νορβηγία και δεν περιλαμβάνει την Ελβετία.

Τρίτος

Ένας τρίτος είναι κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή κάθε άλλο όργανο άλλο από το υποκείμενο των δεδομένων, τον υπεύθυνο διαχείρισης, τον επεξεργαστή και τα άτομα που είναι εξουσιοδοτημένα να επεξεργαστούν τα δεδομένα υπό τον άμεσο έλεγχο του υπεύθυνου διαχείρισης ή του επεξεργαστή.

Μεταβίβαση

Η μεταβίβαση προσωπικών δεδομένων σε χώρες εκτός του ΕΟΧ ή σε διεθνείς οργανισμούς υπόκειται σε περιορισμούς. Όπως με την Οδηγία Προστασίας Δεδομένων, δε χρειάζεται να μεταφερθούν φυσικά τα δεδομένα .Ακόμα και η θέαση / μεταφορά των δεδομένων σε ένα άλλο σημείο θεωρείται ως μεταφορά δεδομένων κάτω από την οπτική του GDPR .

Για την DreamWeaver.Gr
Θανάσης Δαβαλάς

WordPress / WooCommerce και GDPR

Οι λεπτομέρειες της συμμόρφωσής σας με το WordPress / WooCommerce με τον νέο κανονισμό GDPR

Σε προηγούμενα μας άρθρα έχουμε αναφερθεί εκτενώς στον νέο γενικό κανονισμό προστασίας δεδομένων / GDPR και το πως επηρεάζει τις επιχειρηματικές σας δραστηριότητες.ποιους αφορά ο GDPR  μέσω μιας απλής λίστας ελέγχου, το πως επηρεάζει ο GDPR την ιστοσελίδα / ηλεκτρονικό σας κατάστημα και το τι πρέπει να κάνετε ,  όπως και τον ρόλο του data protection officer  . (υπεύθυνος προστασίας δεδομένων ΥΠΔ ) 

Ας αφιερώσουμε μια στιγμή για να μιλήσουμε για το πώς θα σιγουρευτείτε ότι ο ιστοτοπός σας συμμορφώνεται και ότι δεν θα αντιμετωπίσετε τυχόν προβλήματα με το WordPress και τον νέο κανονισμό προστασίας προσωπικών δεδομένων GDPR.

Προτού προχωρήσετε σε κάθε πτυχή και πώς να συμμορφωθείτε με αυτές, ένας έλεγχος ασφαλείας στον WordPress ιστότοπό σας θα πρέπει γενικά να αποκαλύπτει τον τρόπο επεξεργασίας και αποθήκευσης των δεδομένων στους διακομιστές σας και τα βήματα που απαιτούνται για τη συμμόρφωση με το GDPR. Το πρόσθετο Εργαλείο Ελέγχου Ασφαλείας Λογαριασμού, Security Audit Log, μπορεί να σας βοηθήσει να εκτελέσετε έναν έλεγχο ασφαλείας στον ιστότοπό σας.

Μερικοί συνήθεις τρόποι με τους οποίους ένας τυποποιημένος ιστότοπος WordPress μπορεί να συλλέξει δεδομένα χρήστη:

  • Εγγραφές χρηστών
  • Σχόλια
  • Καταχωρήσεις φόρμας επικοινωνίας
  • Αναλυτικά στατιστικά και εφαρμογές καταγραφής κυκλοφορίας στον ιστοτόπο
  • Οποιαδήποτε άλλα εργαλεία καταγραφής και πρόσθετα
  • Εργαλεία ασφαλείας και πρόσθετα.

Εδώ είναι μερικές βασικές πτυχές του WordPress GDPR που θα πρέπει να κανονίσουν οι χρήστες:

α) Γνωστοποίηση παραβίασης

Σύμφωνα με τη συμμόρφωση με το GDPR, εάν ο ιστότοπός σας αντιμετωπίζει οποιαδήποτε παραβίαση δεδομένων, αυτή η παραβίαση πρέπει να κοινοποιείται στους χρήστες σας.

Η παραβίαση δεδομένων ενδέχεται να δημιουργήσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων, για αυτό καθίσταται αναγκαία η έγκαιρη ειδοποίηση των χρηστών. Σύμφωνα με το GDPR, πρέπει να αποστέλλεται μια γνωστοποίηση εντός 72 ωρών από την πρώτη στιγμή που διαπιστώνεται παραβίαση. Οι επεξεργαστές δεδομένων υποχρεούνται επίσης να ειδοποιούν τους χρήστες καθώς και τους υπεύθυνους επεξεργασίας δεδομένων, αμέσως μόλις διαπιστώσουν την παραβίαση των δεδομένων.

Σε ένα σενάριο WordPress, αν παρατηρήσετε παραβίαση δεδομένων, θα πρέπει να ειδοποιήσετε όλους όσους επηρεάζονται από την παραβίαση εντός αυτού του καθορισμένου χρονικού πλαισίου. Ωστόσο, η πολυπλοκότητα εδώ είναι ο ορισμός του όρου “χρήστης” – μπορεί να αποτελεί συνήθη χρήστες του ιστότοπου, καταχωρήσεις φόρμας επικοινωνίας και ενδεχομένως ακόμη και σχολιαστές.

Αυτή η ρήτρα του GDPR δημιουργεί έτσι μια νομική απαίτηση για την αξιολόγηση και την παρακολούθηση της ασφάλειας του δικτυακού σας τόπου. Ο ιδανικός τρόπος είναι να παρακολουθείτε τα αρχεία καταγραφής ιστού και διακομιστή ιστού, αλλά μια πρακτική επιλογή είναι να χρησιμοποιήσετε την πρόσθετη εφαρμογή Wordfence με ενεργοποιημένες τις ειδοποιήσεις.

Σαν dreamweaver.gr όταν προχωρούμε στην κατασκευή μιας ιστοσελίδας με την χρήση της πλατφόρμας wordpress εγκαθιστούμε πάντα το συγκεκριμένο online σύστημα ασφαλείας ακόμα και πριν την έλευση του GDPR. Ο  λόγος απλός. Η ασφάλεια μιας ιστοσελίδας βρίσκεται σε ευθεία συνάρτηση με την φήμη της εταιρείας σας. Φανταστείτε ένα κενό ασφαλείας που θα αφήσει την ιστοσελίδα σας από κάποιες ώρες μέχρι και κάποιες ημέρες σε κάποια σενάρια εκτός λειτουργίας με την ένδειξη hacked….  Αναρωτηθείτε το απλό. Εσείς ως επισκέπτης / χρήστης της ιστοσελίδας αυτής θα διατηρούσατε την εμπιστοσύνη σας σε αυτήν μετά την επίλυση του όποιου θέματος;  Ότι χτίζατε με κόπο , χρόνο και χρήμα θα χαθεί μέσα σε ελάχιστο χρονικό διάστημα.

Αν είχατε επενδύσει σε seo ενέργειες για την προώθηση της ιστοσελίδας σας αυτές θα εξαφανιζόταν επίσης εν μια νυκτί όταν το Google και οι άλλες μηχανές αναζήτησης αντιληφθούν ότι η χρήση του ιστοτόπου σας είναι δυνητικά επικίνδυνη για τους χρήστες / επισκέπτες . Θα το έπραττε δε όχι μόνο παρέχοντας τις σχετικές σημάνσεις / προειδοποιήσεις ότι ο ιστοτόπος σας είναι πιθανώς επικίνδυνος  αλλά πετώντας σας για αόριστο χρονικό διάστημα από τα αποτελέσματα τους ή μεταβάλλοντας προς το χειρότερο την σειρά κατάταξης σας  με μεγάλη πιθανότητα να μην σας επαναφέρει ποτέ στην θέση που είχατε και για την οποία δαπανήσατε επίσης κόπο , χρόνο και χρήμα.

Σε γενικές γραμμές, αυτή η ρήτρα ενθαρρύνει κάποιον να χρησιμοποιήσει τις καλύτερες διαθέσιμες πρακτικές ασφαλείας για να διασφαλίσει ότι δεν θα υπάρξουν παραβιάσεις δεδομένων.

β) Συλλογή, επεξεργασία και αποθήκευση δεδομένων

Τρία στοιχεία αυτού του είδους:

  1. Δικαίωμα Πρόσβασης
  2. Δικαίωμα να Ξεχαστούν
  3. Φορητότητα Δεδομένων

Το δικαίωμα πρόσβασης παρέχει στους χρήστες πλήρη διαφάνεια στην επεξεργασία και την αποθήκευση δεδομένων – ποια σημεία δεδομένων συλλέγονται, πού αποθηκεύονται αυτά τα σημεία δεδομένων και ο λόγος πίσω από τη συλλογή, επεξεργασία και αποθήκευση των δεδομένων. Οι χρήστες θα πρέπει επίσης να έχουν στη διάθεσή τους ένα αντίγραφο των δεδομένων τους χωρίς κόστος εντός 40 ημερών.

Το δικαίωμα να ξεχαστούν δίνει στους χρήστες τη δυνατότητα να διαγράψουν τα προσωπικά τους δεδομένα και να σταματήσουν την περαιτέρω συλλογή και επεξεργασία των δεδομένων. Αυτή η διαδικασία συνεπάγεται ότι ο χρήστης αποσύρει τη συγκατάθεσή του για τη χρήση των προσωπικών του δεδομένων.

Η φορητότητα δεδομένων του GDPR παρέχει στους χρήστες το δικαίωμα λήψης των προσωπικών τους δεδομένων, για τα οποία έχουν προηγουμένως δώσει τη συγκατάθεσή τους, και περαιτέρω διαβίβαση αυτών των δεδομένων σε διαφορετικό ελεγκτή.

Η προστασία προσωπικών δεδομένων από το σχεδιασμό ενθαρρύνει τους ελεγκτές να εφαρμόζουν πολιτικές δεδομένων που επιτρέπουν την επεξεργασία και αποθήκευση μόνο των δεδομένων που είναι απολύτως απαραίτητα. Αυτό ενθαρρύνει τους ιδιοκτήτες και τους ελεγκτές ιστότοπων να υιοθετήσουν δυνητικά ασφαλέστερες πολιτικές για τα δεδομένα, περιορίζοντας την πρόσβαση σε αριθμό σημείων δεδομένων.

Ως ιδιοκτήτες ιστότοπου του WordPress, πρέπει πρώτα να δημοσιεύσετε λεπτομερή πολιτική σχετικά με τα σημεία προσωπικών δεδομένων που χρησιμοποιείτε, τον τρόπο με τον οποίο αυτά επεξεργάζονται και αποθηκεύονται.

Στη συνέχεια, πρέπει να έχετε μια ρύθμιση για να παρέχετε στους χρήστες ένα αντίγραφο των δεδομένων τους. Αυτό είναι ίσως το πιο δύσκολο κομμάτι της διαδικασίας. Ωστόσο, μπορούμε να υποθέσουμε ότι όταν έρθει η ώρα, οι περισσότεροι προγραμματιστές προσθέτων ή προγραμματιστές εργαλείων – για τα εργαλεία και τα πρόσθετα που έχετε στον ιστότοπό σας – θα έχουν ήδη προχωρήσει με τις δικές τους λύσεις σε αυτό.

Παρόλα αυτά, σας συνιστούμε να έχετε ένα σύστημα που να εξάγει τα απαιτούμενα δεδομένα από τη βάση δεδομένων σας.

Επιπλέον, μπορεί να είναι καλό να αποφύγετε εντελώς την αποθήκευση δεδομένων σε ορισμένες περιπτώσεις. Για παράδειγμα, μπορείτε να ρυθμίσετε τις φόρμες επικοινωνίας για να προωθούν απευθείας όλη την επικοινωνία στη διεύθυνση ηλεκτρονικού ταχυδρομείου σας, αντί να τις αποθηκεύσετε οπουδήποτε στο διακομιστή ιστού.

(γ) Χρήση των πρόσθετων – συνέπειες της συμμόρφωσης του WordPress GDPR

Οποιαδήποτε πρόσθετα που χρησιμοποιείτε θα πρέπει επίσης να συμμορφώνονται με τους κανόνες του GDPR. Ως κάτοχοι ιστότοπου, εξακολουθείτε να είστε υπεύθυνοι, ωστόσο, να βεβαιωθείτε ότι κάθε πρόσθετο μπορεί να εξάγει / παρέχει / διαγράψει τα δεδομένα χρήστη που συλλέγει σύμφωνα με τους κανόνες GDPR.

Αυτό μπορεί ακόμα να σημαίνει μπελάδες για μερικά από τα πιο δημοφιλή πρόσθετα εκεί έξω. Για παράδειγμα, λύσεις όπως το Gravity Forms ή το Jetpack έχουν πολλές μονάδες που συλλέγουν δεδομένα χρηστών από τη φύση τους. Πώς ακριβώς συμμορφώνονται αυτά τα εργαλεία με το GDPR;

Και για τα πρόσθετα ισχύουν οι ίδιοι κανόνες, αν και πρέπει να προσεγγίζονται από την άποψη του ιδιοκτήτη της ιστοσελίδας WordPress. Κάθε πρόσθετο πρέπει να δημιουργήσει μια ροή δεδομένων και να ενημερώσει σχετικά με την επεξεργασία των προσωπικών δεδομένων. Αν είστε ο προγραμματιστής ενός πρόσθετου, εξετάστε το ενδεχόμενο να προσφέρετε στους χρήστες του πρόσθετου σας μια προσθήκη που μπορούν να προσθέσουν στους όρους του ιστοτόπου τους, ώστε να είναι συμβατό με το GDPR.

Το Gravity Forms, για παράδειγμα, πρέπει να επιτρέπει στον χρήστη να γνωρίζει τον τρόπο με τον οποίο θα δημοσιευθούν τα προσωπικά δεδομένα που συμπληρώνονται σε μια φόρμα επικοινωνίας και μια επιλογή για την αφαίρεσή τους, εάν είναι απαραίτητο.

Επίσης, κάποια εργαλεία που βρίσκονται εκτός της WordPress ιστοσελίδας σας θα επηρεαστούν και αυτά. Πάρτε, τα email marketing εργαλεία, για παράδειγμα. Είναι συνηθισμένη πρακτική να είναι συνδεδεμένα με το WordPress site σας και να στέλνουν διαφημιστικά emails στις λίστες των email διευθύνσεων των χρηστών σας. Σε εξάρτηση με το πως «τρέχεται» αυτές τις λίστες παραληπτών, οι διευθύνσεις αυτές ίσως δεν έχουν αποκτηθεί με τη ρητή συγκατάθεση των χρηστών.

Για παράδειγμα, ένα κουτί επιλογής που είναι προεπιλεγμένο κατά την εγγραφή θεωρείται παραβίαση. Κάτω από το νόμο GDPR, οτιδήποτε αποτελεί μέρος της διαδικτυακής παρουσίας σας ως επιχείρηση πρέπει να παρέχει δυνατότητα συγκατάθεσης και να διαθέτει πολιτική προστασίας απορρήτου.

Υπάρχουν και άλλες επιπτώσεις – εάν θέλετε να αγοράσετε μια λίστα email διευθύνσεων, θα στέλνετε emails παράνομα στους παραλήπτες, αφού κανένας από αυτούς δεν ζήτησε να λαμβάνει emails από εσάς.

Παρότι η τελική υποχρέωση αφορά τον διαχειριστή του WordPress site, η ίδια η WordPress ίσως πρέπει να κοιτάξει τις διαδικασίες ώστε να γίνει συμβατή με το GDPR. Όπως από τις 27 Ιουλίου 2017, μια αναζήτηση για το GDPR δεν επέστρεφε αποτελέσματα στην σελίδα κατάθεσης ιδεών του WordPress, πράγμα που σημαίνει ότι δεν υπάρχουν προγραμματισμένες αλλαγές στη δομή και τη λειτουργία του WordPress.

Η μόνη ειλημμένη αλλαγή είναι η προσθήκη πολιτικής απορρήτου στο WordPress.

Μην διστάσετε να μας καλέσετε στο 210 77 13 284 για να συζητήσουμε τις ιδιαίτερες ανάγκες σας.

Δαβαλάς Θανάσης

GDPR ποιούς αφορά. Λίστα ελέγχου για τον Κανονισμό για την Προστασία των Προσωπικών Δεδομένων / GDPR

GDPR ποιούς αφορά.Λίστα ελέγχου για τον Κανονισμό για την Προστασία των Προσωπικών Δεδομένων

Τα πρώτα βήματα προς συμμόρφωση με τον γενικό κανονισμό για την προστασία των προσωπικών δεδομένων είναι η κατανόηση των υποχρεώσεων σας, των τρεχουσών επεξεργασιών σας και ο προσδιορισμός οποιονδήποτε κενών. Η διεξαγωγή ενός ελέγχου για την προστασία δεδομένων είναι απαραίτητη για την συμμόρφωση. Αυτή η λίστα ελέγχου προορίζεται για να αποτελέσει την αρχή και όχι ένα ενδελεχή έλεγχο. Ο Data Protection Officer σας (Υπεύθυνος Προστασίας Προσωπικών Δεδομένων ) πρέπει να είναι σε θέση να μπορεί να αντιληφθεί όλες αυτές τις έννοιες , να προχωρήσει σε όλα τα απαραίτητα στάδια υλοποίησης και φυσικά να γίνει η ανναγγελία του στις επίσημες αρχές. Αυτή είναι η βάση της διαδικασίας και οποιαδήποτε τυχόν απόπειρα σας εικονικής προσομοίωσης της διαδικασίας πολύ φοβούμαστεότι δεν θα σας καλύψει από το πρόστιμο 4% επί του τζίρου σας.

Θυμηθείτε ότι τα “νι” στην στήλη του επεξεργαστή σχετίζονται με άμεσες υποχρεώσεις των επεξεργαστών δεδομένων. Παρόλα αυτά, αν και δεν ισχύουν όλες οι υποχρεώσεις για τους επεξεργαστές δεδομένων, πρέπει να κατανοήσουν τις απαιτήσεις των ελεγκτών μιας και αυτοί θα είναι υπεύθυνοι για να βοηθήσουν τους ελεγκτές να κάνουν πολλές από αυτές. Μερικές υποχρεώσεις μπορεί να εξαρτώνται από το μέγεθος της επιχείρησης.

Για το ποιους αφορά το GDPR θα σας φανεί ιδιαίτερα χρήσιμη η ακόλουθη λίστα

Αν το ενδιαφέρον εστιάζεται στην ιστοσελίδα / ηλεκτρονικό σας κατάστημα θα πρέπει να ρίξετε μια ματιά στο άρθρο μας εδώ ενώ για την σύνταξη επιστολήςανακοίνωσης  απορρήτου να κάνετε κλικ εδώ .

Προσωπικά δεδομένα

  Ερώτηση Ελεγκτής Επεξεργαστής
Προσωπικά δεδομένα Επεξεργάζεστε προσωπικά δεδομένα;
Ευαίσθητα (ειδικά) προσωπικά δεδομένα Επεξεργάζεστε ευαίσθητα προσωπικά δεδομένα;
Παιδικά προσωπικά δεδομένα Συλλέγονται και επεξεργάζονται προσωπικά δεδομένα παιδιών;

Σκοπός της εφαρμογής

  Ερώτηση Ελεγκτής Επεξεργαστής
Ελεγκτής ΕΕ Είστε ελεγκτής;
Επεξεργαστής ΕΕ Είστε επεξεργαστής;
Κύρια Ίδρυση Που είναι τα κεντρικά στην ΕΕ;
Ελεγκτής / Επεξεργαστής Εκτός ΕΕ Υπάρχουν συλλογικές εταιρείες που βρίσκονται εκτός ΕΕ και στοχεύουν/παρακολουθούν άτομα από την ΕΕ;
Αν ναι, έχει οριστεί για την συγγραφή (όπου είναι απαραίτητο) αντιπρόσωπος από την ΕΕ, σε ένα από τα κράτη της ΕΕ όπου βρίσκονται τα υποκείμενα άτομα;
Είναι ο αντιπρόσωπος από την ΕΕ υποχρεωμένος να ελέγχεται σε θέματα που είναι υπό επεξεργασία (επιπρόσθετα από τον ελεγκτή/επεξεργαστή) από επιβλέπουσες αρχές και τα  άτομα που υποβάλλουν τα στοιχεία τους;
Κοινοί ελεγκτές Υπάρχουν οποιεσδήποτε σχέσεις κοινών ελεγκτών δεδομένων;

Έννομα εδάφη για επεξεργασία

  Ερώτηση Ελεγκτής Επεξεργαστής
Έννομα εδάφη για επεξεργασία Υπάρχει έννομη βάση για την επεξεργασία προσωπικών δεδομένων για κάθε λειτουργία επεξεργασίας;
Υπάρχει έννομη βάση για την επεξεργασία οποιονδήποτε ευαίσθητων προσωπικών δεδομένων για κάθε λειτουργία επεξεργασίας;
Συγκατάθεση Πως συλλέγεται η συγκατάθεση;
Πως δηλώνεται η συγκατάθεση;
Μπορούν τα υποκείμενα άτομα να αποσύρουν την συγκατάθεση τους;

Απαιτήσεις διαφάνειας

  Ερώτηση Ελεγκτής Επεξεργαστής
Ειδοποίηση των ατόμων που υποβάλλουν τα στοιχεία τους Έχει ειδοποιηθεί το άτομο που υποβάλλει τα στοιχεία του για την επεξεργασία;
Πηγή προσωπικών δεδομένων και πληροφορίες που δίνονται στο άτομο Συλλέγονται τα δεδομένα απευθείας από το άτομο και δίνονται οι απαιτούμενες πληροφορίες σε αυτό;
Τα δεδομένα δεν συλλέγονται από τον υποβληθέντα και δίνονται οι απαιτούμενες πληροφορίες σε αυτόν;

Άλλες αρχές για την προστασία δεδομένων και ανάληψη ευθυνών

  Ερώτηση Ελεγκτής Επεξεργαστής
Περιορισμός σκοπού Τα προσωπικά δεδομένα χρησιμοποιούνται μόνο για τους σκοπούς για τους οποίους συλλέχτηκαν αρχικά;
Ελαχιστοποίηση δεδομένων Τα προσωπικά δεδομένα περιορίζονται στο τι είναι αναγκαίο για τους σκοπούς για τους οποίους επεξεργάζονται;
Ακρίβεια Οι πολιτικές και η εκπαίδευση ισχύουν για να διασφαλιστεί ο έλεγχος των στοιχείων και η έγκαιρη διόρθωση τους σε περίπτωση ανακρίβειας;
Περιορισμός αποθήκευσης (διατήρηση) Οι προσωπικές πολιτικές εμπεριέχουν πληροφορίες για την διατήρηση των στοιχείων; Υπάρχουν διαδικασίες για την αρχειοθέτηση και την καταστροφή των δεδομένων;
Εντιμότητα και εμπιστευτικότητα Χρησιμοποιούνται κατάλληλα μέτρα ασφαλείας για την προστασία των δεδομένων;
Ανάληψη ευθυνών Μπορείτε να επιδείξετε συμμόρφωση με τις αρχές προστασίας δεδομένων;

Δικαιώματα αυτών που υποβάλλουν τα δεδομένα τους

  Ερώτηση Ελεγκτής Επεξεργαστής
Πρόσβαση σε προσωπικά δεδομένα Υπάρχει μια καταγεγραμμένη πολιτική/διαδικασία για τον χειρισμό αιτήσεων πρόσβασης από τον υποκείμενο;(SARs)
Δίνεται στα άτομα μηχανισμός για να ζητήσουν πρόσβαση σε πληροφορίες που διατηρούνται για αυτούς;
Είναι ο ελεγκτής δεδομένων ικανός να απαντήσει σε SARs μέσα σε ένα μήνα;
Φορητότητα δεδομένων Μπορεί ο υποκείμενος που υποβάλλει τα δεδομένα του να τα λάβει σε μια δομημένη, συνηθισμένη και αναγνώσιμη από μηχανές μορφή;
Διαγραφή και διόρθωση Ενημερώνονται τα άτομα για το δικαίωμα τους να απαιτήσουν διαγραφή ή διόρθωση των προσωπικών τους στοιχείων που διατηρούνται (όπου ισχύει);
Εφαρμόζονται αυτοί οι έλεγχοι και οι επίσημες διαδικασίες για να επιτραπεί η διαγραφή ή η παρεμπόδιση των προσωπικών δεδομένων;
Μπορούν οι  λίστες και οι διαδικασίες να διαχειριστούν τέτοια αιτήματα;
Δικαίωμα για διαφωνία Έχετε ενημερώσει το κάθε άτομο για το δικαίωμα που διατηρεί να διαφωνήσει με συγκεκριμένα είδη επεξεργασίας;
Υπάρχουν πολιτικές για να διασφαλίσετε ότι τα δικαιώματα μπορούν εφαρμοστούν στην πράξη;
Δημιουργία προφίλ και αυτοματοποιημένη επεξεργασία Βασίζεται η δημιουργία προφίλ σε συναίνεση; (αν ναι, αυτή θα πρέπει να είναι σαφής).
Χρησιμοποιεί η δημιουργία προφίλ οποιαδήποτε ευαίσθητα δεδομένα;
Περιλαμβάνει η δημιουργία προφίλ δεδομένα παιδιών;

Ασφάλεια δεδομένων

  Ερώτηση Ελεγκτής Επεξεργαστής
Κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας Οι κίνδυνοι που περιλαμβάνονται στην επεξεργασία, αξιολογούνται επίσημα, ελέγχονται, υπολογίζονται και έχουν μέτρα για να περιορίσουν αυτούς τους κινδύνους και να διασφαλίσουν την ασφάλεια της επεξεργασίας που έχει εφαρμοστεί;
Υπάρχει καταγεγραμμένο πρόγραμμα ασφαλείας που προσδιορίζει τα τεχνικά, διαχειριστικά και υλικά μέτρα ασφαλείας για τα προσωπικά δεδομένα;
Υπάρχει μια καταγεγραμμένη διαδικασία για την επίλυση παραπόνων και προβλημάτων που σχετίζονται με την ασφάλεια;
Υπάρχει ένα διορισμένο άτομο το οποίο είναι υπεύθυνο για την εφαρμογή σχεδίων αποκατάστασης για τα κενά στην ασφάλεια;
Εφαρμόζεται αποκρυπτογράφηση με βιομηχανικά στάνταρ και τεχνολογίες για την μεταφορά, αποθήκευση και λήψη ευαίσθητων προσωπικών δεδομένων από τα άτομα;
Καταστρέφονται, διαγράφονται ή γίνονται ανώνυμες  συστηματικά οι προσωπικές πληροφορίες, όταν δεν είναι πλέον νομικά απαραίτητο να διατηρηθούν για να ολοκληρώσουν τον σκοπό για τον οποίο αποκτήθηκαν;
Έχουν ληφθεί μέτρα για την δημιουργία ψευδωνύμων των προσωπικών δεδομένων όπου αυτό είναι εφικτό;
Μπορεί η διαθεσιμότητα και η πρόσβαση στα προσωπικά δεδομένα να αποκατασταθεί με έγκαιρο τρόπο σε περίπτωση ενός υλικού ή τεχνικού προβλήματος;

Παραβιάσεις δεδομένων

  Ερώτηση Ελεγκτής Επεξεργαστής
Παραβίαση υποχρεώσεων απάντησης Έχει η επιχείρηση συστήματα   καταγεγραμμένου απορρήτου και σχέδιο απάντησης σε περίπτωση προβλήματος  και αναγνώρισης του προβλήματος;
Ανανεώνονται και ελέγχονται τα σχέδια και οι διαδικασίες τακτικά;
Εφαρμόζονται αυτές οι διαδικασίες για την ειδοποίηση DPAs και παραβίαση των υποβαλλόμενων των δεδομένων (όπου ισχύει);
Υπάρχει σαφής και εσωτερική καθοδήγηση που εξηγεί πότε απαιτείται ειδοποίηση και τι πληροφορίες πρέπει να αναφερθούν;
Υπάρχουν σαφής διαδικασίες για την ειδοποίηση του ελεγκτή στην προβλεπόμενη μορφή οποιασδήποτε παραβίασης των δεδομένων χωρίς καθυστέρηση από την στιγμή που ενημερώνεται για αυτή;
Καταγράφονται οι παραβιάσεις των δεδομένων;
Εφαρμόζονται αυτές οι διαδικασίες συνεργασίας από τους ελεγκτές, προμηθευτές και άλλες πλευρές για την αντιμετώπιση των παραβιάσεων δεδομένων;
Έχετε σκεφτεί την κάλυψη ασφάλειας για την παραβίαση των δεδομένων; (δεν είναι υποχρεωτική από τον γενικό κανονισμό για την προστασία των προσωπικών δεδομένων)

Διεθνείς μεταφορές δεδομένων (εκτός της Ευρωπαϊκής Οικονομικής Περιοχής)

  Ερώτηση Ελεγκτής Επεξεργαστής
Χαρτογράφηση των διεθνών ροών δεδομένων Μεταφέρονται δεδομένα εκτός της ΕΟΠ;
Τι είδος προσωπικών δεδομένων μεταφέρονται και περιλαμβάνουν ευαίσθητα προσωπικά δεδομένα;
Ποιος είναι ο σκοπός αυτής της μεταφοράς;
Προς ποιον είναι αυτή η μεταφορά;
Καταγράφονται σε λίστες όλες οι μεταφορές-συμπεριλαμβανομένων των απαντήσεων σε προηγούμενες ερωτήσεις (π.χ. η φύση των δεδομένων, ο σκοπός της επεξεργασίας, από ποια χώρα εξάγονται τα δεδομένα και ποια χώρα τα λαμβάνει, και ποιος είναι ο αποστολέας της μεταφοράς;)
Ο κατάλληλος μηχανισμός για κάθε νομική μεταφορά καταγράφεται σε λίστα και προσδιορίζεται;
Νομιμότητα διεθνών μεταφορών Οι συγκεκριμένες μεταφορές καλύπτονται κατάλληλα από έναν κατάλληλα εφαρμοσμένο μηχανισμό ή καλύπτονται από μια εξαίρεση;
Διαφάνεια Αυτοί που υποβάλλουν τα δεδομένα είναι ενήμεροι για πιθανές μεταφορές των προσωπικών τους δεδομένων;
Μεταφορές που απαιτήθηκαν από αρχές ή δικαστήρια του εξωτερικού Υπάρχει πολιτική για τον χειρισμό απαιτήσεων για αποκάλυψη/μεταφορά προσωπικών δεδομένων από αρχές ή δικαστήρια; ( το Η.Β. δεν συμπεριλαμβάνεται σε αυτή την παροχή.)

Άλλες υποχρεώσεις του ελεγκτή

  Ερώτηση Ελεγκτής Επεξεργαστής
Τεχνικά και οργανωτικά μέτρα Ποια προγράμματα εκπαίδευσης απορρήτου παρέχει ο ελεγκτής δεδομένων στους υπαλλήλους;
Υπάρχουν ξεκάθαρα καταγεγραμμένες πολιτικές και διαδικασίες για όλες τις πλευρές της συμμόρφωσης απέναντι στον γενικό κανονισμό για την προστασία των προσωπικών δεδομένων;
Εκτελείτε διαδικασία ελέγχου τακτικά;
Απόρρητο από σχεδιασμό ή προκαθορισμό Οι πολιτικές και οι διαδικασίες εμπεριέχουν μια απαίτηση για ενσωμάτωση συμμόρφωσης στις δραστηριότητες επεξεργασίας;
Υπάλληλοι Προστασίας Δεδομένων (DPOs) Χρειάζεται να προσλάβετε έναν DPO;
Αν δεν απαιτείται DPO, σκεφτείτε αν χρειάζεται να προσλάβετε έναν.
Εκεί που έχει προσληφθεί ένας, βρίσκεται στην θέση του;
Επίδειξη συμμόρφωσης (διατήρηση αρχείων) Πόσους υπαλλήλους έχει η εταιρεία σας;
Γίνεται επεξεργασία ευαίσθητων προσωπικών δεδομένων;
Καταγράφονται τα νομικά εδάφη για την επεξεργασία προσωπικών δεδομένων;
Αξιολογήσεις Επίδρασης Προστασίας Δεδομένων (DPIAs) Έχετε μια διαδικασία για τον προσδιορισμό της ανάγκης και της διεξαγωγής (και καταγραφής) DPIAs;
Αναλαμβάνετε και καταγράφετε προηγούμενη επιμέλεια από παρόχους υπηρεσιών;
Συμπεριλαμβάνονται όλοι οι προβλεπόμενοι όροι στη σύμβαση του επεξεργαστή;
Συμβάσεις επεξεργαστή δεδομένων Υπάρχουν  συμβάσεις ελεγκτή/επεξεργαστή που περιέχουν όλους του προβλεπόμενους όρους;

Άλλες υποχρεώσεις του επεξεργαστή

  Ερώτηση Ελεγκτής Επεξεργαστής
Συμβάσεις με ελεγκτές Υπάρχουν σε εφαρμογή συμβάσεις ελεγκτή/επεξεργαστή που περιέχουν τους προβλεπόμενους όρους;
Χρήση υπο-επεξεργαστών Υπάρχει γραπτή εξουσιοδότηση για τις υπάρχουσες συμφωνίες υπο-επεξεργασίας;
Υπάρχει εξουσιοδότηση για προτεινόμενη υπο-επεξεργασία;
Έχει γίνει παροχή συγκεκριμένης ή γενικής εξουσιοδότησης;
Αν υπάρχει γενική εξουσιοδότηση, υπάρχει διαδικασία που πληροφορεί τον ελεγκτή για σκοπούμενες αλλαγές στους επεξεργαστές;
Είναι η επεξεργασία υποκείμενη σε σύμβαση που περιέχει τους προβλεπόμενους όρους;
Οι ίδιες υποχρεώσεις που έχουν αναφερθεί στην σύμβαση με τον ελεγκτή, υποβάλλονται και στον υπο-επεξεργαστή;
Επίδειξη συμμόρφωσης (διατήρηση αρχείου) Πόσους υπαλλήλους έχει η εταιρεία;
Επεξεργάζονται ευαίσθητα προσωπικά δεδομένα;
Υπάρχει νομική βάση για την καταγραφή των προσωπικών δεδομένων που είναι υπό επεξεργασία;
Υπάλληλος για την προστασία δεδομένων (DPO) Χρειάζεται να προσλάβετε έναν DPO;
Αν δεν απαιτείται ένας DPO, σκεφτείτε αν πρέπει να προσλάβετε έναν.
Όπου υπάρχει ένας DPO, εφαρμόζονται κλιμάκωση και γραμμές αναφοράς;
Βοήθεια προς τον ελεγκτή δεδομένων Είστε σε θέση να βοηθήσετε τον ελεγκτή δεδομένων διασφαλίζοντας συμμόρφωση με τον Γενικό Κανονισμό προστασίας προσωπικών δεδομένων;

 

Μην διστάσετε να μας καλέσετε στο 210 77 13 284 για να συζητήσουμε τις ιδιαίτερες ανάγκες σας

Υπεύθυνος Προστασίας Προσωπικών Δεδομένων. Σύνταξη ανακοίνωσης απορρήτου βάσει του GDPR

Υπεύθυνος Προστασίας Προσωπικών Δεδομένων. Πώς να γράψετε μια ανακοίνωση για το απόρρητο με βάση τον Γενικό Κανονισμό για την Προστασία των Προσωπικών Δεδομένων GDPR

Ένα αναπόσπαστο κομμάτι του σχεδιασμού σας για συμμόρφωση με τον Γενικό Κανονισμό για την Προστασία των Προσωπικών δεδομένων είναι η δημιουργία κατάλληλων εγγράφων, στα οποία συμπεριλαμβάνεται μια ανακοίνωση για το απόρρητο.

Αν τώρα ξεκινάτε το σχεδιασμό σας για τον Γενικό Κανονισμό για την προστασία των Προσωπικών Δεδομένων, είναι σχετικά απίθανο να έχετε συμμορφωθεί πλήρως μέχρι να βγει ο κανονισμός σε ισχύ, την 25η Μαΐου 2018.

Παρόλα αυτά, σε ένα πρόσφατο άρθρο μας για το τι είναι ο νέος γενικός κανονισμός που ακούει στο όνομα gdpr και πως αυτός επηρεάζει την ιστοσελίδα και το ηλεκτρονικό σας κατάστημα , σαν προτεραιότητα για τον γενικό κανονισμό για την προστασία των προσωπικών δεδομένων πριν την εφαρμογή του τον Μάιο, σας συμβουλέψαμε ότι ο οργανισμός σας πρέπει να βάλει σε προτεραιότητα την δημιουργία μιας ανακοίνωσης για το απόρρητο, και να την εμφανίζει σε άτομα που υποβάλλουν τα δεδομένα τους, όποτε εσείς  τα συλλέγετε, για να αποδείξετε ότι καταβάλετε προσπάθεια για να συμμορφωθείτε με τον κανονισμό αυτό.

Ποιες είναι οι διαφορές ανάμεσα σε μια ανακοίνωση για το απόρρητο και μια πολιτική για την προστασία των προσωπικών δεδομένων;

Μια ανακοίνωση για το απόρρητο είναι μια δημόσια δήλωση για το ποιες αρχές εφαρμόζει η επιχείρηση σας για την προστασία των προσωπικών δεδομένων, όταν επεξεργάζεται αυτά τα δεδομένα. Θα πρέπει να είναι ένα ξεκάθαρο και περιεκτικό έγγραφο, το οποίο να είναι προσβάσιμο από τον καθένα.

Αυτό το έγγραφο διαφέρει από την πολιτική για την προστασία των προσωπικών δεδομένων, η οποία είναι ένα εσωτερικό έγγραφο που εστιάζει με λεπτομέρεια στους στόχους και τις υποχρεώσεις της προστασίας των δεδομένων αλλά και πώς διαχειρίζονται οι παραβάσεις.

Η διάκριση εδώ καμιά φορά είναι δύσκολη. Είναι π.χ. ένα τελείως διαφορετικό θέμα να ενημερώνεται τον επισκέπτη / υποψήφιο πελάτη σας ότι δεν σκοπεύετε να χρησιμοποιήσετε / μεταβιβάσετε τα προσωπικά του δεδομένα για κανένα άλλον λόγο πέρα της εκτέλεσης μιας παραγγελίας του από το να τον ενημερώνετε ακριβώς πως τα χειρίζεστε , τι μέτρα προστασίας και διαδικασίες τηρείτε σχετικά με αυτά και να του παρέχετε ένα online control panel μέσω του οποίου έχει πλήρη πρόσβαση και δυνατότητα επεξεργασίας αυτών εκ μέρους του ΧΩΡΙΣ να απαιτείται κάποια ενέργεια εκ μέρους του.

Σαν dreamweaver.gr σε επίπεδο κατασκευής ιστοσελίδων έχουμε προχωρήσει στην δημιουργία ενός addon για το wordpress μέσω του οποίου δίνουμε πρόσβαση σε κάθε μέλος να μπορεί να επεξεργάζεται τα προσωπικά δεδομένα του οποιαδήποτε χρονική στιγμή και να έχει πλήρες έλεγχο επ΄αυτών. Σε επίπεδο κατασκευής eshop έχουμε δημιουργήσει ένα αντίστοιχο πίνακα ελέγχου για την πλατφόρμα OpenCart το οποίο όμως είναι πιο εξελιγμένο λόγω των ιδιαίτερων απαιτήσεων ενός ηλεκτρονικού καταστήματος . Σε αυτό ο χρήστης μπορεί να δει και να επεξεργαστεί όχι μόνο τα προσωπικά του στοιχεία αλλά και ότι αφορά τις παραγγελίες του. Επιπροσθέτως επειδή εκεί εμπλέκονται και θέματα προωθητικών – διαφημιστικών ενεργειών ενημερώνουμε και αποσπούμε την συγκατάθεση του πελάτη. Ενδεικτικά κάποια παραδείγματα όταν μέσω cookies κρατάμε ιστορικό περιήγησης, εμφάνιση εξατομικευμένων αποτελεσμάτων στο ηλεκτρονικό μας κατάστημα βάσει της περιήγησης του χρήστη – πελάτη -επισκέπτη σε αυτό όπως και την τοποθέτηση cookies που τον ακολουθεί σε τυχόν διαφημιστική μας καμπάνια στο facebook είτε και διαφήμιση στο google και σε συνεργαζόμενα με αυτό sites ( facebook and google remarketing) .  Στην ελληνική γλώσσα και ακολούθως στην ελληνική σκέψη πολλές φορές ισχύει τα ευκόλως εννοούμενα παραλείπονται. Αυτό πλέον δεν ισχύει. Αυτό ή κάποιος θα το καταλάβει μέσω της εναρμόνισης του με την νέα πραγματικότητα σε εθελοντική βάση είτε μέσω του προστίμου 4% επί του τζίρου της επιχειρήσεως του. Μια εξοντωτική ποινή , ενδεχομένως υπερβολική αλλά από αυτές που τίθονται άμεσα και χωρίς αυξομειώσεις.

Ανακοίνωση για το απόρρητο κάτω από τον Γενικό Κανονισμό για την Προστασία των Προσωπικών Δεδομένων

Τα άρθρα 12, 13 και 14 του γενικού κανονισμού για την προστασία των προσωπικών δεδομένων αναφέρει τις απαραίτητες προϋποθέσεις για την παροχή προσωπικών στοιχείων από οποιοδήποτε άνθρωπο. Αυτά είναι πιο λεπτομερή και συγκεκριμένα από ότι στον Βρετανικό Νόμο για την Προστασία Δεδομένων που θεσπίστηκε το 1998 (DPA).

Ο Γενικός Κανονισμός για την προστασία των προσωπικών δεδομένων λέει ότι οι πληροφορίες που παρέχετε πρέπει να είναι:

  • Περιεκτικές, διαφανείς, κατανοητές και εύκολα προσβάσιμες
  • Γραμμένες σε ξεκάθαρη και απλή γλώσσα, ιδιαίτερα αν απευθύνονται σε παιδιά και
  • Δωρεάν.
  • Βοήθεια για την δημιουργία μιας πρότυπης ανακοίνωσης για το απόρρητο
  • Η ανακοίνωση για το απόρρητο πρέπει να ικανοποιεί τα ακόλουθα έτσι ώστε να ενημερώνει επαρκώς τον υποκείμενο που υποβάλλει τα στοιχεία του:
  • Ποιος συλλέγει τα δεδομένα;
  • Τι δεδομένα συλλέγονται;
  • Ποια είναι η νομική βάση για την επεξεργασία των δεδομένων;
  • Θα κοινοποιηθούν τα δεδομένα σε τρίτους;
  • Πως θα χρησιμοποιηθούν οι πληροφορίες;
  • Για πόσο χρονικό διάστημα θα αποθηκευτούν τα δεδομένα;
  • Ποια δικαιώματα έχει το άτομο που υποβάλλει τα δεδομένα;
  • Πως μπορεί το άτομο που υποβάλλει τα δεδομένα του να διαμαρτυρηθεί;

    Εδώ είναι που προκύπτει η ανάγκη να αποκτήσετε τον δικό σας data protection officer, τον δικό σας υπεύθυνο προστασίας προσωπικών δεδομένων και θα χαρούμε να επικοινωνήσουμε μαζί ας και να συζητήσουμε πως θα καλύψουμε τις ιδιαίτερε ανάγκες σας καλώντας μας στο   210 77 13 284 . 

Portfolio Items