Πώς να εφαρμόσετε το RGPD σε ένα ηλεκτρονικό εμπόριο;

Πρώτα απ 'όλα, θα πρέπει να γνωρίζετε τη σημασία αυτών των ακρωνύμιων, GDPR, γιατί θα είναι πολύ σημαντικό για την ανάπτυξη του ψηφιακού επιχειρηματικού σας μοντέλου. Λοιπόν, είναι ισοδύναμο με αυτό που είναι στην πραγματικότητα ο Γενικός Κανονισμός για την Προστασία Δεδομένων (RGPD) και ο οποίος τέθηκε σε ισχύ πολύ πρόσφατα. Και αν έχετε ένα κατάστημα ή ηλεκτρονικό κατάστημα Θα πρέπει να συμμορφωθείτε με τη νομοθεσία για να μην έχετε την περίεργη αρνητική έκπληξη από εδώ και πέρα.

Πρέπει να κάνω κάτι για να προσαρμόσω το κατάστημα ή την επιχείρησή μου στο GDPR; Υπό αυτή την έννοια, θα πρέπει να γνωρίζετε ότι ο GDPR είναι ένας κανονισμός εγκεκριμένος σε επίπεδο Ευρωπαϊκής Ένωσης και στόχος του είναι να διασφαλίσει την προστασία των προσωπικών πληροφοριών.

Από εδώ και στο εξής, όλες οι εταιρείες θα πρέπει να διαθέτουν στον ιστότοπό τους μια Πολιτική Απορρήτου που να εξηγεί πώς είναι επεξεργασία των δεδομένων που έχουν, είτε είναι πελάτες, συνεργάτες, υπάλληλοι είτε απλώς ενδιαφέρονται να λαμβάνουν εμπορικές πληροφορίες.

Νέες αρχές που περιλαμβάνονται στον GDPR

Στους ισχύοντες κανονισμούς για την προστασία δεδομένων σε ευρωπαϊκό επίπεδο, εξετάζονται νέα σενάρια για τους ιδιοκτήτες του ψηφιακού εμπορίου. Και μεταξύ των οποίων είναι οι ακόλουθες πτυχές που παρουσιάζουμε παρακάτω. Όπου είναι επίσης απαραίτητο να λάβετε υπόψη ότι το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενέκριναν τελικά τον Γενικό Κανονισμό για την Προστασία Δεδομένων (RGPD), ο οποίος, με τη φιλοδοξία ενοποιούν καθεστώτα όλων των κρατών μελών σχετικά με το θέμα, έχει τεθεί σε ισχύ στις 25 Μαΐου 2016, αν και η συμμόρφωσή του θα είναι υποχρεωτική μόνο δύο χρόνια μετά την ημερομηνία αυτή

Αρχή της ευθύνης. Θα πρέπει να εφαρμοστούν μηχανισμοί για να αποδειχθεί ότι έχουν ληφθεί όλα τα απαραίτητα μέτρα για την επεξεργασία προσωπικών δεδομένων όπως απαιτείται από τη νομοθεσία. Είναι μια προληπτική ευθύνη. Οι οργανισμοί πρέπει να είναι σε θέση να αποδείξουν ότι πληρούν αυτές τις απαιτήσεις, οι οποίες θα αναγκάσουν την ανάπτυξη πολιτικών, διαδικασιών, ελέγχων κ.λπ.

Αρχές προστασίας δεδομένων από προεπιλογή και εξ ορισμού. Σε αυτήν την περίπτωση, πρέπει να ληφθούν μέτρα για τη διασφάλιση της συμμόρφωσης με το πρότυπο από τη στιγμή που σχεδιάζεται μια εταιρεία, προϊόν, υπηρεσία ή δραστηριότητα που περιλαμβάνει επεξεργασία δεδομένων, κατά κανόνα και από την προέλευση.

Αρχή της διαφάνειας. Οι νομικές ειδοποιήσεις και οι πολιτικές απορρήτου πρέπει να είναι απλούστερες και πιο κατανοητές, διευκολύνοντας την κατανόησή τους, καθώς και πληρέστερες. Προβλέπεται μάλιστα ότι, για την ενημέρωση για την επεξεργασία των δεδομένων, μπορούν να χρησιμοποιηθούν τυποποιημένα εικονίδια.

Νέες υποχρεώσεις για τις ψηφιακές εταιρείες

Μερικές φορές, θα είναι υποχρεωτικό να οριστεί ένας Υπεύθυνος Προστασίας Δεδομένων (DPO), εσωτερικός ή εξωτερικός, ο οποίος βοηθά τους οργανισμούς στη διαδικασία κανονιστική συμμόρφωση. Ωστόσο, η πολυπλοκότητα του νέου προτύπου θα κάνει αυτό το νούμερο ιδιαίτερα προτεινόμενο στη συντριπτική πλειοψηφία των οργανισμών.

Σε ορισμένες περιπτώσεις, πρέπει να διενεργούνται αξιολογήσεις επιπτώσεων στο απόρρητο, οι οποίες θα προσδιορίσουν τελικά τους συγκεκριμένους κινδύνους που ενέχει η επεξεργασία ορισμένων προσωπικών δεδομένων και θα παρέχουν μέτρα για τον μετριασμό ή την εξάλειψη των εν λόγω κινδύνων.

Οι πολυεθνικές εταιρείες θα έχουν ως συνομιλητή μια ενιαία εθνική αρχή ελέγχου: αυτή της κύριας εγκατάστασης της οντότητας. Αυτό είναι γνωστό ως ενιαίο παράθυρο.

Οι παραβιάσεις της ασφάλειας πρέπει να κοινοποιούνται στις αρχές ελέγχου και, σε σοβαρές περιπτώσεις, στους θιγόμενους, μόλις γίνουν γνωστές, ορίζοντας μέγιστη περίοδο 72 ωρών.

Ευαίσθητα δεδομένα: τα ειδικά προστατευμένα δεδομένα επεκτείνονται, πλέον περιλαμβάνουν γενετικά και βιομετρικά δεδομένα. Σε αυτή την κατηγορία περιλαμβάνονται και τα ποινικά αδικήματα και οι καταδίκες, αν και όχι διοικητικές.

Η επιλογή ενός ατόμου που θα είναι υπεύθυνος για τη θεραπεία είναι πιο σκληρή, καθώς θα πρέπει να επιλεγεί εκείνος που παρέχει επαρκείς εγγυήσεις συμμόρφωσης με τους κανονισμούς.

Πρόσθετες εγγυήσεις για τις λεγόμενες διεθνείς μεταφορές δεδομένων: με τη θέσπιση αυστηρότερων εγγυήσεων και μηχανισμών παρακολούθησης σε σχέση με τις διεθνείς διαβιβάσεις δεδομένων εκτός Ευρωπαϊκής Ένωσης.

Σφραγίδες και πιστοποιήσεις: αναμένεται ότι θα δημιουργηθούν σφραγίδες και πιστοποιήσεις συμμόρφωσης που θα επιτρέπουν στους οργανισμούς να πιστοποιούν τη Λογοδοσία.

Η υποχρέωση καταχώρισης των αρχείων εξαφανίζεται, η οποία αντικαθίσταται από έναν εσωτερικό έλεγχο και, σε ορισμένες περιπτώσεις, από έναν κατάλογο των εργασιών επεξεργασίας δεδομένων που εκτελούνται, ο οποίος είναι διαισθητικό ότι έχει περιεχόμενο παρόμοιο με αυτό που περιέχεται επί του παρόντος στην εν λόγω μορφή .

Κυρώσεις: τα ποσά των κυρώσεων για μη τήρηση του κανόνα αυξάνονται, φτάνοντας τα 20 εκατομμύρια ευρώ ή το 4% του ετήσιου παγκόσμιου τζίρου (δεν εξαιρείται από τα πρόστιμα στις Δημόσιες Διοικήσεις, αν και τα κράτη μέλη μπορούν να συμφωνήσουν ) .

Νέα δικαιώματα που προβλέπει ο κανονισμός

Διαφάνεια και ενημέρωση. Οι οργανισμοί, όταν επεξεργάζονται προσωπικά δεδομένα, πρέπει να παρέχουν περισσότερες πληροφορίες και με πιο κατανοητό, ολοκληρωμένο και απλό τρόπο, που θα ευνοεί τη λήψη αποφάσεων από τον πολίτη. Στο σημείο αυτό δίνεται ιδιαίτερη προσοχή στους ανήλικους.

Συγκατάθεση. Η συγκατάθεση για τη δυνατότητα επεξεργασίας προσωπικών δεδομένων πρέπει να είναι αδιαμφισβήτητη, ελεύθερη και ανακλητή και πρέπει να παρέχεται με σαφή καταφατική πράξη. Δεν επιτρέπεται η σιωπηρή συγκατάθεση.

Δικαίωμα στη λήθη. Η συγκατάθεση που δίνεται για την επεξεργασία προσωπικών δεδομένων μπορεί να ανακληθεί ανά πάσα στιγμή, με τη δυνατότητα να απαιτηθεί η διαγραφή και η εξάλειψη των δεδομένων σε κοινωνικά δίκτυα ή μηχανές αναζήτησης στο διαδίκτυο.

Δικαίωμα περιορισμού της εν λόγω επεξεργασίας. Επιτρέπει στον πολίτη να ζητήσει την προσωρινή φραγή της επεξεργασίας των δεδομένων του όταν υπάρχουν αμφισβητήσεις για τη νομιμότητα της.

Φορητότητα δεδομένων. Ο πολίτης θα μπορεί να ζητήσει τη μεταφορά προσωπικών δεδομένων από έναν πάροχο υπηρεσιών Διαδικτύου σε έναν άλλο.

Παράπονα. Τα παράπονα μπορούν να υποβάλλονται μέσω ενώσεων χρηστών.

Αποζημιώσεις και κυρώσεις για μη συμμόρφωση. Αναγνωρίζεται η δυνατότητα απαίτησης αποζημίωσης για ζημίες που προέρχονται από την παράνομη επεξεργασία προσωπικών δεδομένων.

Ο υπεύθυνος του φακέλου μπορεί να ορίσει αμοιβή για την απάντηση στις ασκήσεις του δικαιώματος πρόσβασης, λαμβάνοντας υπόψη το διοικητικό κόστος που αυτό συνεπάγεται.

Σκέψεις για τη σωστή εφαρμογή του

Παρά τα προαναφερθέντα, εξακολουθούν να υπάρχουν πολλές πτυχές που εκκρεμούν ακόμη για την ανάπτυξη και τη υλοποίησή τους που ορίζονται στον παρόντα κανονισμό. Υπό αυτή την έννοια, πρέπει να σημειωθεί ότι τα κράτη μέλη, οι αρχές ελέγχου, η Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων και η Επιτροπή πρέπει να προσδιορίσουν ένα πλήθος στοιχείων που εμφανίζονται στο RGPD που είναι υπερβολικά διφορούμενα ή ανακριβή.

Σε κάθε περίπτωση, οι διατάξεις του κανονισμού εφαρμόζονται άμεσα σε κάθε κράτος μέλος, χωρίς να απαιτείται μεταφορά και υποχρεώνουν τις ιδιωτικές εταιρείες και τους δημόσιους οργανισμούς να αντιμετωπίσουν μια σημαντική διαδικασία ρυθμιστικής αναπροσαρμογής.

Ωστόσο, ο GDPR δεν καταργεί αυτόματα το LOPD και τους κανονισμούς εφαρμογής του. Απλώς τα εκτοπίζει στο βαθμό που είναι ασύμβατα με αυτό. Σε εκείνους τους τομείς στους οποίους δεν υπάρχει η εν λόγω ασυμβατότητα, θα συνυπάρχουν και οι δύο ρυθμίσεις, γεγονός που υποδηλώνει πολλά πρακτικά και ερμηνευτικά προβλήματα, για την επίλυση των οποίων απαιτείται η βοήθεια εξειδικευμένων επαγγελματιών που προσφέρουν επαρκείς εγγυήσεις. Από την άλλη πλευρά, η διαδικασία αναπροσαρμογής δεν είναι τεχνικά εύκολη, επομένως θα είναι σημαντικό για τις εταιρείες να έχουν εξειδικευμένες νομικές συμβουλές που να προσφέρουν επαρκείς εγγυήσεις.

Αποκτήστε μια υπηρεσία προστασίας δεδομένων

Ένας καλός τρόπος για να αποκτήσετε μια υπηρεσία προστασίας δεδομένων είναι να ζητήσετε προσφορές από το Ένωση Εταιρειών Προστασίας Δεδομένων (AEPD.org). Υπό αυτή την έννοια, το AEPD.org έχει μια αυτεπάγγελτη αλλαγή μεταξύ των συνδεδεμένων εταιρειών του. Η λειτουργία του είναι απλή: Πρέπει να ζητήσετε έναν προϋπολογισμό από το AEPD.org και ο ίδιος σύλλογος τον διανέμει στους συνεργάτες του, προσπαθώντας να εξασφαλίσει ότι ο τελικός πελάτης θα λάβει καλές συμβουλές.

Εάν δεν μεταβείτε στο AEPD.org, ο μόνος τρόπος για να λάβετε προσφορές είναι να μεταβείτε μία προς μία στις ιστοσελίδες των εταιρειών προστασίας δεδομένων. Αυτή η διαδικασία είναι πιο αργή, αλλά και αποτελεσματική. Τις επόμενες εβδομάδες θα φτιάξουμε και θα δημοσιεύσουμε μια λίστα με τις εταιρείες LOPD, για να διευκολύνουμε αυτή τη λειτουργία. Αυτή τη στιγμή, ίσως η καλύτερη επιλογή είναι να απευθυνθείτε στην Ένωση Εταιρειών Προστασίας Δεδομένων.

Τελευταία συμπεράσματα

Η συγκατάθεση πρέπει να δίνεται μέσω σαφούς καταφατικής πράξης που αντικατοπτρίζει την ελεύθερη, συγκεκριμένη, ενημερωμένη και κατηγορηματική έκφραση της βούλησης του ενδιαφερόμενου να αποδεχθεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, όπως γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα , ή μια προφορική δήλωση.

Αυτό θα μπορούσε να περιλαμβάνει τον έλεγχο ενός πλαισίου σε έναν ιστότοπο στο Διαδίκτυο, την επιλογή τεχνικών παραμέτρων για τη χρήση των υπηρεσιών της κοινωνίας της πληροφορίας ή οποιαδήποτε άλλη δήλωση ή συμπεριφορά που υποδεικνύει σαφώς στο πλαίσιο αυτό ότι το ενδιαφερόμενο μέρος αποδέχεται την προτεινόμενη επεξεργασία των προσωπικών του πληροφοριών. Επομένως, η σιωπή, τα κουτάκια που έχουν ήδη επιλεγεί ή η αδράνεια δεν θα πρέπει να συνιστούν συγκατάθεση.

Πρέπει να δίνεται η συγκατάθεση για όλες τις δραστηριότητες επεξεργασίας που εκτελούνται για τον ίδιο σκοπό. Όταν η θεραπεία έχει πολλούς σκοπούς, πρέπει να δίνεται συγκατάθεση για όλους. Εάν η συγκατάθεση του ενδιαφερομένου πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει άσκοπα τη χρήση της υπηρεσίας για την οποία παρέχεται.


Γίνε ο πρώτος που θα σχολιάσει

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.