Σημαντική ενημέρωση όσον αφορά τους Όρους παροχής υπηρεσιών και την Πολιτική απορρήτου

Στο πλαίσιο του νέου Γενικού Κανονισμού για την Προστασία Δεδομένων, έχουμε προβεί σε ορισμένες ενημερώσεις στον ιστότοπό μας, προκειμένου να σας βοηθήσουμε να κατανοήσετε καλύτερα πώς συλλέγουμε και διαχειριζόμαστε τα δεδομένα σας.

Οι νέοι Όροι παροχής υπηρεσιών, καθώς και οι νέοι όροι Πολιτικής απορρήτου είναι σε ισχύ από την 25η Μαΐου 2018.

Εάν συνεχίσετε να χρησιμοποιείτε τα προϊόντα και τις υπηρεσίες μας και μετά από την 25η Μαΐου 2018, δηλώνετε ότι συμφωνείτε και αποδέχεστε τους νέους Όρους παροχής υπηρεσιών και την από μέρους μας χρήση των δεδομένων σας, σύμφωνα με την Πολιτική απορρήτου.

Εάν δεν επιθυμείτε να υπαχθείτε στους νέους Όρους παροχής υπηρεσιών και τη νέα Πολιτική απορρήτου, μπορείτε να επιλέξετε να ακυρώσετε τον τυχόν λογαριασμό σας και να διακόψετε τη χρήση των υπηρεσιών μας πριν από τις 25 Μαΐου 2018.

Ανατρέξτε για περισσότερες λεπτομέρειες στους νέους Όρους παροχής υπηρεσιών, τη νέα πολιτική απορρήτου, τους Όρους παροχής υπηρεσιών  για την εξ αποστάσεως παραγγελίας σας των προϊόντων μαςγια την πολιτική των Cookies και πως τα χρησιμοποιούμε, καθώς και τις αντίστοιχες αλλαγές τους.

Σας ευχαριστούμε για τη διαρκή σας εμπιστοσύνη και υποστήριξη.

Θέλουμε να είναι ξεκάθαρο στους πελάτες μας ότι
  • Δεν πουλάμε προσωπικά δεδομένα.
  • Δεν κοινοποιούμε προσωπικά δεδομένα εκτός αν αναγκαστούμε από τον νόμο.
  • Zητάμε μόνο προσωπικά στοιχεία τα οποία είναι απαραίτητα για την παροχή των υπηρεσιών μας , ενημέρωσή και διαδικασία παραγγελίας.

Ασφάλεια Συναλλαγών

1. Πρωτόκολλο TLS

Η ΕΤΑΙΡΕΙΑ αναγνωρίζει τη σημασία του θέματος της ασφαλείας των Προσωπικών Δεδομένων, καθώς και των ηλεκτρονικών συναλλαγών και έχει λάβει όλα τα απαραίτητα μέτρα, με τις πιο σύγχρονες και προηγμένες μεθόδους, ώστε να εξασφαλίζεται η μέγιστη δυνατή ασφάλεια. Όλες οι πληροφορίες, οι οποίες σχετίζονται με τα προσωπικά στοιχεία των χρηστών, διασφαλίζονται ως απόρρητες. Το www.magika.gr (εφεξής το «Site») χρησιμοποιεί το πρωτόκολλο TLS, με κρυπτογράφηση 128-bit, για ασφαλείς online εμπορικές συναλλαγές. Με αυτόν τον τρόπο κρυπτογραφούνται όλες οι προσωπικές πληροφορίες του Χρήστη, συμπεριλαμβανομένου του αριθμού της πιστωτικής κάρτας, του ονόματος και της διεύθυνσης του Χρήστη, έτσι ώστε να μην μπορούν να αποκρυπτογραφηθούν ή να αλλαχθούν κατά την μεταφορά τους στο Internet. 

Το πρωτόκολλο TLS (Transport Sockets Layer), είναι ο διάδοχος του διαδεδομένου SSL και σήμερα είναι το παγκόσμιο standard στο διαδίκτυο για την διασφάλιση της σωστής κρυπτογραφημένης επικοινωνίας μεταξύ δικτυακών τόπων (web sites) και δικτυακών χρηστών, για την ασφαλή μεταφορά κρυπτογραφημένων στοιχείων μεταξύ των δικτυακών χρηστών και των δικτυακών εξυπηρετητών (web servers). Μία κρυπτογραφημένη TLS/SSL επικοινωνία απαιτεί όλες τις πληροφορίες που αποστέλλονται μεταξύ ενός Χρήστη και ενός εξυπηρετητή (server) να κρυπτογραφούνται από το λογισμικό αποστολής και να αποκρυπτογραφούνται από το λογισμικό αποδοχής σε συνεργασία με μια παγκόσμια αποδεκτή αρχή πιστοποιητικού, προστατεύοντας με αυτό τον τρόπο τις προσωπικές πληροφορίες κατά τη μεταφορά τους. Επιπλέον, όλες οι πληροφορίες που αποστέλλονται με τα πρωτόκολλα TLS/SSL, προστατεύονται από έναν μηχανισμό που αυτόματα εξακριβώνει εάν τα δεδομένα έχουν αλλαχτεί κατά την μεταφορά. 

Όλα τα άνωθεν περιλαμβάνονται στην διαδικασία διασφάλισης των πληροφοριών που τηρεί η ΕΤΑΙΡΕΙΑ η οποία είναι πιστοποιημένη κατά PCI DSS, ένα πρότυπο που απευθύνεται σε οργανισμούς οι οποίοι διαχειρίζονται ευαίσθητες πληροφορίες όπως στοιχεία πιστωτικών καρτών, στοιχεία Α.Τ. κλπ 

Σύμφωνα με αυτό το πρότυπο κατά το οποίο η ΕΤΑΙΡΕΙΑ καλείται να πιστοποιείται ετησίως, όλες οι ευαίσθητες πληροφορίες οφείλουν να διαχειρίζονται με γνώμονα την ασφάλεια των συναλλαγών τόσο στις διαδικασίες όσο και στα συστήματα πληροφορικής. Πιο συγκεκριμένα η διαδικασία απαιτεί σε γενικές γραμμές τα ακόλουθα:

Στόχοι ΕλέγχουΑπαιτήσεις Προτύπου PCI DSS
Ασφαλές Δίκτυο- Εφαρμογή τείχους προστασίας για την προστασία δεδομένων των χρηστών 
- Παραμετροποίηση και εφαρμογή κυλιόμενων κωδικών προσβάσεων
Προστασία Χρήστη- Προστασία των αποθηκευμένων δεδομένων των πελατών 
- Κρυπτογράφηση μετάδοσης δεδομένων των ευαίσθητων δεδομένων καθώς και των συναλλαγών κατά την επικοινωνία μέσω ανοιχτών δημόσιων δικτύων (internet)
Διατήρηση Διαδικασίας Ευπαθειών- Αυστηρή χρήση και Τακτική ενημέρωση των συστημάτων antivirus σε όλα τα ευπαθή συστήματα. 
- Ανάπτυξη και διαχείριση ασφαλών συστημάτων
Ισχυρά Μέτρα Ελέγχου Πρόσβασης- Περιορισμός πρόσβασης σε πληροφορίες πελατών μόνο σε αρμόδια στελέχη 
- Παραχώρηση συγκεκριμένων δικαιωμάτων και αναγνωριστικών σε αρμόδια στελέχη 
- Περιορισμός της πρόσβασης στα ευαίσθητα στοιχεία χρεώσεων του Χρήστη, σε φυσικό επίπεδο
Τακτικός Έλεγχος Δικτύου- Έλεγχος και εντοπισμός όλων των προσβάσεων σε επίπεδο δικτύου 
- Τακτικοί έλεγχοι ασφάλειας διαδικασιών & συστημάτων
Διατήρηση Πολιτικής Ασφάλειας Δεδομένων- Δημιουργία & Διατήρηση ενιαίας πολιτικής ασφάλειας δεδομένων τόσο στις διαδικασίες όσο και στα συστήματα

2. Αναγνώριση Χρήστη

Τα στοιχεία που χρησιμοποιούνται για την αναγνώρισή του Χρήστη είναι δύο: ο Κωδικός Εισόδου (Username) και ο Προσωπικός Μυστικός Κωδικός Ασφαλείας (Password). Κάθε φορά που ο Χρήστης καταχωρεί τα στοιχεία του, του παρέχεται πρόσβαση στον προσωπικό του λογαριασμό. Η συγκεκριμένη διαδικασία επιτυγχάνεται με ασφάλεια τόσο λόγω της κρυπτογράφησης των στοιχείων κατά την μεταφορά τους στο διαδίκτυο, όσο και της κρυπτογράφησης των στοιχείων στους εξυπηρετητές (servers) της ΕΤΑΙΡΕΙΑΣ. Κατά τα ίδια πρότυπα, δίνεται στον Χρήστη η δυνατότητα να μεταβάλλει τον Προσωπικό Μυστικό Κωδικό Ασφαλείας (Password) όσο συχνά επιθυμεί. Μετά την καταχώρηση του επιθυμητού κωδικού, ο κωδικός κωδικοποιείται και αποθηκεύεται στα συστήματα της ΕΤΑΙΡΕΙΑΣ για την επιτυχία της μέγιστης ασφάλειας. Για τον λόγο αυτό, ο μόνος που γνωρίζει τον κωδικό Χρήστη είναι ο ίδιος και είναι αποκλειστικά υπεύθυνος για την διατήρηση της μυστικότητάς των κωδικών αυτών από τρίτα πρόσωπα. Η ΕΤΑΙΡΕΙΑ δεν είναι σε θέση να γνωρίζει τον μυστικό κωδικό Χρήστη/Χρήστη, παρά μόνο να τον επανατοποθετήσει (reset). Σε περίπτωση απώλειας του ή διαρροής του εν λόγω κωδικού, ο Χρήστης θα πρέπει να προβεί στην άμεση ειδοποίηση της ΕΤΑΙΡΕΙΑΣ, αλλιώς η τελευταία δεν ευθύνεται για την χρήση του μυστικού κωδικού από μη εξουσιοδοτημένο πρόσωπο. Το ηλεκτρονικό κατάστημα Public.gr της ΕΤΑΙΡΕΙΑΣ με κανέναν τρόπο δεν αποκαλύπτει ή δημοσιοποιεί τα προσωπικά δεδομένα και τις πληροφορίες των Χρηστών. Τα προσωπικά δεδομένα χρησιμοποιούνται αποκλειστικά για την καλή εκτέλεση των συναλλαγών. Όλες οι πληροφορίες κρυπτογραφούνται και φυλάσσονται με απόλυτη ασφάλεια.

Προστασία Προσωπικών Δεδομένων

Όταν ο Χρήστης επισκέπτεται το Site ή όταν ο Χρήστης προβαίνει σε αγορές, είναι απαραίτητο να παρέχει ορισμένες πληροφορίες (όνομα, επάγγελμα, ηλεκτρονική διεύθυνση, διεύθυνση κατοικίας, σταθερό τηλέφωνο, κινητό τηλέφωνο κλπ.) που σχετίζονται με Προσωπικά Δεδομένα, οι οποίες θα τύχουν επεξεργασίας αυτομάτως και θα ενσωματωθούν σε αυτοματοποιημένα αρχεία, τα οποία προηγουμένως έχουν γνωστοποιηθεί στην αρμόδια Αρχή και για τα οποία η ΕΤΑΙΡΕΙΑ τυγχάνει Υπεύθυνος Επεξεργασίας σύμφωνα με το Ν. 2472/1997.

Ο Χρήστης εγγυάται και φέρει την ευθύνη για την αλήθεια, ακρίβεια, εγκυρότητα, γνησιότητα, συνάφεια και προσφορότητα των Προσωπικών Δεδομένων που γνωστοποιεί στην ΕΤΑΙΡΕΙΑ. 


H ΕΤΑΙΡΕΙΑ έχει αναπτύξει νόμιμα μέτρα προστασίας στις εγκαταστάσεις, τα συστήματα και τα αρχεία της και εγγυάται την εμπιστευτικότητα των Προσωπικών Δεδομένων, ωστόσο δύναται να αποκαλύψει στις αρμόδιες Δημόσιες Αρχές Προσωπικά Δεδομένα ή οποιεσδήποτε άλλες πληροφορίες που κατέχει ή είναι προσβάσιμες μέσω των συστημάτων της, εφόσον αυτό υπαγορεύεται από κάποια εφαρμοστέα διάταξη νόμου. 


Επιπλέον, η ΕΤΑΙΡΕΙΑ επιφυλάσσεται του δικαιώματος της να ενημερώνει τους προμηθευτές της με στατιστικές καταστάσεις πωλήσεων, οι οποίες όμως σε καμία περίπτωση δεν θα περιέχουν προσωπικά στοιχεία που μπορεί να οδηγήσουν σε αναγνώριση ατόμων. 


Σκοπός: Η συλλογή και η αυτοματοποιημένη επεξεργασία των Προσωπικών Δεδομένων έχει ως σκοπό την καταγραφή της συμβατικής σχέσης με την ΕΤΑΙΡΕΙΑ, τον έλεγχο, βελτίωση και προσαρμογή σε προτιμήσεις και επιλογές σχετικά με προϊόντα και υπηρεσίες και την αποστολή με ηλεκτρονικά ή παραδοσιακά μέσα διοικητικών, τεχνολογικών, οργανωτικών και / ή εμπορικών πληροφοριών για προϊόντα και υπηρεσίες της ΕΤΑΙΡΕΙΑΣ. 


Συγκατάθεση Χρήστη: Ο Χρήστης συναινεί και αποδέχεται την επικείμενη επεξεργασία των στοιχείων των προσωπικών του δεδομένων για τις ανάγκες της ομαλής και ευχερούς μεταξύ των μερών συναλλαγής και έτσι παρέχει την ρητή συγκατάθεσή του στην συλλογή και επεξεργασία Προσωπικών Δεδομένων, όπως περιγράφεται παραπάνω. Η ΕΤΑΙΡΕΙΑ μπορεί επίσης να μεταβιβάζει Προσωπικά Δεδομένα σε εταιρείες ή ατομικές επιχειρήσεις εγκατεστημένες στην Ελλάδα ή σε άλλες χώρες της Ευρωπαϊκής Ένωσης προκειμένου οι τελευταίες να παράσχουν στην ΕΤΑΙΡΕΙΑ οποιεσδήποτε υπηρεσίες σε σχέση με τους παραπάνω σκοπούς, συμπεριλαμβανομένων χωρίς περιορισμό υπηρεσιών άμεσης εμπορίας ή διαφήμισης. Ο Χρήστης παρέχει τη ρητή συγκατάθεσή του και στη διαβίβαση ή γνωστοποίηση των δεδομένων που περιλαμβάνονται στα αρχεία προς τους παραπάνω αναφερόμενους αποδέκτες. Σε κάθε περίπτωση η ΕΤΑΙΡΕΙΑ εγγυάται την εμπιστευτικότητα και ασφάλεια των Προσωπικών Δεδομένων κατά τη διαδικασία διαβίβασης και μεταφοράς τους που μπορεί να λάβει χώρα. 


Δικαίωμα πρόσβασης/εναντίωσης: Σε οποιαδήποτε στιγμή ο Χρήστης έχει το δικαίωμα πρόσβασης στο αρχείο, διόρθωσης, διαγραφής και προβολής αντιρρήσεων οποτεδήποτε σχετικά με την επεξεργασία δεδομένων που τον αφορούν. Εξάλλου, η συγκατάθεση του Χρήστη μπορεί να ανακληθεί σε οποιαδήποτε στιγμή. Για τον λόγο αυτό μπορεί να αποστείλει επιστολή στην διεύθυνση της ΕΤΑΙΡΕΙΑΣ (28ης Οκτωβρίου 22 Μαρουσι ) ή να στείλει e-mail στην ακόλουθη διεύθυνση: streetmagicstore@gmail.com

Χρήση Προσωπικών Δεδομένων για προωθητικές ενέργειες: Η ΕΤΑΙΡΕΙΑ παρέχει τη δυνατότητα στους χρήστες και σε όσους διενεργούν αγορές μέσω του Site να επιλέξουν την πληροφόρησή τους για τα νέα προϊόντα που διαθέτει στην αγορά και για άλλες τυχόν προσφορές, διακανονισμούς πληρωμής κλπ με την αποστολή διαφημιστικών - ενημερωτικών μηνυμάτων στην ηλεκτρονική ή ταχυδρομική τους διεύθυνση ή δια του τηλεφώνου.

Η ΕΤΑΙΡΕΙΑ δεν θα χρησιμοποιήσει καταχρηστικά την παραπάνω υπηρεσία. Δίδεται δε πάντοτε στους χρήστες η δυνατότητα διακοπής της λήψης διαφημιστικών μηνυμάτων.Επιπλέον, η ΕΤΑΙΡΕΙΑ δύναται να χρησιμοποιήσει το ιστορικό πλοήγησης του Χρήστη στο Site της για προωθητικές ενέργειες σε άλλους ιστότοπους εκτός του Site της.

Cookies

Αυτό το Site χρησιμοποιεί τεχνολογίες, όπως «cookies» και «pixel tags». Με την πλοήγηση του Χρήστη στο Site, ο Χρήστης συμφωνεί στη δημιουργία και τη χρήση αυτών. Εάν ο Χρήστης δεν επιθυμεί την χρήση των cookies μπορεί, είτε να τα απενεργοποιήσει, είτε να αποφύγει την πλοήγηση στο Site. 

Τα «cookies» είναι μικρά κομμάτια αρχείων σε μορφή κειμένου, τα οποία αποθηκεύονται στον περιηγητή (browser) του Χρήστη όταν επισκέπτεται έναν ιστότοπο. Οι πληροφορίες οι οποίες αποθηκεύονται στον υπολογιστή του Χρήστη μπορεί να περιέχουν στοιχεία όπως ποιες είναι οι σελίδες που επισκέφτηκε ο Χρήστης, την ημερομηνία και την ώρα της επίσκεψης καθώς και κάποιον τυχαίο και μοναδικό αριθμό αναγνώρισης του Χρήστη. Με την χρήση αυτή, το Site είναι σε θέση να αποθηκεύσει χρήσιμες πληροφορίες για την περιήγηση του Χρήστη στο Site, καθώς και να διαβάσει τις πληροφορίες αυτές ώστε να προσφέρει στον Χρήστη μια ενοποιημένη εμπειρία περιήγησης. 

Τα cookies χρησιμεύουν σε ενέργειες όπως ενδεικτικά αναφέρονται οι παρακάτω:
- Στην διατήρηση της ασφάλειας του Χρήστη, καθώς και την ευκολία περιήγησης του στο Site. Σε οποιοδήποτε σημείο κρίνεται απαραίτητη η καταχώρηση προσωπικών στοιχείων του Χρήστη (https protocol), τα cookies βοηθούν στο να ταυτιστούν και να μεταφερθούν τα στοιχεία της προηγούμενης πλοήγησής του από το περιβάλλον (http). Για παράδειγμα, με αυτό τον τρόπο ο Χρήστης μπορεί να πλοηγηθεί στο Site προσθέτοντας αντικείμενα στο καλάθι του, και αν χρειαστεί να υπάρξει επικοινωνία που περιλαμβάνει οποιοδήποτε προσωπικό στοιχείο (πχ αλλαγή προσωπικών στοιχείων, καταχώρηση παραγγελίας κλπ) αυτή να γίνει χωρίς την ενόχληση του ίδιου. 


- Στην αποθήκευση προσωπικών ρυθμίσεων και προτιμήσεων κατά την πλοήγηση στο Site. 
- Στο να αντιλαμβάνεται και να αξιολογεί η ΕΤΑΙΡΕΙΑ πως αντιδρά το κοινό της και πως χρησιμοποιεί το Site της, με σκοπό να βελτιώσει τις πληροφορίες αλλά και τον τρόπο που προσφέρει την εμπειρία πλοήγησης. Αυτές οι πληροφορίες βοηθούν την ΕΤΑΙΡΕΙΑ ώστε να μπορεί να προσφέρει στοχευόμενες υπηρεσίες βασισμένες ξεχωριστά στον κάθε Χρήστη. Για παράδειγμα, εάν ένας Χρήστης πλοηγηθεί σε κάποιο επιθυμητό προϊόν, μπορεί να παρακολουθήσει μια διαφήμιση για το αντίστοιχο προϊόν όταν περιηγείται αργότερα σε κάποιο ηλεκτρονικό τεχνολογικό περιοδικό ή blog. 
Οι περισσότεροι περιηγητές επιτρέπουν την διαγραφή των «cookies» και την αποτροπή της δημιουργίας τους για μελλοντική περιήγηση στο ίδιο Site. Θα πρέπει να σημειωθεί ωστόσο ότι με την αποτροπή αυτή ορισμένες λειτουργίες του Site δεν θα λειτουργούν ορθά.

Τι είναι το GDPR? Όλα όσα πρέπει να γνωρίζετε πριν τον Μάη του 2018

Παρακάτω θα γίνει μια εκτενής αναφορά για το τι είναι το GDPR General Data Protection Regulation (GDPR). Ο γενικός κανονισμός για την προστασία των δεδομένων της ΕΕ (GDPR) είναι αποτέλεσμα εργασίας τεσσάρων ετών της ΕΕ για την προσαρμογή της νομοθεσίας για την προστασία των δεδομένων σε νέους, παλαιότερους απρόβλεπτους τρόπους με τους οποίους χρησιμοποιούνται τα δεδομένα.

Τι είναι το GDPR;

Για παράδειγμα, το Ηνωμένο Βασίλειο βασίζεται στον νόμο περί προστασίας δεδομένων του 1998, ο οποίος εκδόθηκε μετά την οδηγία του 1995 για την προστασία των δεδομένων της ΕΕ, αλλά αυτό θα αντικατασταθεί από τη νέα νομοθεσία. Ο νόμος αυτός εισάγει αυστηρότερα πρόστιμα για τη μη συμμόρφωση και τις παραβιάσεις και δίνει στους καταναλωτές-χρήστες κανόνες για το τι μπορούν να κάνουν οι εταιρείες με τα δεδομένα τους. Επίσης, καθιστά τους κανόνες προστασίας δεδομένων ώστε να είναι πανομοιότυποι σε ολόκληρη την ΕΕ.

Γιατί συντάχθηκε το GDPR;

Ακόμα πολλοί χρήστες και εταιρείς αναρωτιούνται για το τι είναι το GDPR. Ας δούμε τις δύο βασικές οδηγίες πίσω από το GDPR. Πρώτον, η ΕΕ θέλει να δώσει στους ανθρώπους μεγαλύτερο έλεγχο στον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά τους δεδομένα, έχοντας κατά νου ότι πολλές εταιρείες όπως το Facebook και το Google ανταλλάσσουν πρόσβαση στα δεδομένα των ανθρώπων για τη χρήση των υπηρεσιών τους. Η ισχύουσα νομοθεσία τέθηκε σε ισχύ πριν από το διαδίκτυο και η τεχνολογία Cloud δημιούργησε νέους τρόπους εκμετάλλευσης των δεδομένων και το GDPR επιδιώκει να το αντιμετωπίσει. Με την ενίσχυση της νομοθεσίας για την προστασία των δεδομένων και την εισαγωγή αυστηρότερων μέτρων επιβολής, η ΕΕ ελπίζει να βελτιώσει την εμπιστοσύνη στην αναδυόμενη ψηφιακή οικονομία.

Δεύτερον, η ΕΕ θέλει να δώσει στις επιχειρήσεις ένα απλούστερο και σαφέστερο νομικό περιβάλλον για να λειτουργούν, καθιστώντας το νόμο για την προστασία των δεδομένων πανομοιότυπο σε όλη την ενιαία αγορά (εκτιμάται από την ΕΕ ότι αυτό θα διασώσει για τις επιχειρήσεις συλλογικώς 2,3 δισ. Ευρώ ετησίως).
Στις εταιρείες θα μπορούν να επιβληθούν μεγάλα πρόστιμα σύμφωνα με τους κανονισμούς GDPR εάν δεν παρέχουν επαρκή ασφάλεια πληροφόρησης για την προστασία των προσωπικών δεδομένων.

Η εταιρεία σας ή ο οργανισμός σας έχει συμμορφωθεί με τους νέους κανόνες προστασίας δεδομένων;

Πότε θα ισχύσει το GDPR;

Το GDPR θα εφαρμοστεί σε όλα τα κράτη μέλη της ΕΕ από τις 25 Μαΐου 2018. Επειδή το GDPR είναι ένας κανονισμός και όχι μια οδηγία, το Ηνωμένο Βασίλειο δεν χρειάζεται να καταρτίσει νέα νομοθεσία – αντ ‘αυτού θα εφαρμοστεί αυτόματα. Ενώ τέθηκε σε ισχύ στις 24 Μαΐου 2016, αφού όλα τα μέρη της ΕΕ συμφώνησαν με το τελικό κείμενο, οι επιχειρήσεις και οι οργανώσεις έχουν μέχρι τις 25 Μαΐου 2018 μέχρι να εφαρμοστεί στην πράξη ο νόμος.

Ενώ η συντριπτική πλειοψηφία των επαγγελματιών στον τομέα της πληροφορικής έχει επίγνωση του GDPR, μόλις οι μισοί από αυτούς προετοιμάζονται για την άφιξή του, σύμφωνα με την έρευνα του προσωπικού ασφαλείας του κυβερνοχώρου από την Imperva.

Μόνο το 43% αξιολογεί τον αντίκτυπο του GDPR στην επιχείρησή τους και αλλάζει τις πρακτικές τους για να παραμείνει σε βήμα με τη νομοθεσία προστασίας δεδομένων, ανέφερε ο Imperva. Ενώ οι ερωτώμενοι βασίζονταν κυρίως στις Η.Π.Α., θα εξακολουθούσαν να πλήττονται από το GDPR εάν χειρίζονται – ή συμβάλλουν σε άλλη εταιρεία που θα χειρίζεται – τα προσωπικά δεδομένα των πολιτών της ΕΕ.

Παρόλα αυτά, σχεδόν το ένα τρίτο δήλωσε ότι δεν προετοιμάζεται για την εισερχόμενη νομοθεσία και το 28% δήλωσε ότι αγνοούν τις προετοιμασίες που μπορεί να κάνει η εταιρεία τους.

Για ποιόν λοιπόν ισχύει το GDPR;

Οι «ελεγκτές» και οι «επεξεργαστές» δεδομένων πρέπει να συμμορφώνονται με το GDPR. Ένας υπεύθυνος επεξεργασίας δεδομένων δηλώνει τον επεξεργασίας των προσωπικών δεδομένων, ενώ ένας επεξεργαστής είναι ο συμβαλλόμενος που κάνει την πραγματική επεξεργασία των δεδομένων. Επομένως, ο ελεγκτής θα μπορούσε να είναι οποιοσδήποτε οργανισμός, από μια εταιρεία που αναζητά κέρδος ή μια φιλανθρωπική οργάνωση ή μια κυβέρνηση κ.α. Ένας επεξεργαστής μπορεί να είναι μια εταιρεία πληροφορικής που κάνει την πραγματική επεξεργασία δεδομένων.

Ακόμη και αν οι ελεγκτές ή επεξεργαστές εδρεύουν εκτός της ΕΕ, το GDPR θα εξακολουθήσει να ισχύει για αυτούς, εφόσον ασχολούνται με δεδομένα που ανήκουν σε κατοίκους της ΕΕ.

Είναι ευθύνη του υπεύθυνου επεξεργασίας  των δεδομένων να διασφαλίζει ότι ο επεξεργαστής τηρεί τους νόμους περί προστασίας των δεδομένων και ότι πρέπει να τηρεί τους κανόνες για τη διατήρηση των στοιχείων των δραστηριοτήτων επεξεργασίας τους. Εάν οι επεξεργαστές εμπλέκονται σε παραβίαση δεδομένων, είναι πολύ πιο υπεύθυνοι βάσει του GDPR από ό, τι βάσει του νόμου περί προστασίας δεδομένων.

Πότε μπορώ να επεξεργαστώ δεδομένα βάσει του GDPR;

Μόλις τεθεί σε ισχύ η νομοθεσία, οι υπεύθυνοι επεξεργασίας πρέπει να διασφαλίσουν ότι τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε νόμιμη επεξεργασία, με διαφάνεια και για συγκεκριμένο σκοπό. Μόλις εκπληρωθεί αυτός ο σκοπός και τα δεδομένα δεν απαιτούνται πλέον, πρέπει να διαγράφονται.

Ποιο είναι το Νόμιμο;

Το “νόμιμο” έχει ένα φάσμα εναλλακτικών εννοιών, που δεν ισχύουν όλες πάντα. Πρώτον, θα μπορούσε να είναι νόμιμο εάν ο χρήστης έχει συναινέσει στην επεξεργασία των δεδομένων του. Εναλλακτικά, η νομιμότητα μπορεί να σημαίνει συμμόρφωση με συμβατική ή νομική υποχρέωση να προστατεύσει ένα συμφέρον που είναι «ουσιαστικό για τη ζωή» του χρήστη π.χ εάν η επεξεργασία των δεδομένων είναι προς το δημόσιο συμφέρον ή αν το πράττει αυτό είναι στο νόμιμο συμφέρον του υπευθύνου της επεξεργασίας – όπως η πρόληψη της απάτης κτλ

Τουλάχιστον μία από αυτές τις αιτιολογήσεις πρέπει να ισχύει για την επεξεργασία των δεδομένων.

Πώς μπορώ να λάβω συγκατάθεση βάσει του GDPR;

Η συγκατάθεση πρέπει να είναι μια ενεργή, θετική ενέργεια από τον χρήστη. Οι ελεγκτές πρέπει να τηρούν αρχείο για το πώς και πότε ένα άτομο έδωσε τη συγκατάθεσή του και το άτομο αυτό μπορεί να αποσύρει τη συγκατάθεσή του όποτε το επιθυμεί. Εάν το τρέχον μοντέλο απόκτησης συγκατάθεσης δεν πληροί αυτούς τους νέους κανόνες, θα πρέπει να επαναφέρεται στο μηδέν.

Τι μετράει ως προσωπικό δεδομένο στο GDPR;

Η ΕΕ έχει διευρύνει σημαντικά τον ορισμό των προσωπικών δεδομένων στο πλαίσιο του GDPR. Για να αντικατοπτρίζουν τους τύπους των δεδομένων που συλλέγονται τώρα για τους ανθρώπους,  όπως οι διευθύνσεις IP, χαρακτηρίζονται τώρα ως προσωπικά δεδομένα. Άλλα δεδομένα, όπως πληροφορίες οικονομικής, πολιτιστικής ή ψυχικής υγείας, θεωρούνται επίσης προσωπικά δεδομένα.

Τα ψευδώνυμα  σαν προσωπικά δεδομένα μπορούν επίσης να υπόκεινται στους κανόνες του GDPR, ανάλογα με το πόσο εύκολο ή δύσκολο είναι να προσδιορίσετε ποια δεδομένα είναι.

Οτιδήποτε θεωρείται ως προσωπικό δεδομένο σύμφωνα με τον νόμο περί προστασίας δεδομένων θεωρείται επίσης ως προσωπικό δεδομένο βάσει του GDPR.

Πότε μπορούν οι χρήστες να έχουν πρόσβαση στα δεδομένα που αποθηκεύουμε σε αυτά;

Οι άνθρωποι μπορούν να ζητήσουν πρόσβαση σε “εύλογα χρονικά διαστήματα” και οι ελεγκτές πρέπει γενικά να απαντήσουν μέσα σε ένα μήνα. Το GDPR απαιτεί ότι οι ελεγκτές και οι επεξεργαστές πρέπει να είναι ξεκάθαροι σχετικά με τον τρόπο συλλογής των δεδομένων, τι κάνουν με αυτό και πώς επεξεργάζονται και πρέπει να είναι σαφείς (χρησιμοποιώντας απλή γλώσσα) για να εξηγούν αυτά τα πράγματα στους ανθρώπους.

Οι χρήστες έχουν το δικαίωμα να έχουν πρόσβαση σε οποιαδήποτε πληροφορία που κατέχει μια εταιρεία σε αυτά, καθώς και το δικαίωμα να γνωρίζουν γιατί τα δεδομένα αυτά υποβάλλονται σε επεξεργασία, πόσο καιρό αποθηκεύονται και ποιος τα βλέπει. Όπου είναι δυνατόν, οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να παρέχουν ασφαλή και άμεση πρόσβαση στους χρήστες, προκειμένου να εξετάσουν ποιες πληροφορίες αποθηκεύει ένας ελεγκτής γι ‘αυτούς.

Μπορούν επίσης να ζητήσουν να διορθωθούν αυτά τα δεδομένα, αν είναι λανθασμένα ή ελλιπή, όποτε το επιθυμούν.

Οι χρήστε έχουν επίσης το δικαίωμα να απαιτούν τη διαγραφή των δεδομένων τους, εφόσον δεν είναι πλέον απαραίτητα για το σκοπό για τον οποίο συλλέχθηκαν. Αυτό είναι γνωστό ως το «δικαίωμα διαγραφής». Σύμφωνα με αυτόν τον κανόνα, μπορούν επίσης να ζητήσουν τη διαγραφή των δεδομένων τους, εάν αποσύρουν τη συγκατάθεσή τους για τη συλλογή των δεδομένων τους ή αντιτίθενται στον τρόπο με τον οποίο υποβάλλονται σε επεξεργασία.

Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για να ενημερώνει άλλες οργανώσεις (για παράδειγμα, την Google) για τη διαγραφή οποιωνδήποτε συνδέσμων σε αντίγραφα αυτών των δεδομένων, καθώς και για τα ίδια τα αντίγραφα.

Τι γίνεται αν θέλουν να μεταφέρουν τα δεδομένα τους αλλού;

Οι ελεγκτές πρέπει τώρα να αποθηκεύουν τις πληροφορίες των χρηστών σε μορφές που χρησιμοποιούνται συνήθως (για παράδειγμα αρχεία CSV), έτσι ώστε να μπορούν να μεταφέρουν δεδομένα ενός ατόμου σε άλλον οργανισμό (δωρεάν) αν το ζητήσει ο χρήστης. Οι ελεγκτές πρέπει να το πράξουν μέσα σε ένα μήνα.

Τι γίνεται εάν δεχτούμε παραβίαση δεδομένων;

Είναι δική σας ευθύνη να ενημερώσετε την αρχή προστασίας δεδομένων σχετικά με τυχόν παραβίαση δεδομένων που διακινδυνεύει τα δικαιώματα και τις ελευθερίες των ανθρώπων μέσα σε 72 ώρες από την στιγμή που ο οργανισμός σας θα έχει επίγνωση αυτού.

Αυτή η προθεσμία είναι αρκετά μικρή που σημαίνει ότι ίσως να μήν γνωρίζει ο χρήστης την κάθε λεπτομέρεια μιας παραβίασης μετά την ανακάλυψή της. Ωστόσο, η αρχική σας επαφή με την αρχή προστασίας δεδομένων σας θα πρέπει να περιγράφει τη φύση των δεδομένων που επηρεάζονται,  τον αριθμό των ανθρώπων που επηρεάζονται, τις συνέπειες που θα μπορούσαν να συνεπάγονται γι ‘αυτές και ποια μέτρα έχετε ήδη λάβει ή σχεδιάζετε να λάβετε.

Αλλά ακόμα και προτού καλέσετε την αρχή προστασίας δεδομένων, πρέπει να πείτε στους χρήστες που επηρεάζονται από την παραβίαση δεδομένων. Όσοι δεν τηρούν την προθεσμία των 72 ωρών θα μπορούσε να επιβληθεί πρόστιμο μέχρι 2% των ετήσιων παγκόσμιων εσόδων τους, ή 10 εκατομμύρια ευρώ, όποιο είναι υψηλότερο.

Αν δεν ακολουθήσετε τις βασικές αρχές επεξεργασίας δεδομένων, όπως η κατοχή νομικής βάσης για κάτι τέτοιο, η παραβίαση των δικαιωμάτων των ατόμων σε σχέση με τα δεδομένα τους ή η μεταφορά δεδομένων σε άλλη χώρα, τα πρόστιμα είναι ακόμη χειρότερα. Η αρχή προστασίας δεδομένων θα μπορούσε να εκδώσει χρηματική ποινή μέχρι € 20 εκατ ή 4% του συνολικού ετήσιου κύκλου εργασιών, όποια είναι μεγαλύτερη.

Ωστόσο, είναι σημαντικό να σημειωθεί ότι ενώ τα μέγιστα πρόστιμα που μπορούν να εκδοθούν θα γίνουν πολύ υψηλότερα βάσει του GDPR, η νομοθεσία ορίζει ότι πρέπει να παραμείνουν «αναλογικά» με την παραβίαση. Επίσης, εάν μπορείτε να αποδείξετε ότι εργάζεστε σκληρά για να διασφαλίσετε ότι ο οργανισμός σας συμμορφώνεται με το GDPR, ο ICO πιθανότατα δεν θα εκδώσει τόσο υψηλό πρόστιμο σε περίπτωση παραβίασης.