Slide show

Ευρωπαϊκός Νόμος GDPR σε όλα τα e-Shop αυστηρότατα πρόστιμα στους παραβάτες

 gdpr-e-shop


Οι ραγδαίες τεχνολογικές εξελίξεις σε συνδυασμό με την ανάγκη αποτελεσματικότερης προστασίας των δεδομένων προσωπικού χαρακτήρα, ανάγκασαν την Ευρωπαϊκή Ένωση στη θέσπιση ενός αυστηρότερου νομοθετικού πλαισίου σχετικά με την προστασία των προσωπικών δεδομένων. Oλες οι επιχειρήσεις που διατηρούν προσωπικά δεδομένα σε οποιαδήποτε μορφή και δραστηριοποιούνται στην Ευρωπαϊκή Ένωση να συμμορφωθούν με τον νέο Ευρωπαϊκό νόμο κατά GDPR που αφορά την προστασία και διαχείριση των προσωπικών δεδομένων. Καταληκτική ημερομηνία μάλιστα η 25 Μαΐου 2018. έχει βρει μάλλον απροετοίμαστους τους επαγγελματίες στον τεράστιο όγκο αλλαγών που θα πρέπει να κάνουν


Τι προβλέπει ο νόμος:

Το 2017 το Ευρωπαϊκό Κοινοβούλιο προχώρησε στη δημιουργία και ψήφιση του νέου Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων ή αλλιώς GDPR το οποίο θα πρέπει να εφαρμόζεται σε όλες τις επιχειρήσεις εντός Ευρωπαϊκής Ένωσης που διατηρούν ευαίσθητα προσωπικά δεδομένα σε διαφορετικές μορφές. Μάλιστα οι επιχειρήσεις αυτές ήταν υποχρεωμένες μέχρι τις 25 Μαΐου 2018 να έχουν εφαρμόσει όλα τα νέα μέτρα που προβλέπει ο κανονισμός.

Μετά την καταληκτική ημερομηνία, θα επιβάλλονται αυστηρότατα πρόστιμα σε επιχειρήσεις που δεν έχουν συμμορφωθεί με τον νέο κανονισμό που μπορεί να φτάσουν μέχρι και 20.000.000 ευρώ (αναλογικά με το μέγεθος της επιχείρησης). Για το λόγο αυτό εφιστούμε την προσοχή σας να προχωρήσετε έγκαιρα στις απαραίτητες ενέργειες, αρχικά για να ενημερωθείτε σχετικά με το νέο κανονισμό GDPR και τις παραμέτρους του σε συνέχεια να απευθυνθείτε σε επιχειρήσεις που θα αναλάβουν να σας καλύψουν νομικά και να σας ενημερώσουν σχετικά με τις υλικοτεχνικές και δομικές αλλαγές που θα πρέπει να γίνουν στην επιχείρηση σας.



Τα Τρία σημαντικά σημεία της νομοθεσίας:

Α. Θα δίνεται πλέον η δυνατότητα στους πελάτες της επιχείρησης ή συναλλασόμενους να μπορούν να λαμβάνουν τα προσωπικά τους στοιχεία από την επιχείρηση ή με απλές ενέργειες να λαμβάνουν αντίγραφο ασφάλειας των προσωπικών τους δεδομένων

Β. Απλοποιεί τις νομικές διαδικασίες για τα προσωπικά δεδομένα σε ευρωπαϊκό επίπεδο, αφού πλέον θα λειτουργούν όλες οι εταιρίες στο πλαίσιο ενός κανονισμού. 

Γ. Διασφαλίζει την διαύγεια των προσωπικών δεδομένων και την προστασία από κακόβουλες πράξεις παραβίασης, μεταβίβασης ή χρήσης χωρίς την συγκατάθεση του κατόχου που του ανήκουν.

Ποια χαρακτηρίζονται ως προσωπικά δεδομένα:

Ο νέος κανονισμός GDPR ξεκαθαρίζει τι θεωρείται προσωπικό δεδομένο και πώς συνδέεται σαν στοιχείο με τον κάτοχο του. Προσωπικά δεδομένα θεωρούνται στοιχεία που διατηρεί η επιχείρηση σε μια βάση δεδομένων όπως: διεύθυνση, ονοματεπώνυμο, e-mail τηλέφωνο κ.α. Ευαίσθητα προσωπικά δεδομένα είναι στοιχεία που αφορούν το άτομο και απαιτούν ιδιαίτερη προστασία διότι ταυτίζονται με τις φυλετικές, θρησκευτικές, φιλοσοφικές πεποιθήσεις του ατόμου.

Καταγράφουμε για εσάς 10 σημαντικά βήματα που θα πρέπει να ακολουθήσετε για να ενημερωθείτε σχετικά με το νέο κανονισμό και να μάθετε τι αλλαγές θα πρέπει να κάνετε στην επιχείρηση σας.

  1. Επικοινωνήστε με μια εταιρεία συμβούλων σε θέματα GDPR για να σας ενημερώσει αν και τι αλλαγές χρειάζεται να γίνουν στην επιχείρηση σας. Ζητήστε από το σύμβουλο να σας επεξηγήσει την φύση των προσωπικών δεδομένων και ρωτήστε τον αν η επιχείρηση σας διατηρεί προσωπικά δεδομένα που θα πρέπει να προστατευτούν.
  2. Καταγράψτε προσεκτικά όλων των τύπων τα προσωπικά δεδομένα που διατηρεί η επιχείρηση σας σε διαφορετικές μορφές (λογιστικές εφαρμογές, ιστοσελίδες, βάσεις δεδομένων, e-shop, εφαρμογές, αρχεία excel κτλ). Θα πρέπει να έχετε καταγράψει αναλυτικά για την κάθε πηγή προσωπικών δεδομένων, πού βρίσκονται, αν διατηρούνται αντίγραφα, αν είναι ασφαλή, αν υπάρχει κίνδυνος διαρροής τους, αν έχετε λάβει την συγκατάθεση των ατόμων που αφορούν κτλ. Διαγράψτε παλιά αρχεία που δεν χρειάζεστε πλέον, βάσεις δεδομένων ή προγράμματα που διατηρούσατε προσωπικά δεδομένα και πλέον σας είναι αχρείαστα. Διατηρήστε ΜΟΝΟ αυτά που θεωρείτε χρήσιμα για εσάς και την επιχείρηση σας.
  3. Ενημερώστε τους πελάτες σας ή συναλλασόμενους με την επιχείρηση σας ότι διατηρείτε τα δεδομένα τους, πού σας χρειάζονται και πώς φροντίζετε για την ασφάλεια τους, καθώς και ποιοι έχουν πρόσβαση σε αυτά και για ποιο σκοπό. Όποια και να είναι η πηγή άντλησης προσωπικών δεδομένων θα πρέπει να περιγράφεται λεπτομερώς μια πολιτική διατήρησης και επεξεργασίας προσωπικών δεδομένων.
  4. Εαν διαθέτετε ιστοσελίδα ή e-shop με φόρμες εγγραφής ή βάση δεδομένων καταγραφής προσωπικών δεδομένων, θα πρέπει να υπάρχει μια σελίδα όπου θα καταγράφεται αναλυτικά η πολιτική διατήρησης προσωπικών δεδομένων. Θα υπάρχει Link προς τη σελίδα αυτή όπου θα αναγκάζεται ο χρήστης προτού προχωρήσει σε παραχώρηση των προσωπικών δεδομένων, να διαβάσει και να συμφωνεί με τους όρους σας.
  5. Σε συνέχεια με το 4. θα πρέπει να βεβαιωθείτε για την ασφάλεια του δικτυακού σας τόπου εγκαθιστώντας *πιστοποιητικό ασφάλειας SSL και ρυθμίζοντας την ιστοσελίδα σας ώστε να λαμβάνει καθημερινα αντίγραφο ασφαλείας της βάσης δεδομένων.
  6. ​Ενημερωθείτε για τα νομικά σας δικαιώματα και υποχρεώσεις σχετικά με το νέο κανονισμό. Είναι δικαίωμα του συναλλασόμενου της εταιρείας να έχει ανά πάσα στιγμή πρόσβαση στα δεδομένα που τον αφορούν, να μπορεί να τα αλλάζει, να τα διαγράφει ή να λαμβάνει αντίγραφα. Είναι υποχρέωση της εταιρείας να παρέχει ανοιχτά αυτές τις υπηρεσίες στον συναλλασόμενο. Σε συνέχεια είναι υποχρεωμένη να ενημερώνει τον συναλλασόμενο γραπτώς σε περίπτωση που επιθυμεί να χρησιμοποιήσει τα προσωπικά του δεδομένα για οποιοδήποτε σκοπό ή να τα διατηρήσει για φορο/τεχνικούς σκοπούς ακόμη και αν ο συναλλασόμενος αιτηθεί την διαγραφή τους.
  7. Η εταιρεία έχει υποχρέωση να ενημέρωσει εντός 72 ωρών τις αρμόδιες αρχες καθώς και τους συναλλασόμενους σε περίπτωση παραβίασης, υποκλοπής ή κατάχρησης των προσωπικών δεδομένων που διατηρεί στο αρχείο της.
  8. Σε επιχειρήσεις μεγαλύτερου μεγέθους και οργανισμούς είναι απαραίτητο να οριστεί ένα υπεύθυνο στέλεχος που θα αναλαμβάνει την διαφύλαξη των προσωπικών δεδομένων ο Υπεύθυνος Προστασίας Δεδομένων ή DPO (Data Protection Officer).
  9. Η μεταφορά ή ο διαμοιρασμός των προσωπικών δεδομένων που συλλέγονται εντός Ευρωπαικής Ένωσης θα πρέπει να περιορίζεται εντός της Ένωσης. Σε περίπτωση που είναι αναγκαία η μεταβίβαση τους εκτός Ευρωπαϊκής Ένωσης θα πρέπει να έχει προηγηθεί ειδική συμφωνία με τη μορφή ιδιωτικού συμφωνητικού μεταξύ της εταιρείας και του συναλλασόμενου.
  10. Ο διαμοιρασμός των προσωπικών δεδομένων που διατηρεί μια επιχείρηση με μια άλλη επιχείρηση θα πρέπει να γίνεται ΜΟΝΟ υπό κάποιες προυποθέσεις (θα πρέπει να ενημερωθείτε περεταίρω για τα δικαιώματα σας) και με βάση τον κανονισμό του GDPR.
Επιχειρήσεις που δεν συμμορφώνονται μετά την καταληκτική ημερομηνία θα καλούνται να πληρώσουν υπέρογκα ποσά σε πρόστιμα. Εαν διαθέτετε επιχείρηση και συλλέγετε προσωπικά δεδομένα θα πρέπει να απευθυνθείτε σε τεχνικό / νομικό σύμβουλο με πιστοποίηση στο GDPR και να σας κατευθύνει σχετικά με τις ενέργειες που πρέπει να γίνουν για να προστατέψετε την επιχείρηση σας.

Για περισσότερες λεπτομέρειες σχετικά με το GDPR διαβάστε εδώ

GDPR για επιχειρήσεις που διαθέτουν e-Shop και δραστηριοποιούνται σε ηλεκτρονικές συναλλαγές

Aν διαθέτετε e-shop θα πρότεινα σε πρώτη φάση τις ακόλουθες ενέργειες που είναι απαραίτητες για όλα τα e-shop ανεξάρτητα του τύπου ηλεκτρονικού καταστήματος και των ειδών/υπηρεσιών που εμπορεύονται:
  1. Αγορά και εγκατάσταση *πιστοποιητικού SSL για το e-shop σας
  2. Αναθεώρηση της πολιτικής διατήρησης προσωπικών δεδομένων στο e-shop σας, με ειδικό σύμβουλο/νομικό πιστοποιημένο για GDPR
  3. Ενημερωτικό PopUp στην αρχική σελίδα που θα προτρέπει το χρήστη να αποδεχτεί την διατήρηση cookies και να αναγνώσει και αποδεχτεί την πολιτική διαχείρισης και προστασίας των προσωπικών δεδομένων που διατηρεί το eShop
  4. Προσθήκη στο προφίλ του, δυνατότητας διαγραφής του λογαριασμού του και του ιστορικού παραγγελιών του από τη βάση δεδομένων του e-shop
  5. Δυνατότητα πρόσβασης και αλλαγής των προσωπικών του δεδομένων μέσα από το προφίλ του
  6. Προσθήκη συνδέσμου με check αποδοχής της πολιτικής διατήρησης προσωπικών δεδομένων στη φόρμα εγγραφής και τροποποίησης του προφίλ του. Η φόρμα να μην αποθηκεύεται αν ο χρήστης δεν τσεκάρει την επιλογή, κατοχυρώνοντας με την ψηφιακή υπογραφή του ότι συναινεί να παρέχει τα προσωπικά του δεδομένα στην επιχείρηση.
  7. [Προαιρετικά] μηχανισμό αυτόματης απενεργοποίησης ή διαγραφής στοιχείων μελών που δεν είχαν πρόσβαση και δεν έκαναν καμία αγορά για τα τελευταία Χ έτη.
  8. Μαζική αποστολή e-mail στους πελάτες του eShop για να διαβάσουν και να αποδεχτούν την νέα τροποποιημένη πολιτική διατήρησης και προστασίας των προσωπικών τους δεδομένων
  9. Εαν το eShop διατηρεί δεδομένα όπως: φύλο, ημερομηνία γέννησης κτλ, και δεν είναι απαραίτητα στην εταιρεία, θα πρέπει!!! να διαγραφούν από τη βάση δεδομένων και να αφαιρεθούν σαν πεδία από φόρμες εγγραφής/τροποποίησης προφίλ των μελών.
  10. Σχετικά με το newsletter: θα πρέπει ο χρήστης να έχει τη δυνατότητα OptOut και unsubscribe (διαγραφή) από τη mailing list τόσο στο προφίλ του όσο και σαν σύνδεσμο διαγραφής στο κάτω μέρος των e-mail που στέλνει μαζικά η επιχείρηση
  11. Διαγραφή ΟΛΩΝ των επαφών από τη βάση δεδομένων σας που καταχωρήθηκαν χωρίς τη συγκατάθεση τους (π.χ μαζική εισαγωγή επαφών με import από άλλες βάσεις δεδομένων)
  12. Σε περίπτωση που το e-shop σας είναι συνδεδεμένο με ERP ή λογιστικό πρόγραμμα, θα πρέπει οπωσδήποτε να συμβουλευτείτε το σύμβουλο GDPR και να σας ενημερώσει για την περίπτωση σας τι άλλες αλλαγές απαιτούνται τόσο στο e-shop όσο και στο ERP σας
Κάθε e-Shop / Ιστοσελίδα θα πρέπει οπωσδήποτε να εξασφαλίσει τα παραπάνω σε πρώτη φάση, σε συνεργασία πάντα με τον σύμβουλο GDPR που θα την αναλάβει. 


*Τι είναι το πιστοποιητικό SSL

Τo SSL είναι μια μορφή ψηφιακού πιστοποιητικού που αγοράζεται από ένα πιστοποιημένο οργανισμό, έχει διάρκεια συνήθως 1 έτος και εγκαθίσταται στον server που φιλοξενεί την ιστοσελίδα. Με ελάχιστες ρυθμίσεις η ιστοσελίδα καλείται πλέον από την ηλεκτρονική διεύθυνση https://.... αντί για το κλασικό http:// και εμφανίζεται η ένδειξη "Secure" ή "Secured by:...".

Το SSL πιστοποιεί την ταυτότητά της επιχείρησης που της ανήκει το domain name και φροντίζει για την ασφαλή κρυπτογραφημένη μεταφορά των προσωπικών δεδομένων που διακινεί ο επισκέπτης από / προς την ιστοσελίδα. Προστατεύει τα δεδομένα των χρηστών με ένα επίπεδο ισχυρής κρυπτογράφησης. Όταν μια ιστοσελίδα  καλύπτεται από ένα SSL Certificate ο χρήστης/επισκέπτης/πελάτης μπορεί να παραμένει ήσυχος ότι τα προσωπικά του δεδομένα είναι ασφαλή και δεν υπάρχει κίνδυνος διαρροής ή υποκλοπής κατά την διαδικασία μεταφοράς τους.

Πριν 1 χρόνο η Google υποχρέωσε όλα τα ηλεκτρονικά καταστήματα και γενικά ιστοσελίδες που διατηρούσαν Ευαίσθητα Προσωπικά Δεδομένα (όπως κωδικούς πρόσβασης, πιστωτικές κάρτες κτλ) να ενσωματώσουν SSL. Μάλιστα όλοι οι γνωστοί browsers στις τελευταίες αναβαθμίσεις του, ακολουθώντας τον Google Chrome, εμφανίζουν την ένδειξη μη ασφαλούς σύνδεσης σε σελίδες όπου υπάρχουν φόρμες εγγραφής και ΔΕΝ διαθέτουν SSL (non-secure) αποτρέποντας τους επισκέπτες.


Α. Όλες οι επιχειρήσεις που έχουν ιστοσελίδα ή e-shop στο οποίο διατηρούν Δεδομένα Προσωπικού Χαρακτήρα σε βάση δεδομένων ή αρχεία, είναι υποχρεωμένες να εγκαταστήσουν (αν δεν το έχουν κάνει ήδη) πιστοποιητικό ασφάλειας SSL. Δηλαδή η ιστοσελίδα τους να γίνει https:// με την αγορά και εγκατάσταση πιστοποιητικού SSL από πιστοποιημένο φορέα.

Β. Να διαθέτουν σε εμφανές σημείο στην ιστοσελίδα τους σύνδεσμο που θα οδηγεί στην καταγεγραμμένη Πολιτική Προστασίας Προσωπικών Δεδομένων που συλλέγουν και διατηρούν. Μάλιστα θα πρέπει να υποχρεώνουν τους χρήστες/πελάτες/επισκέπτες να διαβάζουν και να αποδέχονται τους όρους πριν προχωρήσουν στην καταχώρηση των προσωπικών τους δεδομένων.

​Και με τον όρο Προσωπικά Δεδομένα εννοούμε ακόμη και το ονοματεπώνυμο ή την διεύθυνση e-mail που παραχωρεί ο χρήστης για την εγγραφή του στο newsletter της επιχείρησης. Συνεπώς ακόμη και απλές ιστοσελίδες με newsletter registration  είναι υποχρεωμένες από 25 Μαΐου να διαθέτουν SSL και όρους προστασίας προσωπικών δεδομένων στην ιστοσελίδα τους.



Άμεσες αλλαγές που πρέπει να κάνετε στο e-shop σας

Εαν διαθέτετε e-shop ή οποιαδήποτε ιστοσελίδα και διατηρείτε είτε σε μορφή αρχείων είτε σε φόρμες ή βάση δεδομένων προσωπικά δεδομένα όπως ονοματεπώνυμα, διευθύνσεις, τηλέφωνα κτλ θα πρέπει το συντομότερο δυνατό να απευθυνθείτε σε εταιρείες συμβούλων με πιστοποίηση GDPR ή σε νομικούς συμβούλους. Αυτοί θα αναλάβουν να προετοιμάσουν την επιχείρηση σας και να συμμορφώνεται με το νέο κανονισμό ΠΡΙΝ την καταληκτική ημερομηνία που έχει οριστεί από την Ευρωπαϊκή Ένωση στις 25 Μαίου 2018.


GDPR και PrestaShop - αλλαγές που απαιτούνται

Όλες τις απαραίτητες ενέργειες - τροποποιήσεις που θα πρέπει να γίνουν ΆΜΕΣΑ στο e-shop σας ώστε να διασφαλίσετε τόσο την επιχείρηση όσο και τους πελάτες σας.
  1. Αγορά και εγκατάσταση πιστοποιητικού SSL αν δεν το έχει ήδη το e-shop σας.
  2. Web Module: Ενημερωτικό PopUp στην αρχική σελίδα που θα προτρέπει το χρήστη να αποδεχτεί την διατήρηση cookies και να αναγνώσει και αποδεχτεί την πολιτική διαχείρισης και προστασίας των προσωπικών δεδομένων που διατηρεί το eShop.
  3. Ανάρτηση σε όλες τις γλώσσες (αν πουλάτε στο εξωτερικό), της αναθεωρημένης πολιτικής διατήρησης προσωπικών δεδομένων που θα έχει ετοιμάσει ήδη ο νομικός σύμβουλος σας ειδικά για το GDPR.
  4. Web Module: Προσθήκη στο προφίλ του πελάτη/μέλους, δυνατότητας διαγραφής του λογαριασμού του και του ιστορικού παραγγελιών του από τη βάση δεδομένων του e-shop. To module θα ενημερώνει με e-mail τον διαχειριστή σε περίπτωση διαγραφής.
  5. Web Module: Προσθήκη συνδέσμου με check αποδοχής της πολιτικής διατήρησης προσωπικών δεδομένων στη φόρμα εγγραφής και τροποποίησης του προφίλ του καθώς και στην παραγγελία. Η φόρμα να μην αποθηκεύεται αν ο χρήστης δεν τσεκάρει την επιλογή.
  6. Web Module: μηχανισμός αυτόματης διαγραφής στοιχείων μελών που δεν είχαν καμία παραγγελία τα τελευταία Χ έτη.
  7. Απενεργοποίηση και απόκρυψη από τη φόρμα εγγραφής και τροποποίησης προφίλ, πεδίων ευαίσθητων προσωπικών δεδομένων όπως: φύλο, ημερομηνία γέννησης. Διαγραφή των στοιχείων αυτών από τους υπάρχοντες πελάτες.
  8. Διαγραφή ΟΛΩΝ των επαφών από τη βάση δεδομένων σας που καταχωρήθηκαν ΧΩΡΙΣ τη συγκατάθεση τους (π.χ μαζική εισαγωγή επαφών με import από άλλες βάσεις δεδομένων)
  9. Σύντομο κείμενο που θα ενημερώνει τον πελάτη για τα δικαιώματα του σύμφωνα με το GDPR
  10. Σε περίπτωση που το e-shop σας είναι συνδεδεμένο με ERP ή λογιστικό πρόγραμμα, θα πρέπει οπωσδήποτε να συμβουλευτείτε το σύμβουλο GDPR και να σας ενημερώσει για την περίπτωση σας τι άλλες αλλαγές απαιτούνται τόσο στο e-shop όσο και στο ERP σας
Χορηγός: mixanikos365 διακριτικά στο τέλος του άρθρου χωρίς συνεχείς διαφημήσεις και αναδυόμενα παράθυρα

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου


Thank you for contacting us