Loading. Please wait...

GDPR: πληροφορίες και πρακτικοί κανόνες εφαρμογής για e-shop

22 Mar 2018

Σίγουρα έχετε συναντήσει πολλά άρθρα στο διαδίκτυο σχετικά με την οδηγία GDPR που έχει θεσπίσει η ΕΕ και αφορά όλες τις επιχειρήσεις που δραστηριοποιούνται ή συναλλάσσονται με αυτή. Για τη διευκόλυνσή σας, παραθέτουμε απαντήσεις στα παρακάτω βασικά ερωτήματα:

Τι είναι το GDPR και πότε εφαρμόζεται;

Το GDPR (General Data Protection Regulation) είναι μια νέα οδηγία της Ευρωπαϊκής Ένωσης, η οποία φέρνει σημαντικές αλλαγές στην ασφάλεια δεδομένων και στην προστασία της ιδιωτικής ζωής. Η επίσημη έναρξη εφαρμογής της έχει οριστεί η 25η Μαΐου του 2018. Επικαιροποιεί την υπάρχουσα οδηγία περί προστασίας προσωπικών δεδομένων έκδοσης το 1995, και είναι περισσότερο οριοθετημένη από την υφιστάμενη που είχε την ευελιξία της διαφορετικής προσέγγισης / εφαρμογής από το κάθε κράτος της ΕΕ. Αποτελεί τον πυρήνα της απλούστευσης, της ενοποίησης και της επικαιροποίησης των διαδικασιών προστασίας δεδομένων προσωπικού χαρακτήρα και ευαίσθητων δεδομένων προσωπικού χαρακτήρα. Περισσότερες πληροφορίες μπορείτε να βρείτε στην επίσημη ιστοσελίδα ενημέρωσης σχετικά με την οδηγία στη διεύθυνση www.eugdpr.org

Ποιος είναι ο αρμόδιος φορέας για την Ελλάδα;

Ο αρμόδιος φορέας που θα εποπτεύει και θα επιβάλλει τις κυρώσεις που θα προκύπτουν από την μη εφαρμογή της οδηγίας σε μια επιχείρηση ή ένα οργανισμό είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα / DPA, η οποία θα έχει εξουσία να επιβάλλει κλιμακούμενα πρόστιμα έως 20 εκατομμύρια ευρώ ή, σε περίπτωση εταιρείας, έως το 4% του ετήσιου κύκλου εργασιών της.

Ποια θεωρούνται ως δεδομένα προσωπικού χαρακτήρα;

Ως προσωπικά δεδομένα χαρακτηρίζεται κάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο (το οποίο στην οδηγία αναφέρεται ως Υποκείμενο των Δεδομένων). Μερικά παραδείγματα τέτοιων πληροφοριών είναι: στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.), φυσικά χαρακτηριστικά (χρώμα ματιών, ύψος κλπ), εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ), οικονομική κατάσταση (φορολογική δήλωση, οικονομική συμπεριφορά κλπ), ενδιαφέροντα, δραστηριότητες, συνήθειες, παρουσίες σε χώρους (πχ check-in).

Ποια θεωρούνται ως ευαίσθητα προσωπικά δεδομένα;

Ως ευαίσθητα προσωπικά δεδομένα χαρακτηρίζονται τα δεδομένα ενός ατόμου που η κατάχρηση τους μπορεί να δημιουργήσει σοβαρά κοινωνικά, οικονομικά και γενικότερα προσωπικά προβλήματα στο Υποκείμενο. Στην οδηγία αναφέρονται μερικά από αυτά τα δεδομένα όπως η φυλετική ή εθνική του προέλευση, τα πολιτικά του φρονήματα, οι θρησκευτικές ή φιλοσοφικές του πεποιθήσεις,  η συμμετοχή του σε συνδικαλιστική οργάνωση, η υγεία του, η κοινωνική του πρόνοια, η ερωτική του ζωή, οι ποινικές διώξεις και καταδίκες του, καθώς και οι συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων. Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα.

Τι είναι o DPO; Είναι απαραίτητος για την επιχείρησή μου;

Εάν κάποια εταιρεία ή οργανισμός διαχειρίζεται ή επεξεργάζεται πληροφορίες Υποκειμένων σε μεγάλη κλίμακα ή επεξεργάζεται ειδικές κατηγορίες δεδομένων (ευαίσθητα προσωπικά δεδομένα), θα πρέπει να ορίσει ένα Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer - DPO).

Κύριο αντικείμενο του DPO είναι να προάγει μια κουλτούρα με στόχο τη γενικότερη  προστασία προσωπικών δεδομένων που διαθέτει και επεξεργάζεται η εταιρεία ή ο οργανισμός. Μερικά από τα καθήκοντά του είναι:

  • Να ενημερώνει και να συμβουλεύει την εταιρεία και τους υπαλλήλους της σχετικά με τις υποχρεώσεις που απορρέουν από το GPDR, και να επιβλέπει την τήρηση της οδηγίας
  • Να συνεργάζεται και να είναι το πρώτο σημείο επαφής για τις εποπτικές αρχές και τα υποκείμενα των δεδομένων

Ποιες είναι οι υποχρεωτικές ενέργειες της οδηγίας;

Τα σημεία της οδηγίας που αναφέρονται ως υποχρεωτικά είναι:

  • Ορισμός DPO σε εταιρείες που διαχειρίζονται μεγάλο όγκο (ευαίσθητων) προσωπικών δεδομένων ή δημόσιους φορείς.
  • Οι εταιρείες πρέπει να αναφέρουν τις παραβιάσεις δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Δεδομένων (DPA) εντός 72 ωρών από τη στιγμή που την αντιληφθούν.
  • Όσον αφορά το Υποκείμενο και τα δεδομένα του, θα πρέπει να υπάρχει δυνατότητα πληροφόρησης (να μπορεί να ενημερωθεί για το ποια δεδομένα του είναι αποθηκευμένα), διόρθωσης (να μπορεί να τροποποιήσει τα αποθηκευμένα δεδομένα του), διαγραφής (να μπορούν να διαγραφούν τα δεδομένα εφ’ όσον ζητηθεί από το υποκείμενό τους) ή μεταφοράς τους (να μπορεί το υποκείμενο να τα μεταφέρει σε άλλη εταιρεία αν το επιθυμήσει)
  • Λήψη επιπλέον μέτρων για την προστασία και ασφάλεια των αποθηκευμένων προσωπικών δεδομένων

Τι θα πρέπει να κάνω για την επιχείρησή μου;

Οι ενέργειες που θα μπορούσε να εφαρμόσει μια εταιρεία ή ένας οργανισμός προκειμένου να εναρμονιστεί με το GDPR, ουσιαστικά απορρέουν από μια γενικότερη κουλτούρα  που θα πρέπει να αναπτύξει η εταιρεία ή ο οργανισμός σχετικά με τη προστασία προσωπικών δεδομένων. Λόγω του ότι ένας κατάλογος τέτοιων ενεργειών θα μπορούσε να είναι αρκετά μακροσκελής, ενδεικτικά και μόνο θα αναφέρουμε μερικά παραδείγματα:

  • Φύλαξη/ασφάλιση του χώρου ή του μέσου που φέρει έντυπα ή ψηφιακά δεδομένα προσωπικού χαρακτήρα πχ ασφαλή αποθήκευση DVD ή USB stick με backup από βάσεις δεδομένων, αρχεία ή περιεχόμενο website, αποθήκευση κλασέρ σε ντουλάπι που ασφαλίζεται και όχι σε απλό ράφι, ύπαρξη υπογεγραμμένης κατάστασης καταγραφής εισόδου/εξόδου εγγράφων όταν αυτά είναι απαραίτητο να απομακρυνθούν για κάποιο χρονικό διάστημα από το χώρο φύλαξής τους, κλείδωμα δωματίου αρχειοθέτησης, κλπ
  • Απόκρυψη από κοινή θέα και πρόσβαση οποιουδήποτε είδους μέσου καταγραφής στοιχείων φυσικών προσώπων, είτε πρόκειται για έντυπο είτε για ηλεκτρονικό , πχ βιβλία εισόδου/εξόδου οχημάτων ή πελατών, υπολογιστές με αντίστοιχα προγράμματα καταγραφής φυσικών προσώπων σε σημεία υποδοχής, USB sticks ή DVD με δεδομένα κλπ
  • Υπογραφή συμβάσεων ευθύνης / εχεμύθειας από το προσωπικό της εταιρείας που έρχεται σε επαφή με προσωπικά δεδομένα
  • Γενική ενημέρωση και εκπαίδευση προσωπικού σε θέματα ασφάλειας δεδομένων, πχ τι να προσέχουν κατά τη λήψη emails, να ελέγχουν και να ενημερώνουν για ύποπτες συμπεριφορές των συστημάτων τους κλπ

Τι έχει εφαρμόσει ήδη η TotalWeb για τα δεδομένα που διαχειρίζομαι;

Στην εταιρεία μας φροντίζουμε πάντα για τη μέγιστη ασφάλεια των δεδομένων που αφορούν την ιστοσελίδα ή το eshop σας. Διατηρούμε τα συστήματά μας στη βέλτιστη κατάσταση με καθημερινούς ελέγχους, συνεχείς ενημερώσεις των λογισμικών, εφαρμογή αυτόματων κανόνων αυτοπροστασίας (firewalls, fail2ban, DDOS protection κλπ), χρήση εξελιγμένων αντιικών λογισμικών (antivirus), οργάνωση του τρόπου φύλαξης και διάθεσης των passwords, συνεχή εκπαίδευση γύρω από θέματα ασφαλείας σε τεχνικό επίπεδο, και συνεχή πληροφόρηση των συνεργατών και των πελατών μας.

Τι ενέργειες επιπλέον μπορώ να εφαρμόσω στο e-shop μου;

Σαν επιπλέον δικλίδες ασφάλειες στα ήδη προστατευμένα δεδομένα σας, και σαν αντίστοιχες διαδικασίες που απορρέουν από διάφορα σημεία/κλειδιά της οδηγίας του GDPR, προτείνουμε τις εξής ενέργειες:

  • Εφαρμογή ειδικών τεχνικών με σκοπό τη απλούστερη πληροφόρηση των επισκεπτών/πελατών σχετικά με τη χρήση των δεδομένων που εισάγουν στη παραγγελία ή την εγγραφή τους
  • Ανάπτυξη μηχανισμών που να αυτοματοποιεί τις διαδικασίες αίτησης και διαγραφής όλων των στοιχείων που διαθέτει οποιοσδήποτε επισκέπτης/χρήστης του e-shop 
  • Ανάπτυξη μηχανισμών εκτύπωσης ή αποστολής με email όλων των πληροφοριών που διαθέτει κάποιο e-shop για συγκεκριμένο πελάτη.
  • Έλεγχος και εφαρμογή μηχανισμών ρητής συγκατάθεσης στη χρήση των στοιχείων του επισκέπτη/χρήστη κατά την εγγραφή, παραγγελία, χρήση cookies, εγγραφή στο newsletter κλπ
  • Έλεγχος και εφαρμογή απαραίτητων ρυθμίσεων έτσι ώστε η εγγραφή σε λίστες newsletter να πραγματοποιούνται με τη διαδικασία double opt-in.
  • Στοχευμένη εφαρμογή διαδικασιών κρυπτογράφησης των δεδομένων που φυλάσσονται στη  βάση δεδομένων του e-shop
  • Αγορά και σωστή εγκατάσταση πιστοποιητικού ασφαλείας SSL.

Επικοινωνήστε μαζί μας για να σας προτείνουμε στοχευμένες ενέργειες διασφάλισης των δεδομένων που διαχειρίζεστε στην ιστοσελίδα σας! Καλέστε μας στο 210.5907.200 ή στείλτε μας αίτημα με τα στοιχεία σας, κάνοντας κλικ εδώ.

Σχετικά άρθρα

29 Apr 2020

GDPR: Έληξε η προθεσμία συμμόρφωσης με τις τελευταίες οδηγίες της DPA

Έληξε η προθεσμία συμμόρφωσης που έχει δοθεί από την Αρχή Προστασίας Προσωπικών Δεδομένων (dpa.gr) σε σχέση με τις οδηγίες αποφυγής κακών πρακτικών εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).

Διαβάστε Περισσότερα ›

Τι έχει εφαρμόσει ήδη η TotalWeb για τα δεδομένα που διαχειρίζομαι;

Μας εμπιστεύονται

Χρειάζομαι καθοδήγηση...

choose path

Δεν γνωρίζετε τι μπορεί να κάνει το Internet για εσάς; Θα θέλατε να μάθετε πως το διαδίκτυο και οι τεχνολογίες του μπορούν να σας βοηθήσουν;

Επικοινωνήστε μαζί μας για να σας προτείνουμε λύσεις που θα απογειώσουν την επιχείρησή σας!

Web templates

web templates

Επιλέξτε το πρότυπο εμφάνισης (template) που σας ενδιαφέρει, και εμείς θα αναπτύξουμε τoν νέο σας διαδικτυακό τόπο με τις πιο σύχρονες τεχνολογίες!

Διαλέξτε ανάμεσα σε πρότυπα για στατικές ιστοσελίδες, για ηλεκτρονικό κατάστημα (e-shop), ή για δυναμικές ιστοσελίδες, κ.ά. και εμείς θα το παραμετροποιήσούμε βάσει των αναγκών σας.

Υποστηρίζουμε το Ανοιχτό Λογισμικό!

Open source εφαρμογές

Έχετε εφαρμογή ανοιχτού λογισμικού (Joomla, Drupal, Opencart, OSCommerce, WordPress, MODx κ.ά) και ο προγραμματιστής σας σας άφησε "στα κρύα του λουτρού"; Μπορούμε να αναλάβουμε την πλήρη υποστήριξη και αναβάθμιση της πλατφόρμας Open Source που διαθέτετε!

Κορυφαίες λύσεις hosting!

hosting

Επικοινωνήστε μαζί μας για να μάθετε περισσότερα για τα διαθέσιμα πακέτα φιλοξενίας που παρέχουμε τόσο σε Windows™, όσο και σε Linux web servers.

Newsletter

Εγγραφείτε στο newsletter μας για να μαθαίνετε σημαντικά νέα γύρω από το χώρο του διαδικτύου και του ηλεκτρονικού εμπορίου!

Εγγραφή

210.5907.200