GDPR για το ηλεκτρονικό εμπόριο και τι πρέπει να προσέξετε στην κατασκευή e-shop
Posted at:
15 June, 2020
Reading time:
20 min read
Οι ιδιοκτήτες καταστημάτων ηλεκτρονικού εμπορίου έχουν ήδη αρκετά θέματα που πρέπει να διαχειριστούν: το digital marketing, τα social media, το web design. Παρόλα αυτά άλλο ένα σημαντικό θέμα το οποίο δεν πρέπει να αγνοηθεί είναι η συμμόρφωση με τον General Data Protection Regulation (GDPR), στα ελληνικά γνωστό ως Γενικός Κανονισμός Προστασίας Δεδομένων.
Παρά το γεγονός ότι ο GDPR εφαρμόζεται ανά τον κόσμο για πολύ καιρό, υπάρχουν ακόμα πολλά που πρέπει να μάθουμε για αυτόν και αρκετά βήματα που πρέπει να ακολουθήσουμε ώστε να αντιληφθούμε τα μέτρα που πρέπει να ληφθούν για την ενίσχυση της συμμόρφωσης με τον GDPR.
Σε αυτό το άρθρο θα εξετάσουμε τι είναι ο GDPR, τι σημαίνει η συμμόρφωση με τον GDPR, τι χρειάζεται για να είστε συμβατοί και πώς μπορείτε να το χρησιμοποιήσετε προς όφελός σας.
Τι είναι ο GDPR;
O GDPR είναι η συντομογραφία του General Data Protection Regulation (Γενικός Κανονισμός Προστασίας Δεδομένων). Εγκρίθηκε τον Απρίλιο του 2016 και αναφέρεται στους κανόνες του τρόπου διαχείρισης όλων των δεδομένων των Ευρωπαίων κατοίκων. Ο GDPR τέθηκε σε ισχύ τον Μάιο του 2018 και αφορά στη διαχείριση των δεδομένων που αναφέρονται σε όλο το φάσμα πληροφοριών, από το ιατρικό ιστορικό μέχρι τα οικονομικά αρχεία έως και τη δραστηριότητα στο διαδίκτυο.
Επί της ουσίας ο GDPR αναδιαμορφώνει τι σημαίνει να κάνετε ηλεκτρονικό εμπόριο στην Ευρώπη, επηρεάζοντας τον τρόπο με τον οποίο αλληλεπιδράτε με τους πελάτες σας και τα εργαλεία που χρησιμοποιείτε.
Ο GDPR δεν είναι κάποιο τεχνικό έγγραφο. Στην πραγματικότητα, το ecommerce (ηλεκτρονικό εμπόριο) αναφέρεται μόνο μία φορά, με τον όρο "electronic commerce". Ο GDPR δεν είναι ένα digital playbook (ψηφιακό εγχειρίδιο), αλλά μια δήλωση σχετικά με τα θεμελιώδη δικαιώματα, η ουσία της οποίας βρίσκεται στην παρακάτω πρόταση: «Η επεξεργασία των προσωπικών δεδομένων θα πρέπει να έχει σχεδιαστεί για να εξυπηρετεί την ανθρωπότητα».
Υπάρχουν όμως πολλά θέματα ακόμα που πρέπει να προσέξουν οι ιδιοκτήτες των καταστημάτων, σχετικά με το GDPR. Ας μάθουμε λοιπόν περισσότερα.
Γιατί ο GDPR είναι σημαντικός;
Η εφαρμογή του GDPR προέρχεται από τον αυξανόμενο όγκο δεδομένων που συλλέγονται, μεταφέρονται, διαχειρίζονται και χρησιμοποιούνται αυτή την περίοδο. Ήδη η Ευρώπη έχει θεσπίσει την οδηγία για την προστασία τους από το 1995, αλλά σήμερα είναι αρκετά ξεπερασμένη και δεν ανταποκρίνεται πλήρως στην ψηφιακή εποχή.
Έτσι ο GDPR εμφανίστηκε ως αντικαταστάτης της οδηγίας αυτής, για να συνεχίσει την ορθή διασφάλιση των δεδομένων των πολιτών της Ευρωπαϊκής Ένωσης. Σύμφωνα με τον GDPR οι οργανισμοί υποχρεούνται να συμμορφώνονται με την υπεύθυνη συλλογή και χρήση δεδομένων, προκειμένου να προστατεύουν τα δικαιώματα και την ιδιωτική ζωή των χρηστών.
Με την ανάθεση αυτής της ευθύνης στους οργανισμούς, ο GDPR παρέχει ουσιαστικά στα άτομα της Ευρωπαϊκής Ένωσης περισσότερα δικαιώματα να κατανοήσουν το πώς και το γιατί συλλέγονται και επεξεργάζονται οι προσωπικές τους πληροφορίες. Τους δίνει επίσης το δικαίωμα να αποφασίζουν πώς θέλουν να χρησιμοποιηθούν αυτές οι πληροφορίες.
Αν διοικούσατε μια επιχείρηση ηλεκτρονικού εμπορίου όταν τέθηκε σε ισχύ ο GDPR, πιθανότατα να έχετε ήδη συμμορφωθεί στον ανάλογο κανονισμό. Σε περίπτωση όμως που μόλις ξεκινήσατε και είστε ένας νέος επιχειρηματίας ηλεκτρονικού εμπορίου είναι απόλυτα λογικό να αισθάνεστε μπερδεμένοι σχετικά με το θέμα του GDPR.
Μπορεί η διαδικασία του GDPR, να μην είναι μια εύκολη υπόθεση και να χρειάζεται αρκετή δουλειά, είναι όμως ταυτόχρονα εξαιρετικά σημαντική και δεν μπορείτε να την αγνοήσετε.
Σύμφωνα με την Ευρωπαϊκή Επιτροπή, κατά το πρώτο έτος από την εφαρμογή του GDPR, υπήρξαν περίπου 145.000 περιπτώσεις ερωτημάτων και καταγγελιών και σχεδόν 90.000 κοινοποιήσεις παραβιάσεων δεδομένων.
Η μη συμμόρφωση με το GDPR μπορεί να οδηγήσει σε βαριά πρόστιμα και κυρώσεις, που μπορούν να φτάσουν έως και το 4 τοις εκατό του ετήσιου κύκλου εργασιών μιας εταιρείας! Πρόσφατα μάλιστα, ένας Πολωνός λιανοπωλητής δέχτηκε ένα από τα μεγαλύτερα πρόστιμα GDPR ύψους €650.000.
Παρακάτω θα εξετάσουμε τον τρόπο με τον οποίο μπορεί να επηρεάσει GDPR και πώς μπορείτε να είστε συμβατοί.
Σε ποιον υποβάλλει αίτηση ο GDPR;
Ανεξάρτητα από τον τόπο που βρίσκεται η έδρα σας, ο GDPR ισχύει για όλες τις εταιρείες που προσφέρουν προϊόντα ή υπηρεσίες σε καταναλωτές στην Ευρώπη.
Δεν έχει σημασία αν η εταιρεία βρίσκεται στην Ευρώπη, εκτός Ευρώπης, ή σε κάποιο νησί", δήλωσε ο Dr. Christoph Bauer, Διευθύνων Σύμβουλος της εταιρείας ePrivacy και συνεχίζει υποστηρίζοντας ότι: "Εάν οι υπηρεσίες προσφέρονται σε Ευρωπαίους πελάτες, πρέπει να ακολουθήσουν το νόμο.
Έτσι, εάν το κατάστημα ηλεκτρονικού εμπορίου σας είναι διαθέσιμο στην Ευρώπη, πρέπει να συμμορφωθείτε με τον GDPR.
Μην ξεχνάτε:
H συμμόρφωση με τον GDPR δεν είναι απλώς για τις ευρωπαϊκές εταιρείες που πωλούν προϊόντα σε Ευρωπαίους πελάτες. Καλύπτει οποιαδήποτε αλληλεπίδραση εταιρείας με τους πελάτες στην Ευρώπη.
Φυσικά, ο GDPR δεν ισχύει μόνο για τους ιδιοκτήτες καταστημάτων, αλλά και για τα εργαλεία που χρησιμοποιείτε. Το Google, το Facebook και το Shopify, είναι μερικά μόνο από τα εργαλεία που πρέπει να συμμορφώνονται με τον GDPR. Στην συνέχεια του άρθρου μάλιστα θα εξετάσουμε πως αυτά τα εργαλεία και οι πλατφόρμες αντιμετωπίζουν τη συμμόρφωση με τον GDPR.
Τι σημαίνει συμμόρφωση με τον GDPR;
Πριν απαντήσουμε σε αυτό το ερώτημα καλό θα ήταν πρώτα να καταλάβουμε το τι πραγματικά συνεπάγεται αυτή η συμμόρφωση.
Για να σας διευκολύνουμε, δεν πρόκειται ακόμα να ασχοληθούμε πολύ με το τεχνικό κομμάτι. Ας εξετάσουμε λοιπόν έναν απλό τρόπο για την συμμόρφωση με το GDPR.
Περιηγηθείτε στον ιστότοπό σας και φανταστείτε τον εαυτό σας ως χρήστη της δικής σας ιστοσελίδας ηλεκτρονικού εμπορίου. Κάθε φορά που σας ζητούνται κάποιες πληροφορίες, είτε πρόκειται για το όνομά σας, e-mail, αριθμό τηλεφώνου, κ.λπ, αναρωτηθείτε τα παρακάτω:
- Γνωρίζω ποια δεδομένα συλλέγουν και για ποιο λόγο χρησιμοποιούν αυτά τα δεδομένα;
- Χρειάζονται αυτές οι πληροφορίες για τις ενέργειες που πραγματοποιώ στον ιστότοπό τους;
- Μπορώ να ζητήσω να τροποποιηθούν ή να διαγραφούν τα δεδομένα μου ανά πάσα στιγμή;
- Ενημερώθηκα για τα δικαιώματα μου ως χρήστης;
Εάν η απάντηση σε οποιαδήποτε από τις ερωτήσεις είναι όχι, τότε πιθανώς το site σας, δεν είναι ακόμα αρκετά συμβατό με τον GDPR. Αν όμως απαντήσατε με ναι τότε βρίσκεστε στο σωστό δρόμο! Είτε ανήκετε στην πρώτη είτε στην δεύτερη κατηγορία οι επόμενες αναφορές θα σας βοηθήσουν να κάνετε την επιχείρησή σας συμβατή με τον GDPR.
Τι συμβαίνει με τον GDPR και τις μικρές επιχειρήσεις;
Ο GDPR επηρεάζει εταιρείες όλων των μεγεθών. Είτε μια εταιρεία διαθέτει στο δυναμικό της έναν υπάλληλο είτε 10.000 υπαλλήλους, εάν χειρίζεται δεδομένα σχετικά με τους Ευρωπαίους, τότε οφείλει να συμμορφωθεί με τον GDPR.
Τα περισσότερα καταστήματα ηλεκτρονικού εμπορίου ανήκουν στην κατηγορία των μικρών επιχειρήσεων. Καλό είναι λοιπόν να γνωρίζετε ότι ο GDPR λειτουργεί με διαφορετικό τρόπο μεταξύ μεγάλων και μικρών εταιρειών.
Οι ιδιοκτήτες καταστημάτων ηλεκτρονικού εμπορίου πρέπει να ξέρουν ότι ο GDPR δεν μεταχειρίζεται τις μικρές επιχειρήσεις με τον ίδιο τρόπο που μεταχειρίζεται τις τεράστιες σε μέγεθος εταιρείες. Για παράδειγμα, ορισμένες απαιτήσεις τήρησης αρχείων στον GDPR ισχύουν μόνο για εταιρείες με περισσότερους από 250 υπαλλήλους.
Τι πρέπει να κάνουν οι ιδιοκτήτες καταστημάτων για να συμμορφωθούν με τον GDPR;
Ο GDPR αποτελείτε από 88 σελίδες και πάνω από 50.000 λέξεις και είναι γραμμένος με τέτοιο τρόπο που δεν είναι τόσο ενδιαφέρον. Επομένως είναι λογικό να μην τον έχετε διαβάσει όλον.
Ωστόσο, οι κανόνες που θεσπίζονται ισχύουν για όλα τα καταστήματα που πωλούν σε καταναλωτές στην Ευρώπη, και η Ευρώπη αντιπροσωπεύει περίπου το 25% του παγκόσμιου Α.Ε.Π. Έτσι, ακόμη και αν δεν μπορείτε να μπείτε στον κόπο να διαβάσετε τον GDP, υπάρχουν ορισμένα πράγματα που πρέπει να έχετε στο μυαλό σας σχετικά με αυτόν.
Ποιες είναι οι απαιτήσεις του GDPR;
Κάθε διοικητικό όργανο ή κείμενο παρουσιάζει αρχές και εντολές που αποτελούν τη βάση των κανόνων που θέτει.
Ο GDPR σίγουρα δεν αποτελεί εξαίρεση σε αυτό, έτσι θέτει επτά αρχές που αναφέρονται στην εφαρμογή, τη ρύθμιση και την τιμωρία. Στην συνέχεια θα εξετάσουμε λίγο πιο τεχνικά θέματα και θα παρουσιάσουμε τις επτά αρχές του GDPR.
Οι επτά αρχές του GDPR
1. Νομιμότητα, δικαιοσύνη και διαφάνεια
Τα δεδομένα που συλλέγετε από τους χρήστες σας πρέπει να συμμορφώνονται με τις απαιτήσεις του GDPR. Η δικαιοσύνη και η διαφάνεια αναφέρονται στη χρήση δεδομένων και στην προβολή αυτής της χρήσης. Με άλλα λόγια, ο λόγος για τον οποίο ισχυρίζεστε ότι συλλέγετε τα δεδομένα τους πρέπει να αντιστοιχεί στις ενέργειές σας. Οι χρήστες πρέπει επίσης να έχουν πρόσβαση σε αυτές τις ενέργειες.
2. Περιορισμός σκοπού
Η επεξεργασία των δεδομένων πρέπει να είναι "καθορισμένη, ρητή και νόμιμη", και αυτό σημαίνει ότι η χρήση των δεδομένων που συλλέγονται πέραν του καθορισμένου σκοπού τους θεωρείται παράβαση. Για παράδειγμα εάν ο χρήστης έχει συναινέσει στο να σας δώσει το email του με σκοπό να λαμβάνει ενημερωτικά δελτία, δεν θα πρέπει να χρησιμοποιήσετε αυτή την πληροφορία με οποιονδήποτε άλλο τρόπο συμπεριλαμβανομένων και των "στατιστικών σκοπών".
3. Ελαχιστοποίηση στοιχείων
Σύμφωνα με την αρχή της ελαχιστοποίησης των δεδομένων, τα δεδομένα που συλλέγονται πρέπει να περιορίζονται στο ελάχιστο και μόνο σε αυτά που είναι απαραίτητα. Πιο συγκεκριμένα, πρέπει να σχετίζονται με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Αν ζητάτε περισσότερα δεδομένα από όσα πραγματικά χρειάζονται για τον εκάστοτε σκοπό σας, πιθανότατα να θεωρηθεί ως παραβίαση των κανόνων.
4. Ακρίβεια
Ο όρος "Ακρίβεια" εδώ αναφέρεται με την κυριολεκτική του χρήση. Πρέπει να διαθέτετε μόνο ενημερωμένες πληροφορίες και να προσπαθείτε να εξασφαλίσετε ότι θα παραμένουν ενημερωμένες. Αυτό σημαίνει ότι θα πρέπει να επανεξετάζετε τα δεδομένα σας σε τακτική βάση. Τα δεδομένα που θεωρούνται "ανακριβή" πρέπει να αφαιρούνται άμεσα.
5. Περιορισμός αποθήκευσης
Αυτή η πέμπτη αρχή του GDPR δεν είναι πολύ εύκολη, γι΄αυτό θα προσπαθήσουμε να την απλοποιήσουμε, διαγράψτε οποιαδήποτε στοιχεία δεν χρειάζεστε, εκτός αν καλύπτεστε νομικά για την αποθήκευσή τους. Εάν αποφασίσετε να διατηρήσετε δεδομένα, πρέπει να καθορίσετε για πόσο χρονικό διάστημα θα αποθηκεύονται και για ποιο σκοπό.
6. Ακεραιότητα και εμπιστευτικότητα (ασφάλεια)
Η «ακεραιότητα και η εμπιστευτικότητα» αναφέρονται στην προστασία των δεδομένων που συλλέγονται. Σύμφωνα με αυτή την αρχή, πρέπει να έχετε τα κατάλληλα "τεχνικά ή οργανωτικά" μέτρα ασφαλείας για την πρόληψη πιθανής κλοπής και απώλειας δεδομένων. Έτσι δεν θα υπάρχει η πιθανότητα να σας συμβεί κάτι αντίστοιχο με το σκάνδαλο Facebook-Cambridge Analytica.
7. Λογοδοσία
Η τελική αρχή του GDPR είναι ο τρόπος της κυβέρνησης της Ευρωπαϊκής Ένωσης να διασφαλίσει ότι είστε συμβατοί με τον GDPR . Δηλώνει ότι πρέπει να είστε σε θέση να επιδείξετε τα μέτρα που λαμβάνονται. Αυτό σημαίνει ότι έχετε σαφή αρχεία για το τι συμβαίνει είτε έχετε προσλάβει έναν ειδικό προστασίας δεδομένων, είτε εξετάζετε εσείς τα δεδομένα σας σε τακτική βάση.
Βέλτιστες πρακτικές του GDPR
Μπορεί για όλα τα παραπάνω να είναι έντονη η χρήση της τεχνικής και της νομικής ορολογίας και να σας φαίνονται αρκετά δύσκολα ως προς την κατανόησή τους. Μην ανησυχείτε όμως, γιατί θα προσπαθήσουμε να τα εξηγήσουμε με πιο απλά λόγια.
Στην συνέχεια, θα αναφερθούμε στις βέλτιστες πρακτικές του GDPR και θα μοιραστούμε μαζί σας μερικά παραδείγματα για να σας ανοίξουμε τον δρόμο και να αποκτήσετε ένα κατάστημα ηλεκτρονικού εμπορίου πλήρως συμμορφωμένο με τον GDPR.
Πώς μπορείτε να λάβετε συμμόρφωση με τον GDPR;
Η συγκατάθεση είναι πρωταρχικής σημασίας.
Ο GDPR εξουσιοδοτεί τους Ευρωπαίους να ελέγχουν ακριβώς τον τρόπο με τον οποίο χρησιμοποιούνται τα δεδομένα τους. Ως αποτέλεσμα, το να είστε συμβατός με τον GDPR σημαίνει ότι δεν μπορείτε να υποθέσετε αυτό που θέλουν οι χρήστες σας.
Για παράδειγμα, ο GDPR αναφέρει: "Η σιωπή, τα προκαθορισμένα τετραγωνίδια ή η αδράνεια δεν πρέπει να αποτελούν συγκατάθεση". Αυτό σημαίνει ότι θα πρέπει να αποφεύγετε ενέργειες όπως η παρακάτω:
Συλλέξτε μόνο τα δεδομένα που χρειάζεστε.
Ένα πολύ σημαντικό κομμάτι σχετικά με τη συμμόρφωσης με τον GDPR είναι η προστασία των δεδομένων των ανθρώπων. Μπορείτε να περιορίσετε την έκθεσή σας συλλέγοντας μόνο τα δεδομένα που χρειάζεστε. Οι απαντήσεις των ερωτήσεών σας πρέπει να δίνουν κάποιο κέρδος στην επιχείρησή σας. Εάν κάτι τέτοιο δεν υπάρχει, τότε ο GDPR σας δίνει την δυνατότητα να μην τις ρωτήσετε καν.
Εάν χρησιμοποιείτε το Shopify, μπορείτε να προσαρμόσετε τις ερωτήσεις που κάνετε στους επισκέπτες σας στην ενότητα: " Checkout settings"
Αν δεν πρόκειται να χρησιμοποιήσετε τις πληροφορίες, τότε μην τις ζητήσετε. Και αν πρόκειται να το κάνετε, πρέπει να είναι σαφής ο σκοπός που θα χρησιμοποιηθούν.
Για παράδειγμα, μερικές φορές θα βλέπετε σελίδες ανάληψης ελέγχου που ζητούν τον αριθμό τηλεφώνου ενός αγοραστή. Οι ιδιοκτήτες καταστημάτων πρέπει να αναρωτηθούν, «Πού πρόκειται να χρησιμοποιήσω τον αριθμό τηλεφώνου αυτού του προσώπου;»
Υπάρχουν σίγουρα νόμιμοι λόγοι για να ζητήσετε έναν αριθμό τηλεφώνου. Θα μπορούσε να είναι για εκστρατείες SMS, ή ως διασφάλιση έναντι δόλιων παραγγελιών. Ο μηχανισμός ανίχνευσης απάτης του Shopify επισημαίνει παραγγελίες που η διεύθυνση αποστολής και η διεύθυνση IP βρίσκονται σε διαφορετικές τοποθεσίες και, στη συνέχεια, χρησιμοποιεί τον αριθμό τηλεφώνου για την προστασία των καταναλωτών. Αυτό είναι απολύτως συμβατό, όσον αφορά τη συμμόρφωση με τον GDPR. Απλά βεβαιωθείτε ότι όλα αυτά τα έχετε εξηγήσει αυτά στην ενότητα με τους όρους και τις προϋποθέσεις και την πολιτική προστασίας προσωπικών δεδομένων.
Ας τα κάνουμε όλα πιο απλά
Οι ρυθμιστικές αρχές που είναι υπεύθυνες για τη συμμόρφωση με τον GDPR, υποστηρίζουν την έννοια της διαφάνειας. Θα μπορούσατε να συμπεριλάβετε έναν σύνδεσμο “unsubscribe" στην ιστοσελίδα σας δίπλα στο “subscribe.” Θα μπορούσατε επίσης να έχετε ένα link στο υποσέλιδο του site σας που να οδηγεί στην ενότητα με τους όρους και τις προϋποθέσεις σας και στην πολιτική απορρήτου σας.
Κάνοντας όλα τα παραπάνω είναι ένας απλός τρόπος για να προστατευτείτε από οποιαδήποτε ανησυχία σχετικά με τη συμμόρφωση με τον GDPR. Και αν διαθέτετε πιστοποιήσεις μπορείτε να το αναφέρετε στο κοινό σας.
Μην προσπαθήσετε να παραπλανήσετε τον κόσμο.
Για τις εταιρείες κάτω των 250 εργαζομένων, μεγάλο μέρος του GDPR συνοψίζεται απλά στο να μην γίνονται παραπλανητικές ενέργειες. Εάν είστε έντιμοι και ειλικρινείς και εφαρμόζετε τις βέλτιστες πρακτικές, δεν θα αντιμετωπίσετε κανένα πρόβλημα ούτε θα δεχτείτε κάποιο από τα τεράστια πρόστιμα.
Μπορεί όλα αυτά να φαίνονται αποθαρρυντικά αλλά αν οι μικρές επιχειρήσεις αποδείξουν ότι έχουν προσπαθήσει να ανταποκριθούν στις απαιτήσεις του GDPR, οι ρυθμιστικές αρχές θα συνεργαστούν μαζί τους για τυχόν προβλήματα που μπορεί να προκύψουν.
Που σημαίνει...Συνεχίστε να πουλάτε στην Ευρώπη!
Η Ευρωπαϊκή Ένωση δεν προσπαθεί να κλείσει τα ηλεκτρονικά καταστήματα. Στην πραγματικότητα, μεταξύ της "ψηφιακής ενιαίας αγοράς" και δεκάδων δισεκατομμυρίων που διοχετεύονται σε ευρυζωνικά δίκτυα, η Ε.Ε. έχει εμμονή με τη δημιουργία μιας πιο εύρωστης ψηφιακής οικονομίας.
Επιπλέον, οι ρυθμιστικές αρχές κατανοούν ότι ορισμένα δεδομένα αποθήκευσης είναι ζωτικής σημασίας για τη διατήρηση της λειτουργίας της ψηφιακής οικονομίας.
Κατάλογος ελέγχου συμμόρφωσης GDPR
Πρόκειται για έναν κατάλογο ελέγχου GDPR, με τα στοιχεία του οποίου που πρέπει να συμμορφωθείτε προκειμένου να είστε συμβατός με τους κανόνες.
- Βεβαιωθείτε ότι έχετε λάβει σαφή συγκατάθεση. Αυτό σημαίνει ότι δεν υπάρχουν ούτε υποθέσεις ούτε προ-σημειωμένα κουτιά.
- Συλλέξτε μόνο τα απαραίτητα. Ο χρυσός κανόνας είναι: "αν δεν το χρειάζεστε, μην το ζητάτε".
- Να είστε "ανοικτοί" σχετικά με τη συμμόρφωσή σας με το GDPR. Οι επιλογές opt-out, οι όροι και οι προϋποθέσεις, οι δηλώσεις απορρήτου πρέπει να είναι σαφείς και ορατές. Αν έχετε πιστοποιημένα σήματα εμπιστοσύνης, τα εμφανίζετε.
- Να είστε διαφανείς και ειλικρινείς. Η πλήρης συμμόρφωση με το GDPR μπορεί να μην είναι μια εύκολη υπόθεση, αλλά εάν λειτουργείτε με διαφάνεια και ειλικρίνεια, τότε οι ρυθμιστικές αρχές μπορεί να κάνουν και τα στραβά μάτια σε κάποια "απλή" παραβίαση και μπορεί μάλιστα να σας βοηθήσουν για να βρείτε λύση.
Να θυμάστε ότι αυτή η λίστα ελέγχου GDPR χρησιμεύει μόνο ως οδηγός. Κάθε οργανισμός έχει τις δικές του ειδικές απαιτήσεις GDPR, με τις οποίες πρέπει να συμμορφωθείτε.
Πώς να γράψετε μια επιτυχημένη πολιτική προστασίας προσωπικών δεδομένων συμβατή με τον GDPR.
Θα έχετε παρατηρήσει από τώρα ότι ο όρος "πολιτική προστασίας προσωπικών δεδομένων" γίνεται όλο και περισσότερο γνωστός. Αυτό συμβαίνει επειδή είναι μία από τις βασικές απαιτήσεις και συνιστώσες του GDPR.
Είτε χρησιμοποιείτε μια Privacy Policy Generators (γεννήτρια πολιτικής απορρήτου) είτε δημιουργείτε μια από την αρχή, η πολιτική απορρήτου σας θα πρέπει να χαρακτηρίζεται από σαφήνεια και να αποσαφηνίζει τον τρόπο με τον οποίο συλλέγετε και επεξεργάζεστε τα δεδομένα που λαμβάνετε, καθώς και τα μέτρα που έχετε θεσπίσει για την αποτροπή παραβίασης των αρχών προστασίας δεδομένων.
Έτσι, για αρχή, η πολιτική απορρήτου σας πρέπει:
- να είναι εύκολα προσβάσιμη από κάθε σελίδα του site σας της ιστοσελίδας σας.
- να είναι ορατή και να μην καλύπτεται με χρωματισμό και
- να χρησιμοποιείτε έναν κοινός αποδεκτό όρο όπως "Πολιτική απορρήτου" ή "Προστασία δεδομένων".
Για παράδειγμα, παρατηρήστε πώς το Shopify έχει τοποθετήσει στο υποσέλιδο του την πολιτική απορρήτου του.
Στην ίδια την πολιτική προστασίας προσωπικών δεδομένων, πρέπει να χρησιμοποιείτε σαφή γλώσσα. Έτσι ίσως αποφύγετε ανακρίβειες όπως οι παρακάτω:
"Ενδέχεται να χρησιμοποιήσουμε τα προσωπικά σας δεδομένα για να αναπτύξουμε νέες υπηρεσίες" (δεν είναι σαφές ποιες είναι οι "υπηρεσίες" ή πώς τα δεδομένα θα βοηθήσουν στην ανάπτυξή τους)·
«Ενδέχεται να χρησιμοποιήσουμε τα προσωπικά σας δεδομένα για ερευνητικούς σκοπούς (δεν είναι σαφές σε τι είδους «έρευνα» αναφέρονται. Και
«Ενδέχεται να χρησιμοποιήσουμε τα προσωπικά σας δεδομένα για να προσφέρουμε εξατομικευμένες υπηρεσίες» (δεν είναι σαφές τι συνεπάγεται η «εξατομίκευση»).
Όλα αυτά είναι ασαφή και ανεπαρκή για τους χρήστες , με αποτέλεσμα να μην μπορούν να κατανοήσουν πώς ακριβώς θα χρησιμοποιούνται τα δεδομένα τους.
Παρακάτω υπάρχει ένα καλό παράδειγμα που διατυπώνεται από την Ε.Ε. και ισχύει για τις επιχειρήσεις ηλεκτρονικού εμπορίου:
«Θα διατηρήσουμε την ιστορία αγορών σας και θα χρησιμοποιήσουμε τις λεπτομέρειες των προϊόντων που έχετε αγοράσει προηγουμένως για να σας προτείνουμε και άλλα προϊόντα που πιστεύουμε ότι θα σας ενδιαφέρουν.
Πέρα από απλή η γλώσσα που χρησιμοποιείτε, πρέπει να είναι και περιεκτική για να μπορείτε να συμμορφωθείτε με τις απαιτήσεις του GDPR. Παρακάτω υπάρχει το τι πρέπει να συμπεριλάβετε στο κείμενό σας:
- Τα πλήρη στοιχεία επικοινωνίας της εταιρείας σας. Αυτό περιλαμβάνει, τουλάχιστον, το όνομα, τη διεύθυνση, τον αριθμό τηλεφώνου και το email.
- Ποια δεδομένα συλλέγετε και πώς επεξεργάζεστε αυτά τα δεδομένα. Και πάλι, πρέπει να χρησιμοποιήσουμε σαφή γλώσσα για να μπορέσουμε να τονίσουμε αυτό το στοιχείο αρκετά.
- Πόσο καιρό θα αποθηκευτούν τα δεδομένα. Αν δεν μπορείτε να δώσετε συγκεκριμένη χρονική περίοδο, απλά καταγράψτε τα κριτήρια που χρησιμοποιείτε για να καθορίσετε αυτήν την περίοδο.
- Εάν τα δεδομένα θα χρησιμοποιηθούν με οποιονδήποτε τρόπο σε τρίτη χώρα (εκτός της Ε.Ε.). Εάν δεν είστε εγκατεστημένος στην Ε.Ε., πιθανότατα θα μεταφέρετε δεδομένα με τον ένα ή τον άλλο τρόπο.
- Εάν τα δεδομένα που συλλέξατε θα μοιραστούν. Αυτό μπορεί, για παράδειγμα, να είναι με τρίτους όπως με προμηθευτές.
- Δικαίωμα του χρήστη στις προσωπικές του πληροφορίες. Πρέπει να δηλώσετε ρητά τα δικαιώματα των χρηστών να έχουν πρόσβαση στα δεδομένα τους, να τα τροποποιούν και να τα διαγράφουν.
- Δικαίωμα του χρήστη να αποσύρει τη συγκατάθεσή του. Σύμφωνα με τις κατευθυντήριες γραμμές της GDPR: "είναι τόσο εύκολο να αποσύρετε όσο και να δώσετε συγκατάθεση".
Υπάρχουν οφέλη στη συμμόρφωση με τον GDPR για τα e-shop;
Ο GDPR, δεν αποτελεί μόνο μια δύσκολη διαδικασία που στους περισσότερους προκαλεί πονοκέφαλο. Είναι ταυτόχρονα και μια μεγάλη ευκαιρία, καθώς θα γίνεστε πιο εύκολα συμπαθείς στους Ευρωπαίους πολίτες αν είστε συμβατός με τον GDPR.
Αναμφίβολα, η προστασία των προσωπικών δεδομένων, αποτελεί σημαντική υπόθεση στην Ευρώπη. Μπορείτε να παρατηρήσετε ότι θέματα που σχετίζονται με τη συμμόρφωση του GDPR, εμφανίζονται σε όλο το διαδίκτυο. Στην πραγματικότητα, οι ευρωπαϊκές εταιρείες, σε όποιον τομέα και εάν ανήκουν χρησιμοποιούν την προστασία των προσωπικών δεδομένων ως μέρος της πώλησης τους κάτι που μπορούν να κάνουν και οι ιδιοκτήτες ηλεκτρονικών καταστημάτων.
Παρακάτω για παράδειγμα, εμφανίζεται η αρχική σελίδα της γερμανικής αλυσίδας σούπερ μάρκετ Edeka. Όταν πλοηγηθείτε σε αυτή, θα καταλάβετε ότι χρησιμοποιούν cookies, καθώς και ένα link που οδηγεί στην σελίδα "Πολιτική Προστασίας Προσωπικών Δεδομένων" ("Datenschutzhinweisen").
Η αναφορά στην προστασία των προσωπικών δεδομένων κατέχει μεγαλύτερο χώρο ακόμα και από το λογότυπο της εταιρείας. Μάλιστα βρίσκεται μπροστά και στο κέντρο της σελίδας.
Οι ενδιαφερόμενοι πελάτες μπορούν επίσης να βρουν μια τεράστια ενότητα cookies, καθώς και έναν ακόμη σύνδεσμο προς την ενότητα προστασίας προσωπικών δεδομένων. Θέματα σχετικά με τη συμμόρφωση του GDPR υπάρχουν σε όλη την ιστοσελίδα.
Και αυτό δεν είναι ένα κάποιο χρηματοπιστωτικό ίδρυμα ή ένα κυβερνητικό όργανο. Είναι ένα σούπερ μάρκετ.
Δεν είναι μόνο γερμανικό το παραπάνω φαινόμενο. Η γαλλική ιστοσελίδα ψυχαγωγίας tf1.fr έχει ένα banner για τα cookies, ακριβώς κάτω από τις ενότητες "πολιτική προστασία προσωπικών δεδομένων" και "cookies" .
Παρατηρήστε στο παρακάτω Ολλανδικό site πόσο μεγάλο χώρο λαμβάνει η ανακοίνωση για τα cookies κατά την άφιξη σας στο δημοφιλές website Marketplace:
Εν τω μεταξύ, κορυφαία ολλανδική ιστοσελίδα ειδήσεων Telegraaf διαθέτει περισσότερες από τρεις ενότητες που σχετίζονται με την προστασία προσωπικών δεδομένων και βρίσκονται στο υποσέλιδο του.
Με απλά λόγια, η προστασία των προσωπικών δεδομένων είναι ένα πολύ σημαντικό θέμα για την Ευρώπη. Σίγουρα, ορισμένες χώρες απαιτούν από τους ιστότοπους να παρέχουν λεπτομέρειες σχετικά με τα cookies και την προστασία δεδομένων. Αλλά αυτές οι ιστοσελίδες δεν δίνουν μόνο λεπτομέρειες αλλά τις επιδεικνύουν. Αυτό είναι μάρκετινγκ!
Οι Ευρωπαίοι καταναλωτές θέλουν να αισθάνονται άνετα για τα ζητήματα συμμόρφωσης με τον GDPR πριν κάνουν μια αγορά ή συνεργαστούν με ένα εμπορικό σήμα. Αυτός είναι ο λόγος για τον οποίο οι ιστοσελίδες σε όποιο πεδίο και να ανήκουν, από σούπερ μάρκετ μέχρι και ειδησιογραφικά γραφεία, θεωρούν τόσο σημαντική υπόθεση το θέμα του GDPR, των cookies και της προστασίας προσωπικών δεδομένων.
Μπορείτε να αξιοποιήσετε αυτές τις τάσεις για να αναπτύξετε την επιχείρησή σας στο ηλεκτρονικό εμπόριο. Ενημερώστε τους χρήστες ότι είστε συμβατοί με τον GDPR. Κάντε τη συμμόρφωση αυτή μέρος της σελίδας Όροι και Προϋποθέσεις. Βάλτε το στο υποσέλιδα των μηνυμάτων ηλεκτρονικού ταχυδρομείου σας. Κάθε μικρό πλεονέκτημα βοηθάει.
Εάν είστε συμβατοί με τον GDPR και ο ανταγωνιστής σας δεν είναι ή ακόμα και αν και οι δύο είστε συμβατοί με τον GDPR, αλλά είστε ο μόνος που επαίρεται για αυτό, τότε το σημείο αυτό μπορεί να αποτελέσει ένα σημαντικό πλεονέκτημα στην πώληση σας για την ευρωπαϊκή αγορά.
Τι γίνεται με τον GDPR και το μάρκετινγκ;
Ας πούμε ότι έχετε προβεί σε όλες τις ενέργειες που οδηγούν στο να είστε συμβατοί, με τον GDPR. Αφαιρέσατε τις προεπιλογές, συλλέγετε μόνα τα απαραίτητα για σας δεδομένα και η πολιτική σας εξηγείτε με σαφήνεια.
Υπάρχει όμως, ακόμα το θέμα των εργαλείων σας: Είναι συμβατά με τον GDPR;
Γενικά οι ιδιοκτήτες καταστημάτων χρησιμοποιούν διάφορες πλατφόρμες αλλά και ψάχνουν διάφορες λύσεις για να βελτιστοποιήσουν το μάρκετινγκ τους, analytics, social, email και άλλα. Επιπλέον, τα περισσότερα από αυτά τα εργαλεία ηλεκτρονικού εμπορίου έχουν την βάση τους εκτός Ευρώπης, όπως το Google Analytics, το Google AdWords, το Facebook, η υπηρεσία ηλεκτρονικού ταχυδρομείου και πολλά άλλα.
Μπορεί ένας κάτοχος καταστήματος να συμμορφώνεται με τον GDPR και να εξακολουθεί να χρησιμοποιεί αυτά τα εργαλεία;
Τι γίνεται με το Google και τον GDPR;
Ως η πιο χρησιμοποιούμενη λύση ανάλυσης στον κόσμο, το Google Analytics είναι πιθανώς ήδη ένα εργαλείο που χρησιμοποιείτε για την επιχείρησή σας στο ηλεκτρονικό εμπόριο. Επιπλέον, το Google AdWords είναι νούμερο ένα στα αποτελέσματα αναζήτησης σχετικά με το μάρκετινγκ.
Οι ιδιοκτήτες καταστημάτων γνωρίζουν το Google. Γνωρίζει όμως το Google τον τον GDPR;
Μα φυσικά. Στην πραγματικότητα, το Google πριν μερικά χρόνια, για να καθησυχάσει τους ιδιοκτήτες των ηλεκτρονικών καταστημάτων ότι είναι πλήρως συμβατό με τον GDPR είχε αναφέρει:
Εργαζόμαστε σκληρά για να προετοιμαστούμε για τον Γενικό Κανονισμό προστασίας δεδομένων (GDPR) της Ε.Ε. Δεσμευόμαστε ότι θα συμμορφωθούμε με τη νέα νομοθεσία και ότι θα συνεργαστούμε με τους εταίρους καθ' όλη τη διάρκεια αυτής της διαδικασίας.
Το Google AdWords ενημέρωσε τους όρους και τις προϋποθέσεις του τον Αύγουστο του 2017, αποκαλύπτοντας μέτρα προστασίας δεδομένων που σχετίζονται με τον Γενικό Κανονισμό προστασίας δεδομένων της Ε.Ε.
Το Google ανήγγειλε επίσης πρόσφατα ότι θα σταματούσε την σάρωση emails για να παραδίδει τις εξατομικευμένες αγγελίες και τις υπηρεσίες. Η PageFair, μια βρετανική ομάδα που ειδικεύεται στην ψηφιακή διαφήμιση, υποστήριζε ότι η συμμόρφωση GDPR, μπορεί να είναι ο πραγματικός λόγος, ή τουλάχιστον ένας συμβάλλοντας λόγος, του γιατί η Google ανακοίνωσε ότι θα σταματήσει την χρήση των emails των ανθρώπων για να στέλνει διαφημίσεις."
Τι γίνεται με Shopify και GDPR;
Αν το κατάστημά σας λειτουργεί στο Shopify, μην ανησυχείτε. Το Shopify είναι μια αξιόπιστη παγκόσμια εταιρεία. Ο ιδρυτής και διευθύνων σύμβουλός της κατάγεται από τη Γερμανία, η εταιρεία έχει την έδρα της στον Καναδά και οι χρήστες τους είναι διάσπαρτοι σε όλο τον κόσμο. Άλλωστε είναι και η πλατφόρμα ecommerce που προτείνουμε στους πελάτες μας για την κατασκευή Shopify E-Shop.
Το Shopify διαθέτει ακόμη και ένα τμήμα στο εγχειρίδιο χρηστών του που αντιμετωπίζει με συγκεκριμένο τρόπο τα θέματα GDPR:
Τι γίνεται με τη συμμόρφωση με το Facebook και τον GDPR;
Το Facebook έχει σίγουρα νομικά ζητήματα που πρέπει να λύσει με την Ευρώπη. Η εταιρεία τιμωρήθηκε με πρόστιμο 110 εκατομμυρίων ευρώ τον Μάιο του 2017 για τη σύνδεση λογαριασμών χρηστών και δεδομένων χρηστών μεταξύ του Facebook και της εφαρμογής ανταλλαγής μηνυμάτων WhatsApp που ανήκει στο Facebook. Αυτό είναι ακριβώς το είδος του ζητήματος προστασίας προσωπικών δεδομένων που αντιμετωπίζει ο GDPR.
Αλλά ακόμα και αν το Facebook έχει ιστορικό με τις ευρωπαϊκές ρυθμιστικές αρχές, γνωρίζουν ότι η συμμόρφωση με τον GDPR είναι αναγκαία ώστε κάθε ιδιοκτήτης καταστήματος που χρησιμοποιεί τα εργαλεία μάρκετινγκ, όπως Facebook Ads, Facebook Custom Audiences, Facebook Connect, Facebook Beacon, και άλλα να συνεχίσει να μπορεί να τα έχει στην διάθεσή του.
Τον Αύγουστο του 2017, ένας εκπρόσωπος του Facebook δήλωσε στους Financial Times:
Έχουμε συγκεντρώσει τώρα τη καλύτερη ομάδα στην ιστορία της οικογένειας facebook των επιχειρήσεων. Δεκάδες άνθρωποι στο Facebook εργάζονται με πλήρες ωράριο πάνω στο θέμα του GDPR.
Το άρθρο συνεχίζει λέγοντας ότι η ομάδα προστασίας δεδομένων facebook, θα δώσει παραπάνω από το 100 τοις 100 των δυνατοτήτων της, για να υποστηρίξει τις προσπάθειες γύρω από το θέμα της συμμόρφωσης με τον GDPR.
Συμπεράσματα σχετικά με τη συμμόρφωση του GDPR για τους ιδιοκτήτες καταστημάτων
Τι σημαίνουν όλα αυτά για τον GDPR και την κατασκευή του ηλεκτρονικού σας καταστήματος;
- Το GDPR επηρεάζει τις επιχειρήσεις που αλληλεπιδρούν με τους καταναλωτές στην Ευρώπη, ή που μπορεί να αλληλεπιδράσουν με τους Ευρωπαίους, ανεξάρτητα από το πού βρίσκονται αυτές οι εταιρείες.
- Η συμμόρφωση με το GDPR είναι λίγο πιο απλή για τις μικρές επιχειρήσεις. Αυτό σημαίνει ότι η συμμόρφωση με το GDPR είναι διαφορετική για μια επιχείρησή ηλεκτρονικού εμπορίου σε σχέση με μια τεράστια εταιρεία.
- Μπορείτε να βοηθήσετε το κατάστημά σας με την συμμόρφωση με το GDPR, διασφαλίζοντας ότι οι όροι και οι προϋποθέσεις σας είναι σαφείς, αφαιρώντας τις προκαθορισμένες επιλογές και γενικά δείχνοντας σεβασμό στην ιδιωτική ζωή των πελατών και των δυνητικών πελατών σας.
- Η επιχείρησή ηλεκτρονικού εμπορίου μπορεί να επωφεληθεί από το GDPR. Το απόρρητο δεδομένων είναι πολλή σημαντική υπόθεση στην Ευρώπη, οπότε αν λάβετε μέτρα για τη συμμόρφωση με το GDPR, μπορείτε να ενημερώσετε όλους τους Ευρωπαίους αγοραστές σας, σχετικά με αυτό.
- Τα εργαλεία digital μάρκετινγκ και τα κανάλια που χρησιμοποιείτε στο ηλεκτρονικό σας κατάστημα θα πρέπει να συμμορφώνονται με το GDPR. Πρέπει να προσέξετε αυτό το κομμάτι και να επικοινωνήσετε απευθείας μαζί τους αν έχετε ερωτήσεις. Ο GDPR δεν είναι μυστικό για κανέναν.
Πηγές
Υπάρχουν μερικές σημαντικές πηγές που είναι διαθέσιμες για τους ανθρώπους που αναρωτιούνται ποιες επιπτώσεις έχει το GDPR στα online καταστήματα. Μερικές από αυτές είναι οι εξής:
ePrivacy’s overview page, η οποία περιλαμβάνει webinar, white paper, “quick check” και άλλα
Econsultancy’s post, GDPR: 10 παραδείγματα βέλτιστης πρακτικής για την απόκτηση άδειας μάρκετινγκ
Η ενότητα GDPR του "Trust Center" της Microsoft
Η General Data Protection Regulation(GDPR) ενότητα του εγχειριδίου του Shopify
Boxcryptor’s overview των GDPR εφαρμογών
Και εάν αισθάνεστε "γενναίοι", το πραγματικό κείμενο του GDPR (General Data Protection Regulation)