10 βήματα για συμμόρφωση του site σου με τον GDPR
Είτε είσαι ιδιοκτήτης eshop, είτε διαχειρίζεσαι ένα ειδησεογραφικό portal που συλλέγει email για την αποστολή newsletter, αλλά ακόμη και...
https://to-synoro.blogspot.com/2019/04/gdpr.html
Είτε είσαι ιδιοκτήτης eshop, είτε διαχειρίζεσαι ένα ειδησεογραφικό portal που συλλέγει email για την αποστολή newsletter, αλλά ακόμη και εάν διαθέτεις ένα μικρό εταιρικό site που λαμβάνει μηνύματα μέσω της φόρμας επικοινωνίας, ένα είναι σίγουρο, θα πρέπει έως τις 25 Μαΐου να είσαι έτοιμος για τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) ή αλλιώς και GDPR.
Ποια site αφορά ο GDPR;
Τα site που θα πρέπει να προετοιμαστούν για τον GDPR είναι όσα συλλέγουν, επεξεργάζονται και αποθηκεύουν δεδομένα των επισκεπτών/χρηστών τους. Ας δούμε στην συνέχεια μια σύντομη λίστα με λειτουργίες και πρακτικές ιστοσελίδων που υπόκεινται στον κανονισμό:
- Google Analytics
- Το site σου έχει φόρμες εγγραφών
- Λειτουργίες e-commerce που συλλέγουν πληροφορίες πληρωμών, παραγγελιών κτλ
- Έχεις φόρμες εγγραφής στο newsletter
- Το site σου έχει scripts που χρησιμοποιούν cookies
- Χρησιμοποιείς στα άρθρα σου συστήματα σχολιασμού, όπως Disqus κτλ
- Διαθέτεις φόρμα επικοινωνίας στο site σου
10 Βήματα για την προετοιμασία του website σου για τον GDPR
1.Πολιτική Απορρήτου
Στην πολιτική απορρήτου του site σου θα πρέπει να αναφέρεσαι λεπτομερώς και ξεκάθαρα σχετικά με τον τρόπο με τον οποίο συλλέγεις, επεξεργάζεσαι και αποθηκεύεις τα δεδομένα των χρηστών σου. Ακόμη, μη ξεχάσεις να αναφέρεις τον χρόνο που σκοπεύεις να διατηρήσεις τα δεδομένα και τον τρόπο που μπορούν οι χρήστες να δουν και διαγράψουν τα δεδομένα τους.
2. Κρυπτογράφηση των δεδομένων με SSL
Εάν το site σου δεν κρυπτογραφεί τα δεδομένα μέσω κάποιου ssl ήδη, τότε θα πρέπει να το εντάξεις στις άμεσες προτεραιότητες σου. Όπως έχουμε αναφέρει σε προηγούμενο άρθρο το ssl πιστοποιητικό είναι το 1ο βήμα για τον GDPR και αυτό γιατί προσφέρει ιδιωτικότητα και ασφάλεια στις συναλλαγές και στην μεταφορά των δεδομένων των χρηστών.
3. Ηλεκτρονικές φόρμες
Αν το site σου έχει φόρμες (επικοινωνίας, υποστήριξης, πωλήσεων κ.α.) θα χρειαστεί να προσθέσεις κουτάκια (check boxes) συγκατάθεσης τα οποία δεν θα πρέπει να έχουν συμπληρωθεί προηγουμένως, αλλά να τα επιλέξει ο χρήστης, μιας και τα προ-συμπληρωμένα κουτάκια δεν θεωρούνται ελεύθερη συγκατάθεση. Οι χρήστες θα πρέπει να έχουν την δυνατότητα να δίνουν διαφορετική συγκατάθεση ανάλογα με τον τύπο της επεξεργασίας των δεδομένων που γίνεται κάθε φορά. Εάν για παράδειγμα παρέχεις τα δεδομένα των χρηστών σου σε τρίτους, θα πρέπει να προσθέσεις ακόμη ένα κουτί συγκατάθεσης όπου θα ζητάς την συγκατάθεση του χρήστη.
4. Εύκολη απεγγραφή ή ανάκληση άδειας
Οι χρήστες θα πρέπει έχουν την δυνατότητα απεγγραφής ή ανάκλησης της συγκατάθεσης τους από διαδικασίες και ενέργειες που επεξεργάζονται τα δεδομένα τους. Για παράδειγμα, θα πρέπει να δίνεις την δυνατότητα στους χρήστες σου να απεγγραφούν από τo newsletter με εύκολο τρόπο και οποιαδήποτε στιγμή το επιθυμούν.
5. Cookies
Σε περίπτωση που χρησιμοποιείς cookies, θα χρειαστεί να ενημερώνεις τους επισκέπτες σου κατά την είσοδο τους στο site και να αναφέρεις περισσότερες λεπτομέρειες σχετικά με αυτά στην πολιτική απορρήτου. Ακόμη, θα πρέπει να τους δίνεις τη δυνατότητα να απενεργοποιήσουν τα cookies μέσα από τις ρυθμίσεις του browser.
*Εάν χρησιμοποιείς cookies τρίτων, όπως google analytics, ανέφερε και αυτό μέσα στην πολιτική απορρήτου του site σου.
6. Καταγραφή IP
Σε περίπτωση που καταγράφεις τις IP διευθύνσεις των χρηστών ή επισκεπτών του site σου, θα πρέπει να το αναφέρεις μέσα στην πολιτική απορρήτου διότι οι IP διευθύνσεις αποτελούν “προσωπικά δεδομένα” των ατόμων.
*Εάν για παράδειγμα στο blog σου διαθέτεις σύστημα σχολιασμού που καταγράφει τις ip των χρηστών στην βάση δεδομένων, ενημέρωσε τους πριν αφήσουν κάποιο σχόλιο.
7. Διαφήμιση στα social media
Αν σκοπεύεις να χρησιμοποιήσεις τα email των εγγεγραμμένων μελών του site σου για να τρέξεις μια διαφημιστική καμπάνια στα social media, θα πρέπει πρώτα να τους έχεις ενημερώσει. Ακόμη, να τους παρέχεις την δυνατότητα να απεγγραφούν από τις συγκεκριμένες ενέργειες μάρκετινγκ εάν το επιθυμούν.
8. Re-marketing
Το re-marketing λειτουργεί με την χρήση cookies τα οποία “σημαδεύουν” και παρακολουθούν τους χρήστες του εκάστοτε site. Η χρήση και ο τρόπος λειτουργίας αυτών τους θα πρέπει να αναγράφεται με σαφήνεια μέσα στην πολιτική απορρήτου του site σου.
9. Online Πληρωμές
Σε περίπτωση που χρησιμοποιείς πύλες πληρωμών όπως PayPal, Stripe, Sagepay κ.α. για τις χρηματοπιστωτικές συναλλαγές των πελατών και τα προσωπικά τους στοιχεία περνάνε πρώτα από το e-shop σου, θα χρειαστεί να κρυπτογραφείς αυτές τις πληροφορίες μέσω ssl πιστοποιητικού.
Βρες το ssl που ταιριάζει στις ανάγκες σου με τον ΒΟΗΘΟ ΕΠΙΛΟΓΗΣ SSL
Ενώ, αν το e-shop σου αποθηκεύει τα προσωπικά στοιχεία μετά την αποστολή των πληροφοριών στην πύλη πληρωμών, τότε θα χρειαστεί να τροποποιήσεις την πολιτική απορρήτου και τις διεργασίες του e-shop ώστε να αφαιρέσεις τυχόν προσωπικά στοιχεία μετά από εύλογο χρονικό διάστημα, για παράδειγμα 90 ημέρες.
Η νομοθεσία του GDPR δεν είναι ρητή για τον αριθμό των ημερών που αποθηκεύεις τα προσωπικά δεδομένα των πελατών. Είναι στην δική σου κρίση ως προς το τι μπορεί να υποστηριχθεί ως λογικό και απαραίτητο χρονικό διάστημα. Τέλος, να είσαι έτοιμος να παρέχεις και αν σου ζητηθεί να αφαιρέσεις όλες τις πληροφορίες που διατηρείς για κάθε πελάτη.
10. Διαρροή Πληροφοριών
Ο GDPR ορίζει ως καθήκον των επιχειρήσεων και οργανισμών, σε περίπτωση παραβίασης των δεδομένων, να ειδοποιήσουν εντός 72 ωρών την Αρχή Προστασίας Προσωπικών Δεδομένων της χώρας που εδρεύουν.