DreamWeaver.Gr

Όταν ξεκινήσαμε το 2001 το slogan μας ήταν ήρθαμε για να μείνουμε. Τώρα το 2017 διατηρούμε το ίδιο ατενίζοντας το μέλλον με αισιοδοξία και όρεξη.

GDPR Νομοθεσία / Γλωσσάρι April 25, 2018

EU GDPR Νομοθεσία / Γλωσσάριο   Νομοθεσία Οδηγία Προστασίας Δεδομένων Η Ευρωπαϊκή Οδηγία 95/46/ΕΚ ελ...

περισσότερα...
WordPress / WooCommerce και GDPR April 16, 2018

Οι λεπτομέρειες της συμμόρφωσής σας με το WordPress / WooCommerce με τον νέο κανονισμό GDPR Σε προηγ...

περισσότερα...

Blog

April 16, 2018

WordPress / WooCommerce και GDPR

Οι λεπτομέρειες της συμμόρφωσής σας με το WordPress / WooCommerce με τον νέο κανονισμό GDPR

Σε προηγούμενα μας άρθρα έχουμε αναφερθεί εκτενώς στον νέο γενικό κανονισμό προστασίας δεδομένων / GDPR και το πως επηρεάζει τις επιχειρηματικές σας δραστηριότητες.ποιους αφορά ο GDPR  μέσω μιας απλής λίστας ελέγχου, το πως επηρεάζει ο GDPR την ιστοσελίδα / ηλεκτρονικό σας κατάστημα και το τι πρέπει να κάνετε ,  όπως και τον ρόλο του data protection officer  . (υπεύθυνος προστασίας δεδομένων ΥΠΔ ) 

Ας αφιερώσουμε μια στιγμή για να μιλήσουμε για το πώς θα σιγουρευτείτε ότι ο ιστοτοπός σας συμμορφώνεται και ότι δεν θα αντιμετωπίσετε τυχόν προβλήματα με το WordPress και τον νέο κανονισμό προστασίας προσωπικών δεδομένων GDPR.

Προτού προχωρήσετε σε κάθε πτυχή και πώς να συμμορφωθείτε με αυτές, ένας έλεγχος ασφαλείας στον WordPress ιστότοπό σας θα πρέπει γενικά να αποκαλύπτει τον τρόπο επεξεργασίας και αποθήκευσης των δεδομένων στους διακομιστές σας και τα βήματα που απαιτούνται για τη συμμόρφωση με το GDPR. Το πρόσθετο Εργαλείο Ελέγχου Ασφαλείας Λογαριασμού, Security Audit Log, μπορεί να σας βοηθήσει να εκτελέσετε έναν έλεγχο ασφαλείας στον ιστότοπό σας.

Μερικοί συνήθεις τρόποι με τους οποίους ένας τυποποιημένος ιστότοπος WordPress μπορεί να συλλέξει δεδομένα χρήστη:

  • Εγγραφές χρηστών
  • Σχόλια
  • Καταχωρήσεις φόρμας επικοινωνίας
  • Αναλυτικά στατιστικά και εφαρμογές καταγραφής κυκλοφορίας στον ιστοτόπο
  • Οποιαδήποτε άλλα εργαλεία καταγραφής και πρόσθετα
  • Εργαλεία ασφαλείας και πρόσθετα.

Εδώ είναι μερικές βασικές πτυχές του WordPress GDPR που θα πρέπει να κανονίσουν οι χρήστες:

α) Γνωστοποίηση παραβίασης

Σύμφωνα με τη συμμόρφωση με το GDPR, εάν ο ιστότοπός σας αντιμετωπίζει οποιαδήποτε παραβίαση δεδομένων, αυτή η παραβίαση πρέπει να κοινοποιείται στους χρήστες σας.

Η παραβίαση δεδομένων ενδέχεται να δημιουργήσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων, για αυτό καθίσταται αναγκαία η έγκαιρη ειδοποίηση των χρηστών. Σύμφωνα με το GDPR, πρέπει να αποστέλλεται μια γνωστοποίηση εντός 72 ωρών από την πρώτη στιγμή που διαπιστώνεται παραβίαση. Οι επεξεργαστές δεδομένων υποχρεούνται επίσης να ειδοποιούν τους χρήστες καθώς και τους υπεύθυνους επεξεργασίας δεδομένων, αμέσως μόλις διαπιστώσουν την παραβίαση των δεδομένων.

Σε ένα σενάριο WordPress, αν παρατηρήσετε παραβίαση δεδομένων, θα πρέπει να ειδοποιήσετε όλους όσους επηρεάζονται από την παραβίαση εντός αυτού του καθορισμένου χρονικού πλαισίου. Ωστόσο, η πολυπλοκότητα εδώ είναι ο ορισμός του όρου “χρήστης” – μπορεί να αποτελεί συνήθη χρήστες του ιστότοπου, καταχωρήσεις φόρμας επικοινωνίας και ενδεχομένως ακόμη και σχολιαστές.

Αυτή η ρήτρα του GDPR δημιουργεί έτσι μια νομική απαίτηση για την αξιολόγηση και την παρακολούθηση της ασφάλειας του δικτυακού σας τόπου. Ο ιδανικός τρόπος είναι να παρακολουθείτε τα αρχεία καταγραφής ιστού και διακομιστή ιστού, αλλά μια πρακτική επιλογή είναι να χρησιμοποιήσετε την πρόσθετη εφαρμογή Wordfence με ενεργοποιημένες τις ειδοποιήσεις.

Σαν dreamweaver.gr όταν προχωρούμε στην κατασκευή μιας ιστοσελίδας με την χρήση της πλατφόρμας wordpress εγκαθιστούμε πάντα το συγκεκριμένο online σύστημα ασφαλείας ακόμα και πριν την έλευση του GDPR. Ο  λόγος απλός. Η ασφάλεια μιας ιστοσελίδας βρίσκεται σε ευθεία συνάρτηση με την φήμη της εταιρείας σας. Φανταστείτε ένα κενό ασφαλείας που θα αφήσει την ιστοσελίδα σας από κάποιες ώρες μέχρι και κάποιες ημέρες σε κάποια σενάρια εκτός λειτουργίας με την ένδειξη hacked….  Αναρωτηθείτε το απλό. Εσείς ως επισκέπτης / χρήστης της ιστοσελίδας αυτής θα διατηρούσατε την εμπιστοσύνη σας σε αυτήν μετά την επίλυση του όποιου θέματος;  Ότι χτίζατε με κόπο , χρόνο και χρήμα θα χαθεί μέσα σε ελάχιστο χρονικό διάστημα.

Αν είχατε επενδύσει σε seo ενέργειες για την προώθηση της ιστοσελίδας σας αυτές θα εξαφανιζόταν επίσης εν μια νυκτί όταν το Google και οι άλλες μηχανές αναζήτησης αντιληφθούν ότι η χρήση του ιστοτόπου σας είναι δυνητικά επικίνδυνη για τους χρήστες / επισκέπτες . Θα το έπραττε δε όχι μόνο παρέχοντας τις σχετικές σημάνσεις / προειδοποιήσεις ότι ο ιστοτόπος σας είναι πιθανώς επικίνδυνος  αλλά πετώντας σας για αόριστο χρονικό διάστημα από τα αποτελέσματα τους ή μεταβάλλοντας προς το χειρότερο την σειρά κατάταξης σας  με μεγάλη πιθανότητα να μην σας επαναφέρει ποτέ στην θέση που είχατε και για την οποία δαπανήσατε επίσης κόπο , χρόνο και χρήμα.

Σε γενικές γραμμές, αυτή η ρήτρα ενθαρρύνει κάποιον να χρησιμοποιήσει τις καλύτερες διαθέσιμες πρακτικές ασφαλείας για να διασφαλίσει ότι δεν θα υπάρξουν παραβιάσεις δεδομένων.

β) Συλλογή, επεξεργασία και αποθήκευση δεδομένων

Τρία στοιχεία αυτού του είδους:

  1. Δικαίωμα Πρόσβασης
  2. Δικαίωμα να Ξεχαστούν
  3. Φορητότητα Δεδομένων

Το δικαίωμα πρόσβασης παρέχει στους χρήστες πλήρη διαφάνεια στην επεξεργασία και την αποθήκευση δεδομένων – ποια σημεία δεδομένων συλλέγονται, πού αποθηκεύονται αυτά τα σημεία δεδομένων και ο λόγος πίσω από τη συλλογή, επεξεργασία και αποθήκευση των δεδομένων. Οι χρήστες θα πρέπει επίσης να έχουν στη διάθεσή τους ένα αντίγραφο των δεδομένων τους χωρίς κόστος εντός 40 ημερών.

Το δικαίωμα να ξεχαστούν δίνει στους χρήστες τη δυνατότητα να διαγράψουν τα προσωπικά τους δεδομένα και να σταματήσουν την περαιτέρω συλλογή και επεξεργασία των δεδομένων. Αυτή η διαδικασία συνεπάγεται ότι ο χρήστης αποσύρει τη συγκατάθεσή του για τη χρήση των προσωπικών του δεδομένων.

Η φορητότητα δεδομένων του GDPR παρέχει στους χρήστες το δικαίωμα λήψης των προσωπικών τους δεδομένων, για τα οποία έχουν προηγουμένως δώσει τη συγκατάθεσή τους, και περαιτέρω διαβίβαση αυτών των δεδομένων σε διαφορετικό ελεγκτή.

Η προστασία προσωπικών δεδομένων από το σχεδιασμό ενθαρρύνει τους ελεγκτές να εφαρμόζουν πολιτικές δεδομένων που επιτρέπουν την επεξεργασία και αποθήκευση μόνο των δεδομένων που είναι απολύτως απαραίτητα. Αυτό ενθαρρύνει τους ιδιοκτήτες και τους ελεγκτές ιστότοπων να υιοθετήσουν δυνητικά ασφαλέστερες πολιτικές για τα δεδομένα, περιορίζοντας την πρόσβαση σε αριθμό σημείων δεδομένων.

Ως ιδιοκτήτες ιστότοπου του WordPress, πρέπει πρώτα να δημοσιεύσετε λεπτομερή πολιτική σχετικά με τα σημεία προσωπικών δεδομένων που χρησιμοποιείτε, τον τρόπο με τον οποίο αυτά επεξεργάζονται και αποθηκεύονται.

Στη συνέχεια, πρέπει να έχετε μια ρύθμιση για να παρέχετε στους χρήστες ένα αντίγραφο των δεδομένων τους. Αυτό είναι ίσως το πιο δύσκολο κομμάτι της διαδικασίας. Ωστόσο, μπορούμε να υποθέσουμε ότι όταν έρθει η ώρα, οι περισσότεροι προγραμματιστές προσθέτων ή προγραμματιστές εργαλείων – για τα εργαλεία και τα πρόσθετα που έχετε στον ιστότοπό σας – θα έχουν ήδη προχωρήσει με τις δικές τους λύσεις σε αυτό.

Παρόλα αυτά, σας συνιστούμε να έχετε ένα σύστημα που να εξάγει τα απαιτούμενα δεδομένα από τη βάση δεδομένων σας.

Επιπλέον, μπορεί να είναι καλό να αποφύγετε εντελώς την αποθήκευση δεδομένων σε ορισμένες περιπτώσεις. Για παράδειγμα, μπορείτε να ρυθμίσετε τις φόρμες επικοινωνίας για να προωθούν απευθείας όλη την επικοινωνία στη διεύθυνση ηλεκτρονικού ταχυδρομείου σας, αντί να τις αποθηκεύσετε οπουδήποτε στο διακομιστή ιστού.

(γ) Χρήση των πρόσθετων – συνέπειες της συμμόρφωσης του WordPress GDPR

Οποιαδήποτε πρόσθετα που χρησιμοποιείτε θα πρέπει επίσης να συμμορφώνονται με τους κανόνες του GDPR. Ως κάτοχοι ιστότοπου, εξακολουθείτε να είστε υπεύθυνοι, ωστόσο, να βεβαιωθείτε ότι κάθε πρόσθετο μπορεί να εξάγει / παρέχει / διαγράψει τα δεδομένα χρήστη που συλλέγει σύμφωνα με τους κανόνες GDPR.

Αυτό μπορεί ακόμα να σημαίνει μπελάδες για μερικά από τα πιο δημοφιλή πρόσθετα εκεί έξω. Για παράδειγμα, λύσεις όπως το Gravity Forms ή το Jetpack έχουν πολλές μονάδες που συλλέγουν δεδομένα χρηστών από τη φύση τους. Πώς ακριβώς συμμορφώνονται αυτά τα εργαλεία με το GDPR;

Και για τα πρόσθετα ισχύουν οι ίδιοι κανόνες, αν και πρέπει να προσεγγίζονται από την άποψη του ιδιοκτήτη της ιστοσελίδας WordPress. Κάθε πρόσθετο πρέπει να δημιουργήσει μια ροή δεδομένων και να ενημερώσει σχετικά με την επεξεργασία των προσωπικών δεδομένων. Αν είστε ο προγραμματιστής ενός πρόσθετου, εξετάστε το ενδεχόμενο να προσφέρετε στους χρήστες του πρόσθετου σας μια προσθήκη που μπορούν να προσθέσουν στους όρους του ιστοτόπου τους, ώστε να είναι συμβατό με το GDPR.

Το Gravity Forms, για παράδειγμα, πρέπει να επιτρέπει στον χρήστη να γνωρίζει τον τρόπο με τον οποίο θα δημοσιευθούν τα προσωπικά δεδομένα που συμπληρώνονται σε μια φόρμα επικοινωνίας και μια επιλογή για την αφαίρεσή τους, εάν είναι απαραίτητο.

Επίσης, κάποια εργαλεία που βρίσκονται εκτός της WordPress ιστοσελίδας σας θα επηρεαστούν και αυτά. Πάρτε, τα email marketing εργαλεία, για παράδειγμα. Είναι συνηθισμένη πρακτική να είναι συνδεδεμένα με το WordPress site σας και να στέλνουν διαφημιστικά emails στις λίστες των email διευθύνσεων των χρηστών σας. Σε εξάρτηση με το πως «τρέχεται» αυτές τις λίστες παραληπτών, οι διευθύνσεις αυτές ίσως δεν έχουν αποκτηθεί με τη ρητή συγκατάθεση των χρηστών.

Για παράδειγμα, ένα κουτί επιλογής που είναι προεπιλεγμένο κατά την εγγραφή θεωρείται παραβίαση. Κάτω από το νόμο GDPR, οτιδήποτε αποτελεί μέρος της διαδικτυακής παρουσίας σας ως επιχείρηση πρέπει να παρέχει δυνατότητα συγκατάθεσης και να διαθέτει πολιτική προστασίας απορρήτου.

Υπάρχουν και άλλες επιπτώσεις – εάν θέλετε να αγοράσετε μια λίστα email διευθύνσεων, θα στέλνετε emails παράνομα στους παραλήπτες, αφού κανένας από αυτούς δεν ζήτησε να λαμβάνει emails από εσάς.

Παρότι η τελική υποχρέωση αφορά τον διαχειριστή του WordPress site, η ίδια η WordPress ίσως πρέπει να κοιτάξει τις διαδικασίες ώστε να γίνει συμβατή με το GDPR. Όπως από τις 27 Ιουλίου 2017, μια αναζήτηση για το GDPR δεν επέστρεφε αποτελέσματα στην σελίδα κατάθεσης ιδεών του WordPress, πράγμα που σημαίνει ότι δεν υπάρχουν προγραμματισμένες αλλαγές στη δομή και τη λειτουργία του WordPress.

Η μόνη ειλημμένη αλλαγή είναι η προσθήκη πολιτικής απορρήτου στο WordPress.

Μην διστάσετε να μας καλέσετε στο 210 77 13 284 για να συζητήσουμε τις ιδιαίτερες ανάγκες σας.

Δαβαλάς Θανάσης

Data Protection Officer, Ασφάλεια Ιστοσελίδων, Κατασκευή ιστοσελίδων , , ,