Προετοιμασία της ιστοσελίδας ή του eshop σας για τον GDPR

1.Πολιτική Απορρήτου

Στην Πολιτική Απορρήτου της ιστοσελίδας σας πρέπει να περιγράφετε λεπτομερώς και ξεκάθαρα τον τρόπο που συλλέγετε προσωπικές πληροφορίες και το πως επεξεργάζεστε και αποθηκεύετε τα δεδομένα των επισκεπτών/πελατών σας. Επίσης πρέπει να αναφέρετε τον χρόνο που θα διατηρείτε τα δεδομένα και τον τρόπο που μπορούν να δουν, να επεξεργαστούν και να διαγράψουν τα δεδομένα τους.

2. Συγκατάθεση

Όπου υπάρχουν ηλεκτρονικές φόρμες για την συλλογή προσωπικών πληροφοριών όπως φόρμες επικοινωνίας, υποστήριξης, newsletter, αγοράς κλπ. θα πρέπει να υπάρχει κουτάκι τύπου checkbox – όχι προεπιλεγμένο. Τσεκάροντας το κουτάκι ο χρήστης, μας δίνει την συγκατάθεση του με την οποία αποδέχεται τους όρους χρήσης και την πολιτική απορρήτου. Οι Όροι Χρήσης πρέπει επίσης να περιλαμβάνουν έναν σύνδεσμο με την Πολιτική Προστασίας Προσωπικών Δεδομένων (Πολιτική Απορρήτου) σας και οποιονδήποτε άλλο σημαντικό όρο και συμφωνίες παροχής υπηρεσιών που επιθυμείτε να διαθέσετε.

3. Κρυπτογράφηση των δεδομένων με εγκατάσταση πιστοποιητικού SSL

Η ιστοσελίδα σας και ειδικά το eshop σας θα πρέπει κρυπτογραφεί τα δεδομένα μέσω κάποιου πιστοποιητικού SSL. Διαβάστε περισσότερα για το τι είναι το SSL σε περίπτωση που δεν γνωρίζετε. Προσφέρει μεγαλύτερη ασφάλεια στις συναλλαγές και στην ανταλλαγή δεδομένων του χρήστη με τον διακομιστή (σέρβερ). Εάν δεν έχετε ήδη, μπορείτε να προχωρήσετε σε αγορά πιστοποιητικού SSL. Υπάρχει και το δωρεάν πιστοποιητικό για τις πιο “μικρές” σελίδες.

4. Εύκολη απεγγραφή ή ανάκληση άδειας

Οι χρήστες πρέπει να έχουν δυνατότητα απεγγραφής ή ανάκλησης της συγκατάθεσης τους από όποια διαδικασία και ενέργεια επεξεργασίας των δεδομένων τους, είτε οι ίδιοι είτε από τον πάροχο τους ΧΩΡΙΣ χρέωση. Πχ. Θα πρέπει να δίνεται η δυνατότητα στους χρήστες να απεγγραφούν (unsubsrcibe) από τo newsletter εύκολα.

5. Cookies

Σε περίπτωση που χρησιμοποιείτε cookies, πρέπει να ενημερώνονται οι επισκέπτες κατά την είσοδο τους στο site και να αναφέρονται περισσότερες λεπτομέρειες σχετικά με αυτά στην πολιτική απορρήτου. Επίσης, θα πρέπει να έχουν την δυνατότητα να απενεργοποιήσουν τα cookies μέσα από τις ρυθμίσεις του περιηγητή (browser).

*Εάν χρησιμοποιούνται cookies τρίτων, όπως google analytics, πρέπει να αναφερθεί και αυτό μέσα στην πολιτική απορρήτου του site σας. Τι cookies χρησιμοποιούνται, για ποιο λόγο και για πόσο χρονικό διάστημα αποθηκεύονται.

6. Καταγραφή IP

Εάν καταγράφετε τις IP διευθύνσεις των επισκεπτών/μελών της ιστοσελίδας σας, θα πρέπει να αναφερθεί μέσα στην πολιτική απορρήτου, επειδή οι IP διευθύνσεις αποτελούν “προσωπικά δεδομένα” των ατόμων.

7. Διαφήμιση στα social media

Αν χρησιμοποιείτε τα email των εγγεγραμμένων χρηστών της ιστοσελίδας σας για διαφημιστική καμπάνια στα μέσα κοινωνικής δικτύωσης (social media), θα πρέπει πρώτα να ενημερώνονται οι κάτοχοι τους. Πρέπει επίσης να υπάρχει η δυνατότητα απεγγραφής από τις λίστες αυτές εάν το επιθυμούν.

8. Επαναληπτικό μάρκετινγκ (Re-marketing)

Το re-marketing λειτουργεί με την χρήση cookies τα οποία “σημαδεύουν” και παρακολουθούν τους χρήστες της εκάστοτε ιστοσελίδας. Η χρήση και ο τρόπος λειτουργίας αυτών τους θα πρέπει να αναγράφεται με σαφήνεια μέσα στην πολιτική απορρήτου της ιστοσελίδας σας.

9. Διαδικτυακές πληρωμές

Εάν χρησιμοποιείτε στο eshop σας πύλες πληρωμών όπως PayPal, Stripe κ.α. για τις συναλλαγές των πελατών σας και τα στοιχειά τους αποθηκεύονται στην ιστοσελίδα σας, θα πρέπει να κρυπτογραφούνται οι πληροφορίες αυτές μέσω ssl πιστοποιητικού.

Στην περίπτωση που το eshop σας αποθηκεύει τα προσωπικά στοιχεία των πελατών σας στην πύλη πληρωμών (payment gateway), τότε θα πρέπει να ενημερώνετε τους χρήστες μέσα από την πολιτική απορρήτου της σελίδας σας για πόσο χρόνο κρατούνται.

Δεν έχει ορισθεί ο χρόνος αποθήκευσης αλλά είναι στην κρίση σας ένας λογικός χρόνος και μετά από αυτό το διάστημα να διαγράφονται όλα τα στοιχεία τους.

Τα στοιχεία των μη ενεργών χρηστών θα πρέπει να διαγράφονται μετά από εύλογο χρονικό διάστημα.

Εάν ζητηθεί να διαγράψετε ΟΛΑ τα στοιχεία τους είστε υποχρεωμένοι να το κάνετε.

10. Διαρροή Πληροφοριών

Ο GDPR ορίζει ως καθήκον στις επιχειρήσεις ότι σε περίπτωση παραβίασης των προσωπικών δεδομένων που κρατούνται να ειδοποιήσουν μέσα σε 72 ώρες από το συμβάν την Αρχή Προστασίας Προσωπικών Δεδομένων της χώρας που εδρεύουν.

ΣΥΝΟΨΙΖΟΝΤΑΣ ΓΙΑ ΤΙΣ ΕΝΕΡΓΕΙΕΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΚΑΝΕΤΕ ΓΙΑ ΤΟ GDPR

  • Ενημέρωση: Οφείλετε να πληροφορήσετε τους πελάτες σας για τον καινούριο κανονισμό. Επίσης θα πρέπει να τους ενημερώσετε γιατί συλλέγετε τα δεδομένα τους και για πόσο καιρό θα τα κρατήσετε αποθηκευμένα
  • Συγκατάθεση: Για να μπορείτε να επεξεργάζεστε τα προσωπικά δεδομένα των πελατών σας, είστε υποχρεωμένος σύμφωνα με τον νέο κανονισμό να έχετε πάρει πρώτα την ρητή συγκατάθεσή τους, ενώ αν πρόκειται για συλλογή δεδομένων ανηλίκων μέσω των social media θα πρέπει πρώτα να ελέγξετε την ηλικία τους καθώς είναι πιθανό να χρειάζεται να πάρετε την συγκατάθεση των γονιών.
  • Πρόσβαση και δυνατότητα μεταφοράς: Επιτρέψτε στους πελάτες σας να έχουν την δυνατότητα να επεξεργαστούν τα προσωπικά τους δεδομένα ή και να πραγματοποιήσουν μεταφορά σε κάποια άλλη εταιρία εάν το θέλουν, παρέχοντάς τους πρόσβαση
  • Διαγραφή δεδομένων: Θα πρέπει να τους παρέχετε το “δικαίωμα στη λήθη”, το νέο ψηφιακό δικαίωμα το οποίο τους δίνει την δυνατότητα να ζητήσουν διαγραφή των προσωπικών τους δεδομένων υπό την προϋπόθεση ότι δεν καταπατείται η ελευθερία έκφρασης και ότι δεν παρεμποδίζεται η διεξαγωγή έρευνας
  • Μάρκετινγκ: Στην περίπτωση που χρησιμοποιείτε τα προσωπικά τους δεδομένα σε διάφορες ενέργειες μάρκετινγκ για την επιχείρησή σας, έχουν το δικαίωμα να ζητήσουν την εξαίρεσή τους
  • Προστασία ευαίσθητων δεδομένων: Για να προστατεύσετε τα ευαίσθητα προσωπικά δεδομένα των πελατών σας, δηλαδή τις πληροφορίες που αναφέρονται στην φυλή ή εθνικότητα, στην θρησκεία αλλά και στις πολιτικές, σεξουαλικές, καταναλωτικές πεποιθήσεις τους κ.α., θα πρέπει να λάβετε επιπλέον μέτρα για την προστασία τους καθώς τα ευαίσθητα προσωπικά δεδομένα προστατεύονται από τον νόμο με αυστηρότερες ρυθμίσεις σε σχέση με τα απλά προσωπικά δεδομένα
  • Μεταφορά δεδομένων εκτός ΕΕ: Για τις χώρες που ακόμα δεν έχουν λάβει την έγκριση της Ε.Ε. Θα πρέπει να συνάψετε νομικές συμφωνίες με τους πελάτες σας προκειμένου να διαβιβάσετε δεδομένα στις συγκεκριμένες χώρες

Παραπάνω αναφέρονται σε γενικές γραμμές ποιες είναι οι κινήσεις που πρέπει να κάνετε για να είστε καλυμμένοι από την οδηγία αυτή, όμως καλό είναι να πάρετε και μια συμβουλή από έναν νομικό σύμβουλο γιατί κάθε περίπτωση είναι διαφορετική.