Ιστολόγιο

Το blog της κοινότητας

Σκέψεις για τη συμμόρφωση με το GDPR

Σκέψεις για τη συμμόρφωση με το GDPR

Τρεις εβδομάδες απομένουν ως τις 25 Μαϊου, μέρα που θα ξεκινήσει να εφαρμόζεται ο Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR), και αυτό που κυριαρχεί είναι ένα γενικό ερωτηματικό: τι πρέπει να κάνει όποιος διατηρεί ένα joomla site για να συμμορφωθεί με τους κανόνες του gdpr.

Ο λόγος που δημοσιεύω αυτό το κείμενο είναι για να μοιραστώ όσα έμαθα διαβάζοντας κείμενα και συζητώντας (και) με νομικούς για το θέμα αυτό. Ας ξεκαθαρίσουμε όμως κάτι, από την αρχή: τα παρακάτω είναι η δική μου γνώμη, δεν είναι σε καμιά περίπτωση συμβουλή, ούτε προτροπή για όσους διαθέσουν λίγο χρόνο να διαβάσουν τις γραμμές που ακολουθούν. Αυτό που πρέπει ο καθένας, για νομικά θέματα, είναι να έχει τη γνώμη του νομικού του συμβούλου.

Ο gdpr αφορά δεδομένα ιδιωτών, όχι εταιρικά.

Οι διατάξεις του κανονισμού αφορούν δεδομένα που αποκτά μια ιστοσελίδα, από την απλή φόρμα επικοινωνίας, ως την εγγραφή μελών, τη ένταξη σε μια λίστα αλληλογραφίας ή την αγορά από ένα ηλεκτρονικό κατάστημα, και που αφορούν ιδιώτες. Δεν έχει εφαρμογή σε εταιρικά δεδομένα.

Προσωπικά δεδομένα είναι όσα μπορούν να ταυτοποιήσουν ένα συγκεκριμένο φυσικό πρόσωπο (ονοματεπώνυμο, διεύθυνση κατοικίας, τηλέφωνο, προσωπικό email, διεύθυνση ip, κομματική ένταξη, συμμετοχή σε συνδικαλιστική οργάνωση, οικογενειακή κατάσταση, σεξουαλικός προσανατολισμός, θρησκευτικές πεποιθήσεις, καταναλωτική συμπεριφορά ...)

Απαγορεύεται γενικά η συλλογή / επεξεργασία δεδομένων;

Ασφαλώς όχι. Μπαίνουν κανόνες, που αφενός καθορίζουν ποιά δεδομένα και με ποιούς όρους συλλέγονται / επεξεργάζονται και αφετέρου αναδεικνύουν τα δικαιώματα όσων τα δεδομένα έχουν συλλεγεί και υφίστανται επεξεργασία.

Για παράδειγμα, η κατοχή στοιχείων που σχετίζονται με την αποστολή ενός προϊόντος που αγοράστηκε από ένα ηλεκτρονικό κατάστημα (email, ονοματεπώνυμο αγοραστή, διεύθυνση αποστολής, τηλέφωνο) είναι αναγκαία, γιατί διαφορετικά δεν μπορεί να γίνει η συναλλαγή. Η συλλογή της ip σύνδεσης από το firewall ενός διακομιστή, ή ενός isp provider, είναι απαραίτητη για την αποφυγή ή και τον εντοπισμό κακόβουλων ενεργειών, κοκ. Η καταχώρηση του ονοματεπωνύμου ενός επισκέπτη σε ένα ιδιωτικό χώρο, με αυξημένους κανόνες ασφάλειας, είναι νόμιμη.

Ο κανονισμός, λοιπόν, προστατεύει τα δικαιώματα όλων μας, ως ιδιωτών, απέναντι στη συλλογή και την επεξεργασία των προσωπικών μας δεδομένων, δημιουργεί υποχρεώσεις, σε όποιον έχει στην κατοχή του τέτοια δεδομένα, και αντίστοιχα δικαιώματα στα υποκείμενα των δεδομένων, δηλαδή τους ιδιώτες.

Να διευκρινστεί κάτι: επεξεργασία των δεδομένων σημαίνει ακόμη και η αποθήκευσή τους σε ένα ηλεκτρονικό μέσο, άρα, σημαίνει περιλαμβάνει ακόμη και την κατοχή των δεδοεμένων.

Δικαιώματα των ιδιωτών

Κάθε ιδιώτης έχει δικαίωμα, απέναντι σε μια ιστοσελίδα:

  • να γνωρίζει ποιά δεδομένα του συλλέγονται και για ποιά χρήση, όπως επίσης πόσο χρόνο θα διατηρηθεί η κατοχή τους στην ιστοσελίδα
    Προσέξτε το για ποια χρήση: πχ, το ότι έδωσε κάποιος το email του για να πάρει επιβεβαίωση της παραγγελίας σε ένα ηλεκτρονικό κατάστημα, δεν σημαίνει πως το email αυτό μπορεί να ενσωματωθεί σε μια λίστα διαφημιστικής αλληλογραφίας του καταστήματος, αν δεν έχει συναινέσει, εκ των προτέρων και ελέυθερα, σε αυτό.
  • να μπορεί να συναινέσει ή να αρνηθεί τη συλλογή των προσωπικών του δεδομένων (και μάλιστα με σαφώς ελεύθερη βούληση: όχι πχ με προτσεκαρισμένα τετραγωνάκια...), όπως επίσης και τη μεταβίβαση των στοιχείων σε τρίτους.
    Η συναίνεση δεν τεκμαίρεται, πρέπει να είναι σαφής, ελεύθερη και σαφώς προσδιορισμένη.
  • να υπάρχει διαδικασία να πληροφορηθεί, σε μεταγενέστερο χρόνο, ποιά προσωπικά του δεδομένα είναι υπό την κατοχή της ιστοσελίδας
  • να έχει τη δυνατότητα να επικαιροποιεί τα δεδομένα που έχει δώσει, με άλλα λόγια να τα τροποποιεί
  • να άρει τη συναίνεσή του. οποτεδήποτε το θελήσει και να ζητήσει τη διαγραφή των στοιχείων του

Υποχρεώσεις όσων συλλέγουν στοιχεία

Αντίστοιχες, σε γενικές γραμμές, είναι οι υποχρεώσεις που δημιουργούνται σε όσους συλλέγουν / επεξεργάζονται δεδομένα. Εχουν την υποχρέωση

  • να ενημερώνουν το λόγο της συλλογής των στοιχείων και το χρόνο της διατήρησης τους και να ζητούν τη ρητή συναίνεση του ιδιώτη
  • να δίνουν τη δυνατότητα άσκησης των δικαιωμάτων που αναφέρθηκαν πιο πάνω, δηλαδή να παρέχουν πληροφορία για τα στοιχεία που έχουν υπό την κατοχή τους, να διευκολύνουν την επικαιροποίησή τους και τη διαγραφή τους
  • να φροντίζουν με επιμέλεια για την ασφάλεια των στοιχείων που συλλέγονται, διατηρούνται και επεξεργάζονται: για παράδειγμα να χρησιμοποιούν παντού ασφαλείς συνδέσεις (ssl), να υιοθετούν πρακτικές πιστοποίησης δύο παραμέτρων (two factor authentication), να κρυπτογραφούν τα διαθέσιμα στοιχεία, να έχουν αντίγραφα ασφαλείας, να χρησιμοποιούν ασφαλείς εφαρμογές
  • να θεσμοθετήσουν και να εφαρμόσουν εσωτερικούς κανόνες συμμόρφωσης
  • να ενημερώνουν την Αρχή Προστασίας Δεδομένων, αν διαπιστώσουν ότι έχουν διαρεύσει προσωπικά δεδομένα ιδιωτών

Εργαλεία για το joomla site μας

Ευτυχώς, εργαλεία που να βοηθούν σε πρακτικές συμμόρφωσης υπάρχουν στο joomla ecosystem. Καταρχήν, αυτά που δίνει το ίδιο το core, με τη δυνατότητα των χρηστών να αλλάζουν τα στοιχεία τους. Επιπρόσθετα με επεκτάσεις που δίνουν τη δυνατότητα ενημέρβσης, επικαιροποίησης και διαγραφής των στοιχείων (πχ, βλέπε εδώ), καθώς και με πρόσθετα σχετικά με τα cookies (πχ, βλέπε εδώ και εδώ).

Επίσης, τροποποιούμε (ή δημιουργούμε, αν δεν έχουμε) τα κείμενά μας για την πολιτική μας απέναντι στα προσωπικά δεδομένων των επισκεπτών της ιστοσελίδας και των πελατών μας, εφαρμόζοντας τους κανόνες διαφάνειας, που αναφέρθηκαν: ενημερώνουμε τι συλλέγουμε και επεξεργαζόμαστε, ζητάμε τη συναίνεση εκ των προτέρων, δίνουμε τη δυνατότητα να ελέγξει, να επικαιροποιήσει ή (και) να διαγράψει κάποιος τα δεδομένα του που υπάρχουν στην κατοχή μας.

Τέλος, αξιοποιούμε όλες τις δυνατότητες και υιοθετούμε πρακτικές κατάλληλες ώστε να διατηρήσουμε ασφαλή τα δεδομένα που κατέχουμε.

Επιτρέψτε μου να διατυπώσω τη γνώμη πως το πρόβλημα δεν είναι η έλλειψη εργαλείων ή κάποιος ανυπέρβλητος στόχος, όσο ο ωχαδερφισμός που σε πολλά μας χαρακτηρίζει. Για παράδειγμα: πόσοι από μας χρησιμοποιούμε τη διπλή σύνδεση, τη πιστοποίηση δύο παραμέτρων, που είναι δωρεάν και ενσωματωμένη και στο joomla, μα και στο cPanel; Πόσοι από μας δεν θεωρούμε μικρής προτεραιότητας υποχρέωση την αναβάθμιση της ιστοσελίδας μας, τη χρήση δύσκολων κωδικών, την τήρηση στοιχειωδών κανόνων ασφάλειας, το ssl; Πολλοί, είναι η ειλικρινής απάντηση. Μήπως ήρθε η ώρα να υιοθετήσουμε, και από μόνοι μας, πρακτικές που θα δίνουν στην προστασία των δεδομένων και την ασφάλεια τη σημασία που πράγματι έχει;

Προς τι ο πανικός;

Οι διατάξεις του Κανονισμού δεν είναι κάτι το εξωπραγματικό, ούτε άλλωστε είναι τόσο δύσκολο να υλοποιηθούν. Πιστεύω πως απαιτούν πρακτικές που θα έπρεπε να έχουν υιοθετηθεί από καιρό, και από μια δική μας πρωτοβουλία και αυτορρύθμιση. Ο σεβασμός απέναντι στα δεδομένα που μας εμπιστεύεται ένας τρίτος θα έπρεπε να ήταν δική μας απαίτηση και προτεραιότητα.

Από την άλλη πλευρά, έχω την αίσθηση ότι δημιουργείται ένα κλίμα για "επιχειρηματικές ευκαιρίες" επιτήδειων ειδικών, που θα "συμβουλεύσουν", θα "πιστοποιήσουν", θα "παρακολουθήσουν"... Τα γνωστά, σε μια Ελλάδα της αρπαχτής.

Εν τέλει, ας δούμε σοβαρά το θέμα της ασφάλειας της ιστοσελίδας μας και των δεδομένων της, και ας σεβαστούμε όσους μας επισκέπτονται και συναλλάσσονται μαζί μας. Και ας σκύψουμε και στις δικές μας ευθύνες πάνω σε αυτόν τον τομέα. Ας το δούμε ως ευκαιρία, και θα γίνουμε σίγουρα καλύτεροι.

 

profile icon
'Aρης Ντάτσης

Το Joomla είναι στο μυαλό μου συνώνυμο με την Κοινότητα και το Ελεύθερο Λογισμικό Ανοικτού Κώδικα. Αυτός είναι και ο λόγος που συμμετέχω στο joomla project από το ξεκίνημά του, ενεργός joomler, έχω ιδρύσει την ελληνική κοινότητα του joomla.gr και είμαι παρών στη διεθνή κοινότητα στο joomla.org.

Στην επαγγελματική μου ζωή, διευθύνω την Onscreen Web Services.
Είμαι σίγουρος πως #ΜεΤοJoomlaΌλαΓίνονταιΚαλύτερα

 

Συντομεύσεις
Πρόσφατα Tutorials

Tutorials / Backend: Επιλογή σκοτεινής ή φωτεινής λειτουργίας με τη χρήση module

Tutorials / Ενσωματώστε εύκολα αρχεία PDF στο περιεχόμενό σας στο Joomla

Tutorials / Μετακίνηση του Title tag στην πρώτη θέση μέσα στην περιοχή head

Tutorials / Διαφημιστικό πλάνο μέσω Joomla

Αναρτήσεις στο Blog

Κείμενα / Η Σωστή Χρήση της Νυχτερινής και της Σκοτεινής λειτουργίας

Κείμενα / 10 τρόποι επέκτασης και σύνδεσης με εφαρμογές για το Joomla site σας

Κείμενα / Joomla 4: Ο νέος Media Manager

Κείμενα / Joomla 4 και προσβασιμότητα: Το web είναι για όλους

Το όνομα Joomla!™ και το λογότυπο χρησιμοποιούνται στις Ηνωμένες Πολιτείες και σε άλλες χώρες μετά από περιορισμένη άδεια της Open Source Matters. Το joomla.gr δεν σχετίζεται με, ούτε υποστηρίζεται από, την Open Source Matters ή το Joomla!™ Project.
The Joomla!™ name and logo are used in the United States and other countries under limited license from Open Source Matters. joomla.gr is not associated with, nor endorsed by, Open Source Matters or the Joomla!™ Project.

Joomla.gr footer Logo

Δημιουργήθηκε με χρήση του Joomla! CMS

Κατασκευή - Συντήρηση - Φιλοξενία
Onscreen Web Services  &  Easylogic &  upward Digital

Στείλτε μας email ή ακολουθήστε μας