Η άφιξη του Γενικού Κανονισμού Προστασίας Δεδομένων
Η άφιξη του Γενικού Κανονισμού Προστασίας Δεδομένων
Ο GDPR τι είναι και τι σημαίνει η προστασία των προσωπικών δεδομένων για ιστότοπους και ιστότοπους ηλεκτρονικού εμπορίου
Η 25η Μαΐου 2018 είναι μια ημερομηνία εποχής στη διαχείριση των προσωπικών δεδομένων εντός της Ευρωπαϊκής Κοινότητας. Την ημερομηνία αυτή τίθεται σε ισχύ Γενικός κανονισμός για την προστασία των δεδομένων, περισσότερο γνωστό με το ακρωνύμιο του GDPR, νόμος που προστατεύει τα φυσικά πρόσωπα και τη διαχείριση των προσωπικών τους δεδομένων. Αυτός ο κανόνας έρχεται μετά από μια μακρά νομοθετική διαδικασία και είναι η φυσική συνέπεια ενός κόσμου στον οποίο οι νέες τεχνολογίες θέτουν στο επίκεντρο τα ευαίσθητα δεδομένα των διαφόρων χρηστών που τις χρησιμοποιούν. Σε αυτές τις γραμμές θα προσπαθήσουμε να εξηγήσουμε λεπτομερώς τον GDPR και να κατανοήσουμε την εφαρμογή του σε ιστότοπους και πύλες ηλεκτρονικού εμπορίου.
Οι σκοποί του Γενικού Κανονισμού Προστασίας Δεδομένων
Για να κατανοήσουμε καλύτερα τη χρησιμότητα αυτής της νομοθεσίας που εγκρίθηκε από την Ευρωπαϊκή Ένωση, είναι απαραίτητο να απαριθμήσουμε τους σκοπούς του GDPR. Με αυτόν τον νέο κανονισμό, οι χρήστες πρέπει πρώτα από όλα να γνωρίζουν περισσότερο την τύχη των προσωπικών τους δεδομένων και πρώτα απ' όλα να παρέχουν ρητή συγκατάθεση. Στη συνέχεια, τα ίδια δεδομένα πρέπει να χρησιμοποιηθούν με εξαιρετική φειδώ, θέτοντας αυστηρούς κανόνες που θα επιτρέπουν την επεξεργασία τους εκτός της Ευρωπαϊκής Κοινότητας και, τέλος, πρέπει να επιβάλλονται αυστηρές κυρώσεις για όσους παραβιάζουν τις διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων. Αυτά είναι τα σημεία στα οποία βασίζεται αυτός ο νέος κανονισμός απορρήτου, αλλά λίγο μετά την κυκλοφορία του, ο Γενικός Κανονισμός Προστασίας Δεδομένων παρουσιάζει ήδη κάποιες ατέλειες.
Η «αναλογία» των κρατών μελών και το ιταλικό τέλμα
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων έχει παρουσιαστεί ως ένα σύστημα κανόνων που εγγυάται μια σημαντική καταστολή στο όνομα της ιδιωτικής ζωής. Την εποχή της νομοθεσίας, ωστόσο, η ΕΕ άφησε στα κράτη μέλη τη δυνατότητα να «ερμηνεύσουν» τους κανονισμούς που περιέχονται σε αυτό το νέο έγγραφο. Αυτό σημαίνει ότι η ακαμψία που είχε υποσχεθεί έχει εξαφανιστεί πριν καν ξεκινήσει και οι Γάλλοι και Ισπανοί χρήστες, για παράδειγμα, μπορεί να δουν τα προσωπικά τους δεδομένα να αντιμετωπίζονται διαφορετικά από τους Πορτογάλους ή τους Γερμανούς χρήστες. Η ιταλική περίπτωση είναι ακόμη πιο μοναδική: μέχρι σήμερα, η κυβέρνησή μας δεν έχει εκδώσει ακόμη το νομοθετικό διάταγμα σχετικά με τον Γενικό Κανονισμό Προστασίας Δεδομένων, επομένως ο ευρωπαϊκός κανονισμός εξακολουθεί να ισχύει στη χώρα μας. Το πράγμα από μόνο του θα μπορούσε να έχει και θετικές πλευρές, αν δεν υπήρχε το γεγονός ότι ελλείψει νομοθετικού διατάγματος δεν είναι δυνατή η δίωξη και η τιμωρία όσων παραβιάζουν τις διατάξεις αυτού του νέου εγγράφου για την ιδιωτική ζωή.
Τι σημαίνει «προσωπικά δεδομένα»;
Ο όρος «προσωπικά δεδομένα» χρησιμοποιείται (και γίνεται κατάχρηση) σε διάφορους τομείς της καθημερινής ζωής, αλλά είναι μια παραπλανητική έννοια για όλους τους μη ειδικούς. Ταυτόχρονα, δεδομένου ότι μιλάμε για την προστασία των ευαίσθητων δεδομένων και τους κανόνες κατά της παραβίασης της ιδιωτικής ζωής, είναι απαραίτητο να έχουμε μια σαφή ιδέα για τα "προσωπικά δεδομένα". Όλες αυτές οι πληροφορίες επιτρέπουν την ξεκάθαρη ταυτοποίηση ενός ατόμου από τα άλλα "προσωπικά δεδομένα": αυτή η κατηγορία επομένως περιλαμβάνει όνομα, επίθετο, φορολογικό κωδικό, ημερομηνία γέννησης, διεύθυνση, αριθμό τηλεφώνου και πολλά άλλα. Ωστόσο, όταν μιλάμε για απόρρητο στις διαδικτυακές πύλες, υπάρχουν και άλλα στοιχεία που προσδιορίζουν ξεκάθαρα ένα θέμα, ακόμα κι αν αποδίδονται περισσότερο στις συσκευές που χρησιμοποιεί το ίδιο: διευθύνσεις IP, διευθύνσεις ηλεκτρονικού ταχυδρομείου, cookies κ.λπ.
Υπό το πρίσμα αυτού του ορισμού, τίθεται ένα ερώτημα: αλλά πότε αποφασίζουν οι χρήστες να εμπιστευτούν τα ευαίσθητα δεδομένα τους σε έναν ιστότοπο; Στη συντριπτική πλειονότητα των περιπτώσεων αυτή η λειτουργία λαμβάνει χώρα κατά τη φάση εγγραφής στην πύλη, είτε στοχεύει στη δημιουργία μιας δεσμευμένης περιοχής είτε ακόμη και απλώς για την εγγραφή σε ένα ενημερωτικό δελτίο. Συγκεκριμένα, λοιπόν, πολλά ιστότοπους ηλεκτρονικού εμπορίου Έχουν επίσης πρόσβαση σε άλλους τύπους δεδομένων που μπορούν να οριστούν ως "ευαίσθητα": πρώτα απ 'όλα, σε αυτά οικονομικής φύσης (τραπεζικούς κωδικούς, IBAN και φορολογική κατοικία), τα οποία είναι προφανώς απαραίτητα για τη δυνατότητα πραγματοποίησης συναλλαγών στο διαδίκτυο. Οι καταναλωτικές συνήθειες είναι επίσης λιγότερο συνεκτιμημένες, αλλά εξακολουθούν να αποδίδονται στην κατηγορία των προσωπικών δεδομένων: ποιο κοινωνικό δίκτυο χρησιμοποιείτε; Ποιο είναι το αγαπημένο σου ποτό; Ποιο είναι το τελευταίο προϊόν που αγοράσατε online; Αυτές οι φαινομενικά ασήμαντες ερωτήσεις τείνουν να δημιουργούν ένα προφίλ καταναλωτή, έτσι ώστε να προσφέρονται στον χρήστη μόνο αγαθά και υπηρεσίες που μπορούν πραγματικά να κεντρίσουν την περιέργειά του. Η χρήση αυτών των δεδομένων για εμπορικούς σκοπούς πρέπει επίσης να εξηγείται με σαφήνεια στον χρήστη, σύμφωνα πάντα με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων.
Τι να κάνετε με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων
Εμβαθύνετε τις θεωρητικές πτυχές πίσω από το προστασία των προσωπικών δεδομένων είναι απαραίτητο, αλλά όλοι όσοι διαχειρίζονται διαδικτυακές πύλες και ιστότοπους ηλεκτρονικού εμπορίου βασικά θέλουν να κατανοήσουν ποιες είναι οι νέες λειτουργίες που πρέπει να γίνουν σε σχέση με αυτήν τη νέα νομοθεσία περί απορρήτου.
Φόρμες επικοινωνίας σε συνδυασμό με την Πολιτική Απορρήτου
Όπως γράψαμε προηγουμένως, οι χρήστες πρέπει να γνωρίζουν ότι τα προσωπικά τους δεδομένα μπορούν να συλλεχθούν και να υποβληθούν σε επεξεργασία για συγκεκριμένους σκοπούς. Και επομένως είναι σημαντικό ο χρήστης, όταν πραγματοποιεί εγγραφές σε ιστότοπους ηλεκτρονικού εμπορίου ή επισκέπτεται μια διαδικτυακή πύλη, να ασκεί ρητά τη συγκατάθεσή του. Αυτός είναι ο λόγος που ο Γενικός Κανονισμός Προστασίας Δεδομένων υποχρεώνει όλους ιστοσελίδες για να έχουν μια Privacy Policy, ή μια τεκμηρίωση στην οποία οι χρήστες εξηγούνται ποιοι τύποι δεδομένων συλλέγονται, ποιος είναι το υποκείμενο που τα συλλέγει και γιατί το κάνουν αυτό, αλλά κυρίως πρέπει να διευκρινίζει εάν αυτά μεταβιβάζονται σε τρίτους και για πόσο καιρό διατηρούνται σε τη βάση δεδομένων της πύλης. Δεδομένου ότι ένα τέτοιο έγγραφο είναι τις περισσότερες φορές ιδιαίτερα μακροσκελές και βαρετό και οι χρήστες του διαδικτύου (παρά την προσωπική τους ασφάλεια) τείνουν να αποφεύγουν ιστότοπους όπου υπάρχουν μεγάλα κείμενα προς ανάγνωση, έχει διαπιστωθεί ότι οι Πολιτικές Απορρήτου έπρεπε να συνδυαστούν με εκείνες τις φόρμες στις οποίες ο χρήστης εισάγει φυσικά τα προσωπικά του δεδομένα. Γι' αυτόν τον λόγο, όταν, για παράδειγμα, εγγράφεστε σε ένα ενημερωτικό δελτίο ιστότοπου, εκτός από την εισαγωγή του ονόματος, του επωνύμου και της διεύθυνσης email σας, ο χρήστης πρέπει να "τικάρει" το πλαίσιο που αφορά την εξουσιοδότηση επεξεργασίας προσωπικών δεδομένων .
Καταγραφή δεδομένων και Google Analytics
Αυτή η νέα νομοθεσία, μεταξύ άλλων, εκτός από τη ρύθμιση της προστασίας των προσωπικών δεδομένων υποχρεώνει επίσης τους διαχειριστές ιστοτόπων ηλεκτρονικού εμπορίου και διαδικτυακών πυλών να εγγράφονται και να διατηρούν ευαίσθητες αναφορές χρηστών. Και όχι μόνο αυτό, ακόμη και η ημερομηνία κατά την οποία ο χρήστης συναίνεσε στην επεξεργασία των προσωπικών του δεδομένων πρέπει να είναι εύκολα επαληθεύσιμη. Εξ ου και η ανάγκη για τους ιστότοπους να έχουν μια πραγματική βάση δεδομένων για να αξιοποιήσουν ανά πάσα στιγμή, η οποία πρέπει να συνδυαστεί με ένα εργαλείο καταγραφής δεδομένων. Το τελευταίο είναι ένα λογισμικό που καταγράφει τη διεύθυνση IP της συσκευής με την οποία ο χρήστης έχει πρόσβαση στην πύλη και με αυτόν τον τρόπο είναι δυνατό να επαληθευτεί ανά πάσα στιγμή η προέλευση, η ημερομηνία και η ώρα της συγκατάθεσης που δόθηκε.
Πρέπει να καταφεύγουν σε εργαλεία καταγραφής δεδομένων, για παράδειγμα, σε όλες εκείνες τις πύλες στις οποίες οι χρήστες έχουν τη δική τους «δεσμευμένη περιοχή», όπου όχι μόνο μπορούν να ελέγχουν τα ευαίσθητα δεδομένα τους ανά πάσα στιγμή, αλλά εάν είναι απαραίτητο μπορούν επίσης να τα τροποποιήσουν ή/και διαγράψτε τα. Ένα από τα πιο διάσημα εργαλεία καταγραφής δεδομένων στον κόσμο είναι το Google Analytics, το λογισμικό της ομώνυμης εταιρείας Mountain View που χρησιμοποιούν οι χρήστες για να ελέγχουν την απόδοση της ιστοσελίδας τους. Το Google Analytics καταγράφει για κάθε διεύθυνση IP χρήστη, σελίδες που επισκέφθηκε, χρόνο και πολλά άλλα δεδομένα. Οι διαχειριστές των ιστοσελίδων που χρησιμοποιούν αυτό το λογισμικό, πάντα σε συμμόρφωση με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων, πρέπει να καταστήσουν ρητή τη χρήση προγραμμάτων όπως το Google Analytics εντός της πύλης τους.
Εδώ έρχεται ο Υπεύθυνος Προστασίας Δεδομένων
Οι νέοι κανόνες για την ασφάλεια των προσωπικών δεδομένων προβλέπουν μια συγκεκριμένη επαγγελματική προσωπικότητα που πρέπει να αναλάβει την ευθύνη για τη διαχείριση και την προστασία των όσων οι χρήστες εμπιστεύονται στις διαδικτυακές πύλες. Αυτός ο αριθμός είναι γνωστός με τα ονόματα του Υπεύθυνου Προστασίας Δεδομένων ή Υπεύθυνος προστασίας δεδομένων (συντομογραφία DPO). Ο Υπεύθυνος Προστασίας Δεδομένων πρέπει πρώτα από όλα να έχει βαθιά γνώση όχι μόνο του Γενικού Κανονισμού Προστασίας Δεδομένων, αλλά και όλων των άλλων κανονισμών που ισχύουν για το απόρρητο, είτε στο παρελθόν είτε στο παρόν είτε στο μέλλον. Πρέπει λοιπόν να είναι μια απολύτως ανεξάρτητη προσωπικότητα σε σχέση με την ιδιοκτησία της ιστοσελίδας, που δεν λαμβάνει εντολές από κανέναν και που πρέπει να μιλήσει απευθείας με την ανώτατη διοίκηση του οργανογράμματος της εταιρείας. Ταυτόχρονα, τέλος, θα πρέπει να μπορεί να αξιοποιεί οικονομικούς και ανθρώπινους πόρους που της επιτρέπουν να πραγματοποιεί με τον καλύτερο δυνατό τρόπο όσα ορίζουν οι νέοι κανονισμοί για την ασφάλεια των προσωπικών δεδομένων. Στην πραγματικότητα, ακόμη και πίσω από τη φιγούρα του ΥΠΔ υπάρχουν πολλά ελαττώματα και πτυχές που πρέπει να διευκρινιστούν. Ένα πάνω από όλα αφορά τις δεξιότητες του Υπεύθυνου Προστασίας Δεδομένων: στην πραγματικότητα αυτός ο αριθμός δεν πρέπει μόνο να έχει τις κατάλληλες δεξιότητες σχετικά με τους κανονισμούς απορρήτου, αλλά θα πρέπει επίσης να είναι ικανός στα θέματα που αντιμετωπίζει η διαδικτυακή πύλη, ειδικά εάν είναι κάποιας σημασίας (σκεφτείτε τις πύλες που ασχολούνται με θέματα ιατρικής-επιστημονικής φύσης). Είναι αυτονόητο ότι η εύρεση όλων αυτών των δεξιοτήτων σε ένα μόνο σχήμα είναι τις περισσότερες φορές δύσκολη, αν όχι αδύνατη.
Ποιος είναι ο κίνδυνος παραβίασης του Γενικού Κανονισμού Προστασίας Δεδομένων;
Όπως αναφέραμε και παραπάνω, το πλαίσιο κυρώσεων που σχετίζεται με αυτήν τη νέα νομοθεσία για την προστασία της ιδιωτικής ζωής εξακολουθεί να είναι ελλιπές, ειδικά εδώ στην Ιταλία όπου η απουσία συγκεκριμένου νομοθετικού διατάγματος καθιστά τους παραβάτες, τουλάχιστον στα χαρτιά, μη υπόχρεους δίωξης. Ωστόσο, θέλοντας να δώσουμε μια πολύ σύντομη περίληψη των κυρώσεων που επιβάλλονται σε όσους δεν δίνουν προτεραιότητα στην ασφάλεια των προσωπικών δεδομένων των χρηστών, μπορούμε να τα χωρίσουμε σε δύο μακροοικονομικές περιοχές:
- σοβαρές και λιγότερο σοβαρές παραβάσεις. Στην πραγματικότητα, και στις δύο περιπτώσεις η χρηματική ποινή δεν είναι καθόλου ελαφριά: για τις μικρότερες ποινές, κινδυνεύετε με πρόστιμο έως 10 εκατ. ευρώ ή πρόστιμο ίσο με το 2% του τζίρου που είχε συγκεντρώσει η εταιρεία το «πέρυσι».
- σοβαρές παραβιάσεις μπορούν να ανεβάσουν αυτές τις ποινές στα 20 εκατ. ευρώ ή στο 4% του τζίρου. Στα λιγότερο σοβαρά «εγκλήματα» περιλαμβάνονται η παράλειψη διορισμού Υπεύθυνου Προστασίας Δεδομένων, η παραβίαση των όρων που αφορούν τη συναίνεση ανηλίκων και η μη εφαρμογή μέτρων ασφαλείας.
- Ποιος, για παράδειγμα, διακινεί παράνομα ευαίσθητα δεδομένα με τρίτη χώρα επιβάλλεται αυστηρό πρόστιμο. Τέλος, σε ιδιαίτερα σοβαρές περιπτώσεις, ο Γενικός Κανονισμός για την Προστασία Δεδομένων μπορεί να προβλέπει και ποινικές κυρώσεις.
Μπορεί επίσης να σας ενδιαφέρει:
Η Innosuisse πέτυχε τους στόχους της καινοτομίας για το 2023 στην Ελβετία
Ένα ποσό ρεκόρ άνω των 490 εκατομμυρίων φράγκων διατέθηκε για να αντισταθμιστεί η έλλειψη σύνδεσης με το γνωστό πρόγραμμα της ΕΕ Horizon Europe
«Πουλάω, αλλά μένω»: η νέα τάση του μικρού επιχειρηματία
Η ιστορία της εισόδου του Francesco Schittini και της Emotec στο ταμείο MCP είναι υποδειγματική για συχνές αλλαγές ιδιοκτησίας χωρίς οργανωτικές κρίσεις
AI Tools for Businesses, το μάθημα αφιερωμένο στην τεχνητή νοημοσύνη
Η ελβετική start-up navAI την ανέπτυξε με στόχο να παρέχει όλα τα απαραίτητα εργαλεία για την εφαρμογή της νέας τεχνολογίας στον τομέα της
Υπήρχε μια κερκόπορτα για να τους μολύνει όλους, αλλά μια ιδιοφυΐα έσωσε τον Ιστό
Να πώς η τεχνογνωσία ενός προγραμματιστή, και λίγη... πρόνοια, απέτρεψε το σαμποτάζ του Linux και ολόκληρου του Διαδικτύου
//