GDPR – Γενικός Οδηγός

Το δίκαιο της Ευρωπαϊκής Ένωσης για την προστασία προσωπικών δεδομένων με τα αρχικά GDPR (General Data Protection Regulation) θα έρθει σε ισχύ την 25η Μαΐου. Όλοι οι εμπλεκόμενοι στη βιομηχανία του web ρωτούν να πληροφορηθούν ποιες θα είναι οι αλλαγές και τι πρέπει να κάνουν για να συμμορφωθούν, καθώς δεν πρόκειται για οδηγία (directive), που σημαίνει ότι θα πρέπει να ψηφιστεί εθνικός νόμος για την εφαρμογή της, αλλά για Κοινοτικό Δίκαιο που θα είναι άμεσα εφαρμοστέο με μεγάλα πρόστιμα, κινδύνους για αγωγές κλπ.

GDPR Η Νέα Νομοθεσία Προστασίας Προσωπικών Δεδομένων

Το GDPR είναι μία ενιαία ομάδα κανόνων που ισχύει για όλες τις χώρες της ΕΕ και κάθε κράτος μέλος πρέπει να ορίσει μία Εποπτική Αρχή (Supervising Authority – SA) για την εφαρμογή της νομοθεσίας. Οι εποπτικές αρχές σε όλη την ΕΕ θα συνεργάζονται λόγω του διεθνούς χαρακτήρα της ψηφιακής οικονομίας και θα έχουν την εξουσία να:

  • Κάνουν ελέγχους σε ιστοσελίδες
  • Εκδίδουν προειδοποιήσεις για μη συμμόρφωση
  • Εκδίδουν διορθωτικά μέτρα με προθεσμίες

Στο τεχνικό κομμάτι, αν πχ πας να ψωνίσεις κάτι από ένα eshop, ο έμπορος είναι από δω και πέρα υποχρεωμένος:

  • να δηλώνει ξεκάθαρα ποιος είναι
  • να σε ενημερώνει για το τι δεδομένα συλλέγει, για ποιον λόγο τα συλλέγει, πόσο καιρό τα κρατάει, αν τα μοιράζεται με τρίτους κλπ
  • να παίρνει την ξεκάθαρη συγκατάθεσή σου πριν μαζέψει τα δεδομένα
  • να σου επιτρέπει να έχεις πρόσβαση σε αυτά τα δεδομένα σου
  • να σου επιτρέπει να κατεβάζεις τα δεδομένα σου
  • να σου επιτρέπει να διαγράφεις τα δεδομένα σου
  • να σε ενημερώνει εγκαίρως αν έχει γίνει παραβίαση αυτών των δεδομένων

Φυσικά έχουν ήδη γραφτεί άπειρα άρθρα και plugins σχετικά με τη συμμόρφωση DGPR του WordPress αλλά τα περισσότερα είναι σε θεωρητικό επίπεδο και κινούντα σε θολά νερά, καθώς η νομοθεσία στο θέμα των προσωπικών δεδομένων είναι ιδιαίτερα περίπλοκη (η υλοποίηση του GDPR ιδιαίτερα για μεγάλες επιχειρήσεις απαιτεί νομική συμβουλευτική).

Σε γενικές γραμμές αφορά οποιοδήποτε site (επιχείρηση) ή τρίτο που ενεργεί για λογαριασμό μιας επιχείρησης, και συλλέγει προσωπικά δεδομένα από πολίτες χωρών της ΕΕ χωρίς να χρειάζεται να διαθέτει η επιχείρηση έδρα ή υποκατάστημα στην ΕΕ, αφορά δηλαδή όλες τις επιχειρήσεις παγκοσμίως εφόσον έχουν συναλλαγές με πολίτες της ΕΕ και συλλέγουν προσωπικά δεδομένα πχ ηλεκτρονικά καταστήματα.

Επίσης δεν αφορά μόνο δεδομένα που απαραίτητα συλλέγει ένα ηλεκτρονικό κατάστημα, ακόμη και ένα signup σε newsletter να υπάρχει που συλλέγει διευθύνσεις email υπόκειται στον κανονισμό GDPR. Το πνεύμα του κανονισμού φαίνεται να στοχεύει μεγάλες εταιρίες τύπου Google, Facebook που εφαρμόζουν τεχνικές big data, αλλά αυτό δεν σημαίνει ότι και μικρότερες επιχειρήσεις με σχετικά μικρό πελατολόγιο μπορούν να το αγνοήσουν χωρίς συνέπειες.

Οι λέξεις κλειδιά του GDPR είναι η διαφάνεια και η συγκατάθεση. Ο χρήστης πρέπει να γνωρίζει ποιος έχει ποια προσωπικά του δεδομένα, τι κάνει με αυτά, και να μπορεί να τα διαχειριστεί ή να τα διαγράψει κατά βούληση. Οι επιχειρήσεις πρέπει ακόμη να ενημερώνουν για πόσο καιρό αποθηκεύουν τα δεδομένα αυτά.
Η συγκατάθεση πρέπει να δίνεται ενεργά, πχ πατώντας ένα κουμπί ή τσεκάροντας ένα checkbox και πρέπει να δηλώνεται ο σκοπός και η χρήση που πρόκειται να γίνει στα δεδομένα. Αν πχ ένας υποψήφιος πελάτης κάνει ένα ερώτημα μέσω μίας φόρμας του εταιρικού site, αυτό δεν μας δίνει το δικαίωμα να τον βάλουμε στη λίστα email marketing.
Επίσης συγκατάθεση που να μπορεί να επαληθευτεί πρέπει να δίνεται από γονείς / κηδεμόνες όταν συλλέγονται προσωπικά δεδομένα ανηλίκων.
Η συγκατάθεση μπορεί να αποσυρθεί ανά πάσα στιγμή.

Συμμόρφωση

Αν έχετε παρατηρήσει θα έχετε λάβει ήδη κάποιο email από όλες τις μεγάλες (και μικρότερες) εταιρίες του διαδικτύου στις οποίες έχετε κάποιο λογαριασμό, όπου ενημερώνουν για και ζητούν την αποδοχή της νέας πολιτικής ιδιωτικότητας και τυχόν νέων Όρων και Προϋποθέσεων. Αυτές οι ενημερώσεις έχουν να κάνουν με την πολιτική General Data Protection Regulation. Το email για το νέο privacy policy που μας ήρθε από το Tumblr. Βλέπουμε ότι αναφέρει και όριο ηλικίας.

Ειδοποίηση για νέο privacy policy με συμμόρφωση στο gdpr από το tumblr

WORDPRESS – WOOCOMMERCE

Γενικά το GDPR έχει ιδιαίτερο ενδιαφέρον για ιδιοκτήτες και διαχειριστές ηλεκτρονικών καταστημάτων καθώς αυτά κάνουν άμεσες οικονομικές συναλλαγές συλλέγοντας προσωπικά δεδομένα. Όλες οι μεγάλες εταιρίες όπως πχ η Automattic για WordPress Woocommerce έχουν ήδη προετοιμάσει τις πλατφόρμες – προϊόντας τους ώστε να συμμορφώνονται με τη νέα νομοθεσία.
Ακόμα κι έτσι όμως κάθε eshop είναι μία μοναδική περίπτωση με το δικό του στήσιμο, plugins, τρόπους αποστολής, πληρωμής κλπ ώστε ο κάθε υπεύθυνος να λάβει τα απαραίτητα μέτρα συμμόρφωσης.
Τα σημεία που ένα WordPress Woocommerce website συλλέγει δεδομένα χρηστών είναι:

  • σελίδες εγγραφής χρηστών
  • σχόλια
  • σελίδες επικοινωνίας
  • λύσεις μετρήσεων (analytics, traffic logs)
  • εργαλεία και plugins που κάνουν καταγραφές πχ plugins ασφαλείας
  • Woocommerce Όροι & Προϋποθέσεις / Πολιτική Ιδιωτικότητας (σελίδα checkout)
  • Woocommerce εγγραφή χρήστη (σελίδα My Account)
  • Woocommerce αξιολογήσεις προϊοντων (σελίδα Single Product)
  • Ειδοποιήσεις παραβίασης ασφαλείας
GDPR Woocommerce settings page

Privacy Policy – Terms & Conditions

Η Πολιτική Ιδιωτικότητας και οι Όροι και Προϋποθέσεις αποκτούν κεντρική σημασία στον κανονισμό GDPR καθώς πρέπει να αντικατοπτρίζουν τις απαιτήσεις του νέου κανονισμού.
Στην Πολιτική Ιδιωτικότητας πρέπει να αναφέρεται ρητά η ονομασία της επιχείρησης, ποια δεδομένα συλλέγει, για ποιό λόγο τα συλλέγει, τι κάνει με αυτά τα δεδομένα, αν τα μοιράζεται με τρίτους, τα δικαιώματα του χρήστη που παρέχει τα προσωπικά του δεδομένα κλπ. Οι Όροι και Προϋποθέσεις περιλαμβάνουν τους συμβατικούς όρους και κανονισμούς που διέπουν τη συνεργασία με τον (υποψήφιο) πελάτη.
Αυτές οι σελίδες πρέπει να υπάρχουν και να συνδέονται μεταξύ τους, καθώς και να είναι ορατές σε κάθε σημείο της συναλλαγής με το eshop ή την εταιρική σελίδα για αυτό καλό είναι να μπουν σε κάποιο generic template πχ header.php, footer.php, sidebar.php για να είναι ορατά σε κάθε σελίδα του ιστοτόπου.

GDPR Woocommerce privacy policy terms and conditions

Οπωσδήποτε η πολιτική ιδιωτικότητας (privacy policy) πρέπει να καλύπτει:

  • Ονομασία εταιρίας ή φυσικού προσώπου (διεύθυνση, στοιχεία επικοινωνίας κλπ)
  • Τι δεδομένα συλλέγεις (IP, όνομα, email, τηλέφωνο, φυσική διεύθυνση κλπ)
  • Για ποιο λόγο συλλέγεις τα δεδομένα (πραγματοποίηση οικονομικών συναλλαγών, τιμολόγηση, αποστολή, ενημέρωση κλπ)
  • Για πόσο καιρό διατηρείς τα δεδομένα (πχ στοιχεία τιμολογίων τουλάχιστον για 5 χρόνια κλπ)
  • Με ποιους τρίτους τα μοιράζεσαι (πχ MailChimp, Google, Twitter, CRM κλπ)
  • Πώς μπορεί ο χρήστης να κάνει download τα δεδομένα του (πχ με email, ή επικοινωνία με τον υπεύθυνο προστασίας δεδομένων)
  • Πώς μπορεί ο χρήστης να διαγράψει τα δεδομένα του
  • Στοιχεία επικοινωνίας για να μπορεί ο χρήστης να επικοινωνήσει συγκεκριμένα για τα δεδομένα του

Επίσης η συγκατάθεση του χρήστη πρέπει να είναι ενεργητική δηλαδή να κάνει ο ίδιος κλικ σε κάποιο πεδίο checkbox και όχι να είναι αυτό προεπιλεγμένο.
Το WordPress αυτή τη στιγμή δημιουργεί εργαλείο της μορφής document generator για την Πολιτική Ιδιωτικότητας που μάλλον θα βρίσκεται στο administration -> Tools -> Privacy Policy

Εγγραφή χρήστη Woocommerce

Όλοι γνωρίζουμε ότι για να ολοκληρώσουμε μία συναλλαγή σε eshop πρέπει να δώσουμε τα στοιχεία μας δημιουργώντας έναν λογαριασμό χρήστη.
Η σελίδα Ο Λογαριασμός μου του Woocommerce έχει μία φόρμα εγγραφής με username / password. Καθώς αυτά είναι προσωπικά δεδομένα πρέπει να δείξουμε το privacy policy στο front end όπως και με τη σελίδα checkout.
Μπορούμε σχετικά εύκολα χρησιμοποιώντας τα Woocommerce registration form hooks να εισάγουμε κάποιο πεδίο τύπου checkbox στη φόρμα εγγραφής για να πάρουμε την ενεργητική συγκατάθεση του χρήστη για τη χρήση των προσωπικών του δεδομένων. Σε κάθε περίπτωση θα πρέπει να διευκρινίζουμε ότι πρόκειται για τα ελάχιστα απολύτως απαραίτητα δεδομένα για τη διενέργεια της συναλλαγής.

gdpr woocommerce user registration by longtail interactive

Εγκατάλειψη καλαθιού αγορών Woocommerce

Αυτή η λειτουργία του Woocommerce θα επηρεαστεί πολύ καθώς ήταν πολύ συνηθισμένη – και πολύ αποτελεσματική για το conversion rate – η πρακτική να αποστέλεται email στον χρήστη που δεν είχε ολοκληρώσει την αγορά, με την υπενθύμιση των προϊόντων του καλαθιού, ή με επιπλέον προτάσεις, επεξηγήσεις, βοήθεια κλπ. Όταν ο χρήστης έφτανε στη σελίδα checkout και δεν ολοκλήρωνε την πληρωμή είχε ήδη εισάγει το email του, χωρίς μέχρι τώρα να υπήρχε υποχρέωση από την πλευρά του eshop να του δώσει τη δυνατότητα για ενεργή συγκατάθεση στους Όρους και Προϋποθέσεις και την Πολιτική Ιδιωτικότητας.
Αν και οι δημιουργοί των plugins που διαχειρίζονται τα εγκατελειμμένα καλάθια αγορών βρίσκονται ήδη σε διαδικασία υλοποίησης του κανονισμού GDPR, μπορούμε με τα action και filter hooks του Woocommerce να εισάγουμε πεδία για να πάρουμε τη συγκατάθεση του χρήστη.

Το θέμα είναι ότι όλη η εμπειρία έχει δείξει ότι σε ένα eshop αυτό που βοηθάει πραγματικά τις πωλήσεις είναι η αγορά με όσο το δυνατόν λιγότερα βήματα (για παράδειγμα το one-click checkout της Amazon) και η όσο το δυνατόν ευκολότερη (με πολλές επιλογές) πληρωμή.
Εδώ για να συμμορφωθούμε με το GDPR πρέπει να Απενεργοποιήσουμε το ταμείο επισκεπτών που είναι ό,τι χειρότερο για το conversion rate γιατί μετά ο κάθε επισκέπτης θα πρέπει πρώτα να δημιουργήσει λογαριασμό για να μπορέσει να προχωρήσει στη σελίδα checkout. Είναι θέματα που θα τα δούμε και στην πράξη πώς θα λυθούν, έτσι ώστε όλοι να έχουν κέρδος από τη νέα νομοθεσία.

gdpr woocommerce disable guest checkout not good for conversion rate by longtail interactive

Αξιολογήσεις προϊόντων Woocommerce

Οι αξιολογήσεις προϊόντων για τα eshops είναι πάρα πολύ σημαντικές για τις πωλήσεις, καθώς εισάγουν ένα πολύ βασικό στοιχείο αλληλεπιδραστικότητας και εμπειρίας των χρηστών. Φυσικά οι αξιολογήσεις περιλαμβάνουν προσωπικά δεδομένα. Και για αυτά χρειάζεται να φροντίσουμε να πάρουμε τη ρητή συγκατάθεση.
Στην περίπτωση του Woocommerce αρκεί στις Ρυθμίσεις να τσεκάρουμε ότι μόνο logged in users που έχουν κάνει ήδη αγορά μπορούν να κάνουν αξιολόγηση του προϊόντος. Αυτό είναι και το καλύτερο. Δεν είναι καλή πρακτική να το αφήσουμε ελεύθερο να μπορεί ο καθένας να κάνει αξιολόγηση.
Με αυτόν τον τρόπο όλη η διαδικασία για τα προσωπικά δεδομένα έχει γίνει από πιο πριν και δεν χρειάζεται να την επαναλάβουμε εδώ.

gdpr woocommerce product reviews by longtail interactive

Σχόλια WordPress

Συνήθως τα σχόλια στο WordPress απαιτούν τη συμπλήρωση πεδίων όπως όνομα, email, website url και φυσικά το ίδιο το σχόλιο οπότε μιλάμε για προσωπικά δεδομένα που η χρήση τους διέπεται από το GDPR. Επίσης το WordPress καταγράφει τη διεύθυνση IP του χρήστη και κάνει και χρήση cookies.
Φυσικά μπορούμε από τις ρυθμίσεις του WordPress να επιβάλλουμε ο χρήστης να είναι registered / loggedin για να κάνει σχολιασμό αλλά αυτό δεν θα βοηθήσει πολύ στη δημοφιλία του blog / site μας.

gdpr wordpress comments by longtail interactive

Opt-in forms, autoresponders κλπ

Είναι φόρμες, συχνά popups ή άλλου είδους banners που ζητούν συνήθως όνομα και email για να βάλουν τους χρήστες σε ένα mailing list είτε για να τους στέλνουν κάποιο newsletter και να τους κρατούν ενήμερους είτε παρέχουν κάποιο freebie με αντάλλαγμα τη διεύθυνση email για να το στείλουν.
Τα προσωπικά δεδομένα (πιο συχνά διευθύνσεις email) αποθηκεύονται είτε από την ίδια την επιχείρηση είτε από τρίτο πάροχο υπηρεσίας.
Οι χρήστες εφόσον αποφασίσουν να δώσουν προσωπικές πληροφορίες πρέπει να γνωρίζουν τα εξής:

  • Καταρχήν δίνουμε link προς το privacy policy
  • Αφαιρούμε όλα τα αυτόματα opt-ins. Για να παίρνει newsletter ο χρήστης πρέπει να δώσει ρητά και ενεργητικά τη συγκατάθεσή του
  • Πρέπει να γνωρίζει γιατί ζητούνται οι συγκεκριμένες πληροφορίες
  • Πρέπει να γνωρίζει πως ό,τι δίνει είναι πραγματικά απαραίτητο
  • Πρέπει να γνωρίζει πώς να κατεβάσει / διαγράψει τα δεδομένα του
  • Πρέπει να γνωρίζει πώς να αποεγγραφεί

Τα ίδια ισχύουν και για κάθε είδους φόρμα επικοινωνίας ή μηχανισμό καταγραφής.

Προγράμματα μετρήσεων analytics

Οι πληροφορίες που αντλούν αυτά τα προγράμματα εμπίπτουν στα προσωπικά δεδομένα και αν τα χρησιμοποιείτε συλλέγετε δεδομένα με χρήση cookies χωρίς συγκατάθεση. Το ίδιο ισχύει για κάθε είδους τρίτο API, πχ AdWords Remarketing, Facebook, Twitter κλπ.
Αυτό που συμβαίνει εδώ είναι ότι αυτοί οι τρίτοι συλλέγουν τα δεδομένα ΜΕΣΑ από εσάς. Για παράδειγμα αν χρησιμοποιείτε το Google Analytics ως πρόγραμμα μέτρησης επισκεψιμότητας σύμφωνα με το GDPR η Google είναι ο data processor και η δική σας επιχείρηση είναι ο data controller.
Από όσους οργανισμούς χρησιμοποιείτε APIs και υπηρεσίες χρειάζεται να τους επισκεφθείτε και να διαβάσετε τις πληροφορίες για τη συμμόρφωση με τον κανονισμό GDPR.

Ειδοποιήσεις για παραβιάσεις ασφαλείας

Σύμφωνα με το GDPR αν ένας ιστότοπος δεχθεί κάποιου είδους παραβίαση ασφαλείας που να αφορά τα προσωπικά δεδομένα των χρηστών του, πρέπει να τους ειδοποιήσει εντός 72 ωρών.
Αυτό θεωρείται ότι συμβαίνει όταν:

  • ένας μη εγκεκριμένος data processor αποκτά πρόσβαση στα δεδομένα
  • πρόσβαση στα δεδομένα αποκτά οποιοσδήποτε οργανισμός δεν συμμορφώνεται στο GDPR
  • οποιοσδήποτε τρίτος χωρίς γνώση των ίδιων των χρηστών
  • παραβίαση ασφαλείας server / εφαρμογής από εισβολέα (hacker, cracker κλπ)

Επιπλέον ως επιχείρηση πρέπει να έχετε ήδη σχέδιο αντιμετώπισης παραβιάσεων ασφαλείας.

To Do List

  • Πάρτε το website σας στα σοβαρά. Δώστε τον σχεδιασμό και υλοποίηση του σε επαγγελματίες.
  • Αγοράστε ένα καλό πακέτο φιλοξενίας. Κατά προτίμηση managed hosting για να έχετε το κεφάλι σας ήσυχο και για την εφαρμογή εκτός από τον server.
  • Εγγραφείτε με email / RSS σε όλα τα newsletters / blogs κλπ των τρίτων παρόχων που χρησιμοποιείτε ώστε να ενημερωθείτε πρώτοι για τυχόν παραβιάσεις, προβλήματα ασφαλείας, επείγουσες ενημερώσεις κλπ.

Συμπληρωματικές Ενέργειες

Θα το έχετε σίγουρα παρατηρήσει, όλοι οι μεγάλοι οργανισμοί του Internet που είστε εγγεγραμμένοι, έχετε κάποιο email, συμμετοχή σε κάποιο μέσο κοινωνικής δικτύωσης κλπ, έχουν στείλει emails τον τελευταίο καιρό ζητώντας να δεχτούμε τα νέα Terms & Conditions και privacy policies. Και μπορεί να είμαστε χρόνια εγγεγραμμένοι σε αυτά.
Συνεπώς όπως βλέπουμε το GDPR είναι αναδρομικό, ισχύει και για τους ήδη υπάρχοντες χρήστες, πελάτες, συνδρομητές, οποιουδήποτε τα προσωπικά δεδομένα έχουμε στην κατοχή μας.
Πρέπει λοιπόν να στείλουμε κάποιο μαζικό email / newsletter ζητώντας εκ νέου την αποδοχή της χρήσης των προσωπικών τους δεδομένων σύμφωνα με το GDPR.
Επιπλέον καθίσταται από δύσκολη έως αδύνατη η χρήση γκρίζων πρακτικών μάρκετινγκ όπως η αγορά mailing lists και γενικά το ενοχλητικό μάρκετινγκ χωρίς τη συγκατάθεση του χρήστη.

ΠΗΓΕΣ

Sharing is caring!