Ενημέρωση για τον νέο κανονισμό GDPR

Μέσα στο 2018, και συγκεκριμένα την 25η Μαΐου, μπαίνει σε εφαρμογή ο νέος κανονισμός της Ευρωπαϊκής Ένωσης για τη διασφάλιση των προσωπικών δεδομένων των χρηστών, General Data Protection Regulation (GDPR). Οι επισκέπτες / χρήστες οι οποίοι πλοηγούνται σε έναν ιστοχώρο ή/και συμπληρώνουν φόρμες (εγγραφή σε newsletter, online αγορές, κλπ), είναι απαραίτητο να μπορούν να έχουν πλήρη έλεγχο των προσωπικών δεδομένων τους. Επιπλέον, ο ιδιοκτήτης του ιστοχώρου είναι υποχρεωμένος να τους ενημερώνει για ποιο λόγο πρέπει να αποθηκεύει τα στοιχεία τους αυτά.

Σύμφωνα με τα παραπάνω, ο ιδιοκτήτης του ιστοχώρου είναι αποκλειστικά υπεύθυνος για τα εξής:

  • Πρέπει να αναγράφεται ποιος είναι, για ποιο χρονικό διάστημα κρατάει τα δεδομένα του χρήστη, για ποιο λόγο τα θέλει και ποιος έχει πρόσβαση σε αυτά.
  • Πρέπει να δίνει στον χρήστη την επιλογή (πχ. Checkbox) να συναινέσει στην συλλογή των στοιχείων του.
  • Πρέπει να παρέχει στο χρήστη τη δυνατότητα να έχει πρόσβαση στα στοιχεία του, να μπορεί να τα «κατεβάσει» (download) και να μπορεί να τα διαγράψει από τη βάση δεδομένων του ιστοχώρου.
  • Στην περίπτωση κακόβουλων ενεργειών (πχ hacking) πρέπει να ενημερώσει τον χρήστη για το γεγονός.

 

GDPR Opt-In

Το πρώτο και πιο σημαντικό βήμα που πρέπει να γίνει, είναι το GDPR Opt-In.

Τι είναι: Σύμφωνα με τον κανονισμό της Ευρωπαϊκής Ένωσης, το Opt-In σημαίνει ότι «πρέπει να πάρεις την συναίνεση του χρήστη για να λάβεις τα δεδομένα του». Αυτό σημαίνει ότι ο χρήστης πρέπει να συναινέσει ο ίδιος, όχι να έχει τη δυνατότητα να πει «όχι».

Για παράδειγμα, σε μία φόρμα επικοινωνίας όπου θα λαμβάνονται τα στοιχεία του χρήστη, είναι υποχρεωτικό να υπάρχει ένα κουτάκι (checkbox) «[Χ] Ναι, θέλω να γραφτώ στη λίστα για τα ενημερωτικά σας δελτία!».

Προσοχή όμως! Το checkbox πρέπει να μην είναι επιλεγμένο, αλλά ο ίδιος ο χρήστης να κάνει κλικ!

Το ίδιο ισχύει για την υποβολή σχολίων σε ένα άρθρο, ή στη σελίδα Check out κατά τη διάρκεια online αγοράς.

 

Ζητάμε τον ελάχιστο αριθμό των στοιχείων του χρήστη

Πολλοί ιστοχώροι ή blogs ζητάνε πολλά προσωπικά στοιχεία, τα οποία στην ουσία μπορεί να μην χρησιμεύουν. Γι’ αυτό ζητάμε πάντα τα απολύτως απαραίτητα!

Για παράδειγμα, στην εγγραφή στα ενημερωτικά δελτία (newsletters) αν δεν χρειάζεται το όνομα και το επώνυμο, ζητάμε μόνο το όνομα ή δεν ζητάμε τίποτα από αυτά αν δεν τα χρειαζόμαστε πραγματικά. Τις περισσότερες φορές η ηλεκτρονική διεύθυνση (email) αρκεί.

Αυτό φυσικά δεν σημαίνει ότι δεν μπορούμε να ζητήσουμε τα στοιχεία που θέλουμε. Απλά ο κανονισμός λέει ότι είναι υποχρέωσή μας να αναφέρουμε τον λόγο που τα θέλουμε. Αν ζητάμε το ονοματεπώνυμο, λέμε για ποιο λόγο τα θέλουμε. Αν ζητάμε την ημερομηνία γέννησης, αναφέρουμε τον λόγο (πχ για τη λήψη δωροεπιταγών την ημερομηνία των γενεθλίων). Αν ζητάμε το τηλέφωνο, εξηγούμε και πάλι τον λόγο, πχ στη συμμετοχή σε διαγωνισμό, αν ο χρήστης είναι νικητής, να επικοινωνήσουμε μαζί του.

Προσοχή! Την ίδια στιγμή που ζητάμε τα στοιχεία του χρήστη, είμαστε υποχρεωμένοι να αναφέρουμε ποιοι είμαστε. Για παράδειγμα «Αυτό το blog το διαχειρίζεται ο ….., ιδρυτής του blog και συγγραφέας» ή «Τα στοιχεία που υποβάλλονται θα χρησιμοποιηθούν από το www.myblog.gr και από κανέναν άλλο οργανισμό ή φυσικό πρόσωπο».

 

Όροι χρήσης και Πολιτική Απορρήτου

Αρχικά, είναι πολύ σημαντικό όλο το ήδη υπάρχον περιεχόμενο των όρων χρήσης ή της πολιτικής απορρήτου να συμμορφώνονται με τον νέο κανονισμό GDPR.

Σύμφωνα με τον νέο κανονισμό GDPR, ο ιδιοκτήτης του ιστοχώρου μπορεί να συμπεριλάβει το ποιος, το γιατί και το πώς στη σελίδα των όρων χρήσης ή της πολιτικής απορρήτου.

Επίσης, σε κάθε φόρμα επικοινωνίας / συμμετοχής / ενδιαφέροντος / αγοράς θα πρέπει να υπάρχει checkbox  το οποίο ο χρήστης θα επιλέγει και με αυτό θα δηλώνει ότι συμμορφώνεται με τους όρους χρήσης ή την πολιτική απορρήτου του εκάστοτε ιστοχώρου.

Στη σελίδα των όρων χρήσης ή της πολιτικής απορρήτου, ο ιδιοκτήτης πρέπει να προσθέσει το λεκτικό ότι ο χρήστης αποδέχεται ρητά και ανεπιφύλακτα τους όρους του παρόντος ιστοχώρου. Στη συνέχεια πρέπει να προστεθεί και μία επιπλέον παράγραφος για το πώς ο ιδιοκτήτης του ιστοχώρου διαχειρίζεται τα προσωπικά στοιχεία των χρηστών, σύμφωνα με τον νέο κανονισμό GDPR. Συγκεκριμένα, πρέπει να αναφέρονται λεπτομερείς πληροφορίες και οδηγίες για τα παρακάτω:

  • Πώς ο χρήστης μπορεί να «κατεβάσει» (download) το αρχείο με τα προσωπικά του στοιχεία από τον ιστοχώρο.
  • Πώς ο χρήστης μπορεί να διαγράψει οριστικά τα στοιχεία του από τη βάση δεδομένων του ιστοχώρου.
  • Με ποιον τρόπο θα ενημερωθεί ο χρήστης στην περίπτωση που υπάρξει κακόβουλη ενέργεια κατά του ιστοχώρου.
  • Λεπτομερή περιγραφή του ποιος / ποιοι είναι ο / οι ιδιοκτήτης / ιδιοκτήτες του ιστοχώρου, για ποιον λόγο χρησιμοποιούνται τα προσωπικά στοιχεία του χρήστη, ποιος έχει πρόσβαση σε αυτά και για ποιο χρονικό διάστημα παραμένουν στη βάση δεδομένων του ιστοχώρου.

Τέλος, είναι πολύ σημαντική η θέση στην οποία βρίσκεται η σελίδα των όρων χρήσης ή της πολιτικής απορρήτου μέσα στον ιστοχώρο, καθώς πρέπει να είναι άμεσα προσβάσιμη.

 

Η Ομάδα της WebProject είναι πλήρως ενημερωμένη για τον νέο κανονισμό και αναλαμβάνει τη συμμόρφωση όλων των ιστοχώρων με αυτόν.