Eίσαι ιδιοκτήτης eshop ή εταιρικού ιστότοπου; Στέλνεις newsletter;
Τότε το άρθρο αυτό σε αφορά!
Ο Ευρωπαϊκός Κανονισμός Προστασίας Δεδομένων ή αλλιώς GDPR (General Data Protection Regulation), αφορά τα προσωπικά δεδομένα που επεξεργάζεται η κάθε επιχείρηση και είναι πλέον γεγονός! Διάβασε σε αυτό το άρθρο πως θα προετοιμάσεις το δικό σου ιστότοπο και ποιες ενέργειες ακριβώς πρέπει να γίνουν για να είναι ο ιστότοπος σου συμμορφωμένος με τον GDPR.
Όπως λέμε συχνά στους συνεργάτες μας, ένας ιστότοπος είναι ένας “ζωντανός οργανισμός” που χρήζει προσοχής και φροντίδας! Οφείλουμε να έχουμε το website της επιχείρησής μας πάντα up to date και προσαρμοσμένο στις ανάγκες της εποχής, καθώς είναι η εικόνα της εταιρίας μας προς τα έξω.
Θα πρέπει να έχετε υπόψιν σας ότι οι επιχειρήσεις που δεν συμμορφώνονται μετά την καταληκτική ημερομηνία θα καλούνται να πληρώσουν υπέρογκα ποσά σε πρόστιμα.
Ποιους ιστότοπους επηρεάζει ο GDPR;
Είτε είσαι κάτοχος ενός eshop, είτε διαχειρίζεσαι ένα website που συλλέγει email για την αποστολή newsletter, είτε ακόμη και εάν διαθέτεις ένα μικρό εταιρικό site που λαμβάνει μηνύματα μέσω της φόρμας επικοινωνίας, ένα είναι σίγουρο, θα πρέπει έως τις 25 Μαΐου να είσαι έτοιμος για τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) ή αλλιώς και GDPR.
Τα site που θα πρέπει να προετοιμαστούν για τον GDPR είναι όσα συλλέγουν, επεξεργάζονται και αποθηκεύουν δεδομένα των επισκεπτών/χρηστών τους. Ακολουθεί μία σύντομη λίστα με λειτουργίες και πρακτικές ιστοσελίδων που υπόκεινται στον κανονισμό:
- Στατιστικά δεδομένα (πχ. Google Analytics)
- Το site σου έχει φόρμες εγγραφών (πχ. newsletter)
- Λειτουργίες e-commerce που συλλέγουν πληροφορίες πληρωμών, παραγγελιών κτλ
- Το site σου έχει scripts που χρησιμοποιούν cookies
- Χρησιμοποιείς στα άρθρα σου συστήματα σχολιασμού, όπως Disqus κτλ
- Διαθέτεις φόρμα επικοινωνίας στο site σου
Κοινές ενέργειες για κάθε ιστότοπο
1. Ενημέρωση Πολιτικής Απορρήτου & Όρων χρήσης ιστότοπου
Στην πολιτική απορρήτου του site σου θα πρέπει να αναφέρεσαι λεπτομερώς και ξεκάθαρα σχετικά με τον τρόπο με τον οποίο συλλέγεις, επεξεργάζεσαι και αποθηκεύεις τα δεδομένα των χρηστών σου. Ακόμη, μη ξεχάσεις να αναφέρεις τον χρόνο που σκοπεύεις να διατηρήσεις τα δεδομένα και τον τρόπο που μπορούν οι χρήστες να δουν και να διαγράψουν τα δεδομένα τους. Καλό θα ήταν να συμβουλευτείς έναν ειδικό σύμβουλο/νομικό πιστοποιημένο για GDPR!
2. Κρυπτογράφηση των δεδομένων με χρήση SSL
Εάν το site σου δεν κρυπτογραφεί τα δεδομένα μέσω κάποιου ssl ήδη, τότε θα πρέπει να το εντάξεις στις άμεσες προτεραιότητες σου.Το πιστοποιητικό ssl είναι εντελώς απαραίτητο για τον GDPR και αυτό γιατί προσφέρει ιδιωτικότητα και ασφάλεια στις συναλλαγές και στην μεταφορά των δεδομένων των χρηστών. Επίσης, ας θυμηθούμε ότι η Google δίνει προτεραιότητα στους ιστότοπους που έχουν ssl εγκατεστημένο, ενώ όσα δεν διαθέτουν πιστοποιητικό ασφαλείας τα χαρακτηρίζει ως “not secure”.
3. Ηλεκτρονικές φόρμες
Αν το site σου έχει φόρμες (επικοινωνίας, υποστήριξης, πωλήσεων κ.α.) θα χρειαστεί να προσθέσεις κουτάκια συγκατάθεσης (check boxes), τα οποία δεν θα πρέπει να μην είναι εξαρχής συμπληρωμένα, αλλά να το επιλέξει ο χρήστης, μιας και τα προ-συμπληρωμένα κουτάκια δεν θεωρούνται ελεύθερη συγκατάθεση!
4. Εύκολη πρόσβαση, απεγγραφή ή ανάκληση άδειας
Οι χρήστες θα πρέπει να έχουν εύκολη και άμεση πρόσβαση στα δεδομένα τους ανά πάσα στιγμή. Επίσης, χρειάζεται να υπάρχει η δυνατότητα απεγγραφής ή ανάκλησης της συγκατάθεσης τους από διαδικασίες και ενέργειες που επεξεργάζονται τα δεδομένα τους. Για παράδειγμα, θα πρέπει να δίνεις την δυνατότητα στους χρήστες σου να απεγγραφούν από τo newsletter με εύκολο τρόπο και οποιαδήποτε στιγμή το επιθυμούν.
5. Μπισκοτάκι κανείς; (Cookies)
Αν ο ιστότοπος σου χρησιμοποιεί cookies, θα χρειαστεί να ενημερώνεις τους επισκέπτες σου κατά την είσοδο τους στο site, συνήθως με τη χρήση ενός pop up και να αναφέρεις περισσότερες λεπτομέρειες σχετικά με αυτά στην πολιτική απορρήτου. Ακόμη, θα πρέπει να τους δίνεις τη δυνατότητα να απενεργοποιήσουν τα cookies μέσα από τις ρυθμίσεις του browser.
Το Re-marketing λειτουργεί με την χρήση cookies τα οποία “σημαδεύουν” και παρακολουθούν τους χρήστες του εκάστοτε site. Η χρήση και ο τρόπος λειτουργίας αυτών, θα πρέπει να αναγράφεται με σαφήνεια μέσα στην πολιτική απορρήτου του site σου.
*Εάν χρησιμοποιείς cookies τρίτων, όπως google analytics, ανέφερε και αυτό μέσα στην πολιτική απορρήτου του site σου.
6. Διαφημίσεις
Σε περίπτωση που θέλεις να χρησιμοποιήσεις τα email των εγγεγραμμένων μελών του site σου για να τρέξεις μια διαφημιστική καμπάνια στα social media, θα πρέπει πρώτα να τους ενημερώσεις. Επίσης, θα πρέπει να τους παρέχεις την δυνατότητα να απεγγραφούν από τις συγκεκριμένες ενέργειες marketing εάν το επιθυμούν.
7. Διαρροή Πληροφοριών
Ο GDPR ορίζει ως καθήκον των επιχειρήσεων και οργανισμών, σε περίπτωση παραβίασης των δεδομένων, να ειδοποιήσουν εντός 72 ωρών την Αρχή Προστασίας Προσωπικών Δεδομένων της χώρας που εδρεύουν.
Πιο συγκεκριμένα για τα eshop...
1. Online Πληρωμές
Αν χρησιμοποιείς πύλες πληρωμών όπως PayPal, Stripe κ.α. για τις οικονομικές συναλλαγές των πελατών και τα προσωπικά τους στοιχεία περνάνε πρώτα από το e-shop σου, θα χρειαστεί να κρυπτογραφείς αυτές τις πληροφορίες μέσω ssl πιστοποιητικού.
Ενώ, αν το e-shop σου αποθηκεύει τα προσωπικά στοιχεία μετά την αποστολή των πληροφοριών στην πύλη πληρωμών, τότε θα χρειαστεί να τροποποιήσεις την πολιτική απορρήτου και τις διεργασίες του e-shop ώστε να αφαιρέσεις τυχόν προσωπικά στοιχεία μετά από εύλογο χρονικό διάστημα, για παράδειγμα 90 ημέρες.
Η νομοθεσία του GDPR δεν είναι ρητή για τον αριθμό των ημερών που αποθηκεύεις τα προσωπικά δεδομένα των πελατών. Είναι στην δική σου κρίση ως προς το τι μπορεί να υποστηριχθεί ως λογικό και απαραίτητο χρονικό διάστημα. Τέλος, να είσαι έτοιμος να παρέχεις και αν σου ζητηθεί να αφαιρέσεις όλες τις πληροφορίες που διατηρείς για κάθε πελάτη.
2. Δικαιώματα πελάτη
Ο χρήστης θα πρέπει να έχει τη δυνατότητα πρόσβασης και αλλαγής των προσωπικών του δεδομένων μέσα από το προφίλ του αλλά και τη δυνατότητα διαγραφής όλοκληρου του λογαριασμού του και του ιστορικού παραγγελιών του από τη βάση δεδομένων του e-shop σου. Εαν το e-shop σου διατηρεί προσωπικά δεδομένα όπως: φύλο, ημερομηνία γέννησης κτλ, τα οποία δεν είναι απαραίτητα στην εταιρεία, το σωστότερο θα ήταν να διαγραφούν από τη βάση δεδομένων και να αφαιρεθούν σαν πεδία από φόρμες εγγραφής/τροποποίησης προφίλ των μελών.
3. Μαζική αποστολή e-mail
Μαζική αποστολή e-mail στους πελάτες του e-shop για να διαβάσουν και να αποδεχτούν την νέα τροποποιημένη πολιτική διατήρησης και προστασίας των προσωπικών τους δεδομένων.
4. ERP
Σε περίπτωση που το e-shop σου είναι συνδεδεμένο με ERP ή λογιστικό πρόγραμμα, θα πρέπει οπωσδήποτε να συμβουλευτείτε έναν σύμβουλο GDPR και να σε ενημερώσει αν και ποιες αλλαγές απαιτούνται τόσο στο e-shop όσο και στο ERP σου.
Όσο για τα newsletter...
Αρχικά θα πρέπει ο χρήστης να έχει τη δυνατότητα OptOut και unsubscribe από τη λίστα παραληπτών εύκολα και οποιαδήποτε στιγμή το επιθυμεί, από το προφίλ του, αλλά και από έναν σύνδεσμο διαγραφής στο κάτω μέρος των e-mail που στέλνει μαζικά η επιχείρηση σου.
Σημαντικό: θα πρέπει να γίνει διαγραφή όλων των επαφών από τη βάση δεδομένων σας, οι οποίες καταχωρήθηκαν χωρίς τη συγκατάθεση τους (μαζική εισαγωγή επαφών με import από άλλες βάσεις δεδομένων).