GDPR Checklist
Ο σκοπός αυτού του άρθρου, είναι να σε βοηθήσουμε να μην χαθείς στην προσπάθειά σου να γίνεις GDPR-compliant! Οι περισσότεροι πελάτες μας, είναι μικρομεσαίες επιχειρήσεις που έχουν ζαλιστεί από την πληροφορία σχετικά με το GDPR. Άσχετα με το εάν απασχολείς 1 άτομο ή 100, το GDPR “σε πιάνει” ενώ φαίνεται μάλιστα πως οι μικρές επιχειρήσεις είναι και αυτές που δεν διαθέτουν την τεχνογνωσία και τους πόρους να συμμορφωθούν με τον νέο κανονισμό και άρα δυσκολεύονται περισσότερο με την όλη διαδικασία. Ανεξάρτητα από το μέγεθος της επιχείρησης λοιπόν, οι αλλαγές μπαίνουν σε εφαρμογή και όλοι όσοι διαθέτουμε πρόσβαση ή επεξεργαζόμαστε δεδομένα, πληροφορίες για οποιοδήποτε ανθρώπινο πλάσμα, θεωρούμαστε στα μάτια του Ευρωπαϊκού Κανονισμού “Data Controllers”!
[Ακούγεται ωραίο, είναι λίγο μπελάς]
GDPR CHECKLIST
- Δημιουργήστε έναν φάκελο συμμόρφωσης προστασίας δεδομένων στο σύστημα της εταιρείας σας, ώστε να υπάρχει βάση για την απόδειξη της συμμόρφωσής σας και σημειώστε εκεί κάθε βήμα που παίρνετε προς την συμμόρφωση και που θα μπορούσε σε κάποια ατυχή περίπτωση να χρησιμοποιηθεί προς υπεράσπισή σας.
- Ορίστε έναν data protection officer που θα είναι υπεύθυνος για τη διαδικασία.
- Χαρτογραφήστε το που βρίσκονται τα δεδομένα που συλλέγετε από του χρήστες σας και χωρίστε τα ανα κατηγορία (data mapping).
- Εντοπίστε και καταγράψτε τους νομικούς λόγους για τους οποίους χρειάζεστε την κάθε πληροφορία που συλλέγετε.
- Ανανεώστε την συγκατάθεση από μέρους των χρηστών και τσεκάρετε πως και τρίτες εφαρμογές που χρησιμοποιείτε (πχ plugins στο website σας που κρατούν email πελάτων κοκ ή επεξεργαστές τύπου Mailchimp) είναι επίσης compliant. Επικοινωνήστε με όλη την βάση δεδομένων σας πριν την 25η Μαίου 2018 και ζητήστε τους να επανεπιβεβαιώσουν τη συγκατάθεσή τους και τον τρόπο αποστολής σε αυτούς ενημερωτικού υλικού (δες παρακάτω ενότητα).
- Κρατήστε αρχείο της συναίνεσης αυτής.
- Προσθέστε στους όρους χρήσης σας έναν τρόπο για να διαχειρίζεστε σχετικά αιτήματα και μια διαδικασία διαγραφής ή ενημέρωσης των στοιχείων που σας παρέχονται.
- Σημειώστε τυχόν κενά ασφαλείας που εντοπίζετε.
- Ξεφορτωθείτε τα περιττά δεδομένα. Ορίστε ένα χρονικό όριο, μέχρι εκεί που τα δεδομένα σάς είναι χρήσιμα και μετά καθορίστε μία διαδικασία καταστροφής τους.
- Εκπαιδεύστε το προσωπικό σας ώστε να κατανοεί τι συνιστά προσωπικό δεδομένο και πως να αποφεύγουν τυχόν απάτες μέσω διαδικτύου.
- Στην ατυχή περίπτωση που πέσετε θύμα απάτης και κλοπής, καλό είναι να έχετε ήδη συστήσει μία πολιτική για τέτοιου είδους παραβιάσεις.
- Φροντίστε το website σας να ειναι HTTPS (security by design)
- Φροντίστε οι υπολογιστές στα γραφεία σας να είναι encrypted (security by design) και κρατήστε ένα αρχείο όλων των υπολογιστών (serial numbers) σε περίπτωση που πρέπει να αποδείξετε κλοπή, ανεξάρτητα από το περιεχόμενο στο οποίο έχουν πρόσβαση.
- Περιορίστε την πρόσβαση σε ευαίσθητα δεδομένα ανά συσκευή επιχείρησης.
- Ενημερώστε την πολιτική ασφαλείας σας στο website σας (privacy policy) ώστε να περιλαμβάνει όλες τις σχετικές πληροφορίες όπως και το ποιά cookies χρησιμοποιείτε στο website και δώστε την δυνατότητα στους χρήστες να επιλέξουν να μην κρατούνται.
- Συμβουλευτείτε τον νομικό σας σύμβουλο καθώς το μέγιστο πρόστιμο μη συμμόρφωσης μπορεί να είναι από 20.000€ έως το 4% του τζίρου –όποιο είναι μεγαλύτερο(!)
IN SHORT: Πως να γίνει η εταιρεία σας GDPR – compliant
- Πρέπει να ξέρεις τι είδους πληροφορίες συγκεντρώνεις, που αυτές αποθηκεύονται και πως διαχειρίζονται. Ακόμη και για μικρότερες επιχειρήσεις, οφείλεις να γνωρίζεις τι είναι το data mapping.
- Χρειάζεσαι τη ρητή συγκατάθεση των πελατών σου ακόμη κι αν στο παρελθόν την έχουν δώσει, για να συνεχίσεις να επικοινωνείς μαζί τους και να διαχειρίζεσαι τα δεδομένα τους.
- Οι υπάλληλοι και το προσωπικό της εταιρείας, πρέπει να γνωρίζουν τι πρέπει να κάνουν και τι όχι. Ειδικότερα, όσοι από αυτούς έρχονται σε επαφή με προσωπικά δεδομένα, λίστες χρηστών, επικοινωνίας, μέλη κοκ.
ΕΠΙΚΟΙΝΩΝΙΑΚΑ: E-MAIL MARKETING & NEWSLETTER COMPLIANCE 1.01
Όπως ήδη θα εμπέδωσες από τα παραπάνω, η επικοινωνία σου με τους πελάτες, οφείλει επίσης να τηρεί κάποιες στοιχειώδεις προϋποθέσεις. Αν δεν είσαι πελάτης μας, φρόντισε άμεσα για τα εξής:
- Οι φόρμες εγγραφής νέων μελών να είναι GDPR – compliant ώστε οι χρήστες να δίνουν ξεκάθαρη συναίνεση ως προς τους όρους χρήσης των δεδομένων τους κατά την αλληλεπίδραση με την επιχείρησή σου.
- Να ενημερωθούν τα σχετικά πεδία σε όλες τις embedded forms σε websites, social media
- Να γίνει re-confirmation των υπαρχόντων επαφών ανεξάρτητα με το εάν έχουν ήδη δώσει συγκατάθεσή τους στο παρελθόν (για την αποστολή ενημερωτικού υλικού πχ). Tip: Η χρήση μίας πλατφόρμας όπως το mailchimp, λύνει χέρια.
- Να ανανεωθούν οι όροι προστασίας (privacy) στο website ωστε να ειναι GDPR – compliant.