Όλες οι παρακάτω πληροφορίες πάρθηκαν απευθείας από το επίσημο blog του WordPress.

Προστασία/Ιδιωτικότητα (WordPress 4.9.6)

Το GDPR θα τεθεί υπό ισχύ στις 25 Μαΐου. Οι νέοι κανονισμοί απαιτούν από τις εταιρείες και τους κατόχους ιστοσελίδων να είναι διαφανείς σχετικά με τον τρόπο που συλλέγουν, κάνουν χρήση και ανταλλαγή των προσωπικών δεδομένων των χρηστών ή πελατών τους. Δίνει επίσης στους χρήστες/πελάτες μεγαλύτερη πρόσβαση και περισσότερες επιλογές σε όσον αφορά τον τρόπο με τον οποίο συλλέγονται, χρησιμοποιούνται και μοιράζονται τα προσωπικά τους δεδομένα.

Διάβασε επίσης: GDPR – Τι είναι και πώς να προετοιμάσεις το blog σου

Είναι πολύ σημαντικό να γνωρίζεις πως ενώ το GDPR είναι ένας Ευρωπαϊκός κανονισμός, οι απαιτήσεις του σχετίζονται με όλες τις ιστοσελίδες και τις online επιχειρήσεις που συλλέγουν, αποθηκεύουν και επεξεργάζονται προσωπικά δεδομένα από Ευρωπαίους πολίτες, άσχετα με το που είναι η βάση της ιστοσελίδας/επιχείρησης.

Μπορείς να μάθεις περισσότερα για το GDPR από την επίσημη ιστοσελίδα της Προστασίας δεδομένων της Ευρωπαϊκής Επιτροπής.

“Είμαστε αποφασισμένοι να υποστηρίξουμε τους ιδιοκτήτες ιστοσελίδων σε όλο τον κόσμο στο έργο που κάνουν για να συμμορφωθούν με αυτόν τον σημαντικό νόμο. Ως μέρος αυτής της προσπάθειας, προσθέσαμε ορισμένες νέες δυνατότητες απορρήτου στη καινούργια έκδοση.” – WordPress.org

Σχόλια (WordPress 4.9.6)

Οι σχολιαστές που δεν είναι συνδεδεμένοι στην ιστοσελίδα θα έχουν τη δυνατότητα να επιλέξουν για το αν το όνομα τους, η ηλεκτρονική τους διεύθυνση (email) και η ιστοσελίδα τους θα αποθηκεύονται σε cookie στον browser τους.

Σελίδα Πολιτικής Απορρήτου (WordPress 4.9.6)

Οι ιδιοκτήτες ιστοσελίδων μπορούν πλέον να ορίσουν μια σελίδα πολιτικής απορρήτου. Αυτή η σελίδα θα εμφανίζεται στις σελίδες εισόδου και εγγραφής τους. Θα πρέπει να προσθέσεις με μη αυτόματο τρόπο έναν σύνδεσμο προς την πολιτική απορρήτου σου σε κάθε σελίδα του blog σου. Εάν έχεις μενού στο footer του blog σου, τότε αυτό είναι ένα εξαιρετικό μέρος για να προσθέσεις την πολιτική απορρήτου σου (δες στο τέλος της σελίδας του Inkstory για να καταλάβεις).

Διάβασε επίσης: Νέα MailChimp εργαλεία που συμμορφώνονται με το GDPR

Επιπλέον, δημιουργήσαμε έναν οδηγό που περιλαμβάνει πληροφορίες από το WordPress και τα συμμετέχουσα plugins σχετικά με το πως χειρίζονται τα προσωπικά δεδομένα των χρηστών. Αυτές οι πληροφορίες μπορούν να αντιγραφούν και να επικολληθούν στην πολιτική απορρήτου του blog σου για να σε βοηθήσουν να ξεκινήσεις με τη συμμόρφωση.

Αν έχεις εγκατεστημένο και χρησιμοποιείς ένα plugin το οποίο συλλέγει δεδομένα, σου προτείνουμε να το προσθέσεις στην πολιτική απορρήτου του blog σου. Για περισσότερες πληροφορίες σχετικά με την ενότητα της πολιτικής απορρήτου μπορείς να διαβάσεις εδώ.

Διαχείριση δεδομένων (WordPress 4.9.6)

Καλησπέρα,

Υπήρξε αίτημα από εσάς για να εκτελεστούν οι παρακάτω ενέργειες στον λογαριασμό σας:

Εξαγωγή των προσωπικών σας δεδομένων:

Για να το επιβεβαιώσετε, κάντε κλικ στον παρακάτω σύνδεσμο:
http://.wordpress.org/wp-login.php?action=confirmaction…

Μπορείτε να αγνοήσετε και να διαγράψετε αυτό το email στην περίπτωση που δεν θέλετε να διαγράψετε τα προσωπικά σας δεδομένα από την ιστοσελίδα μας.

Αυτό το email αποστάλθηκε από το info@inkstory.gr.

Με εκτίμηση,
Inkstory.gr

Οι κάτοχοι ιστοσελίδων θα έχουν από εδώ και στο εξής μια μέθοδο που βασίζεται στο email και θα μπορούν να την χρησιμοποιήσουν για να επιβεβαιώνουν τα αιτήματα των χρηστών/πελατών για τα προσωπικά δεδομένα. Αυτό το εργαλείο λειτουργήσει τόσο για την εξαγωγή των προσωπικών δεδομένων, όσο και για την διαγραφή δεδομένων, τόσο για τους εγγεγραμμένους χρήστες, όσο και για τους σχολιαστές του blog.

Με όλα τα παραπάνω, τα οποία έγραψε το ίδιο το WordPress στο επίσημο blog του, μπορούμε να καταλάβουμε πως η blogging πλατφόρμα έχει πάρει αρκετά σοβαρά την όλη υπόθεση με το GDPR και παρέχει πλέον καινούργια εργαλεία και δυνατότητες στους χρήστες της.

Με το που εμφανιστεί η νέα ενημέρωση στη διαχείριση του WordPress σου, εγκατέστησε την όσο το δυνατόν γρηγορότερα και στη συνέχεια ξεκίνα να ελέγχεις τις νέες σελίδες που προστέθηκαν στην Διαχείριση της πλατφόρμας.

Αν αντιμετωπίσεις το οποιοδήποτε πρόβλημα με το WordPress 4.9.6 ή τα νέα εργαλεία που παρέχει, μη διστάσεις να αφήσεις το σχόλιο σου παρακάτω.

Πιο συγκεκριμένα, η υπηρεσία για πάνω από ένα χρόνο τώρα ετοίμαζεται τα νέα της εργαλεία ώστε να συμμορφωθεί με τους νέους κανονισμούς του GDPR, αλλά και για να βοηθήσει τους χρήστες της να κάνουν το ακριβώς το ίδιο. Το MailChimp δημοσίευσε μέχρι και έναν οδηγό για τους χρήστες του πέρυση για τα βήματα που ακολουθούσαν.

Διάβασε επίσης: GDPR – Τι είναι και πώς να προετοιμάσεις το blog σου

Πάμε λοιπόν να δούμε ποια είναι τα εργαλεία που κυκλοφόρησε το MailChimp στους χρήστες του και τι ακριβώς κάνουν.

MailChimp εργαλεία για τη συμμόρφωση του GDPR

Αν θέλεις να διατηρείς με οποιονδήποτε τρόπο προσωπικά δεδομένα, το GDPR αναφέρει πως θα πρέπει να έχεις την έγκριση των χρηστών σου για οτιδήποτε πας να κάνεις. Τα νέα MailChimp εργαλεία θα σε βοηθήσουν να κάνεις ακριβώς αυτό. Με λίγα μόλις κλικ, θα έχεις τη δυνατότητα να δημιουργήσεις φόρμες εγγραφών που θα είναι GDPR-friendly (συμπεριλαμβανομένων και των landing σελίδων αλλά και των pop-ups τα οποία συνδέονται με τον MailChimp λογαριασμό σου).

• Δημιουργία GDPR-friendly φόμες εγγραφών, pop-ups παράθυρα κ.α., που συνδέονται με τον MailChimp.
• Όλες οι φόρμες θα έχουν ξεχωριστά checkboxes ώστε οι χρήστες να επιλέγουν αν θέλουν να λαμβάνουν emails από το MailChimp και κάθε φόρμα θα μπορεί να επεξεργαστεί από τον χρήστη με επιλογές, νομικά κείμενα κ.α.
• Το MailChimp θα κρατάει αρχείο από κάθε φόρμα που δημιουργούν οι χρήστες έτσι ώστε να γνωρίζεις πάντα πότε ένας subscriber δέχτηκε (και τι δέχτηκε) από κάθε φόρμα που έχεις δημιουργήσει και έχει εγγραφεί.

Γρήγορη διαχείριση των δεδομένων

Σύμφωνα με τους νέους κανονισμούς GDPR, όλοι οι χρήστες της Ευρωπαϊκής Ένωσης έχουν το δικαίωμα να διαχειρίζονται όπως θέλουν τα δεδομένα τους και, να ζητάνε από εσένα, για παράδειγμα, να τα διαγράψεις ή να τα μεταφέρεις οποιαδήποτε στιγμή.

Από αυτή την στιγμή, το MailChimp επιτρέπει και δίνει πρόσβαση σε όλους τους χρήστες να ενημερώνουν τις πληροφορίες κάθε συνδρομητή/χρήστη αφότου τους ζητηθεί. Αν κάποιος χρήστης εγγράφηκε στο newsletter σου μέσω μιας MailChimp φόρμας, τότε μπορείς να εξάγεις τα δεδομένα του, την ημέρα που έκανε την εγγραφή, την διεύθυνση IP και πολλά ακόμα.

Σύμφωνα με την εταιρεία, μέσα στις επόμενες βδομάδες θα ανακοινωθούν περισσότερα εργαλεία, καθώς επίσης και πληροφορίες για το πως να λειτουργείς καλύτερα τα δεδομένα των χρηστών σου.

Αν θέλεις να ενεργοποιήσεις όλες τις επιλογές για το GDPR στο MailChimp λογαριασμό σου, παρέχεται αναλυτικός οδηγός από την υπηρεσία εδώ. Μπορείς να ακολουθήσεις βήμα προς βήμα όλες τις οδηγίες και μέσα σε λίγα μόλις λεπτά, το newsletter του blog σου θα είναι GDPR-friendly. Φίου!

Ενημέρωση: Δεν είμαι δικηγόρος, ούτε το Inkstory παρέχει νομικές συμβουλές. Με αυτό κατά νου, για μεγαλύτερη σιγουριά, παρακαλώ να απευθυνθείς σε ένα δικηγορικό γραφείο.

Τι είναι το GDPR και ποιους επηρεάζει;

Κάθε εταιρεία και blogger που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν ανθρώπους εντός της Ευρωπαϊκής ένωσης, θα είναι υπόχρεος/υποχρεωμένος να συμμορφωθεί πλήρως με το νέο κανονισμό του GDPR. Αυτό απαιτεί επανεξέταση ή και αναθεώρηση σε όλες τις διαδικασίες διαχείρισης των πληροφοριών των χρηστών/πελατών.

Το GDPR είναι η μεγαλύτερη αλλαγή στη νομοθεσία περί προστασίας των δεδομένων τα τελευταία 20 χρόνια και κάθε εταιρεία ή blogger πρέπει να δώσει μεγάλη σημασία στα βήματα που πρέπει να ακολουθήσει.

Αν το blog σου ή η εταιρεία σου αποκαλύπτουν την ταυτότητα ενός ατόμου, όπως για παράδειγμα την εργασιακή του σχέση, την οικογενειακή του κατάσταση, την ηλικία του, το φύλο του, τον τόπο διαμονής και πάει λέγοντας, θα πρέπει να κάνει αλλαγές και προσαρμογές σε αυτές τις πληροφορίες, ώστε να συμμορφωθεί με τους όρους. Μερικοί από αυτούς – και οι πιο βασικοί – είναι οι παρακάτω:

• Δεν πρέπει να γίνεται σε καμία περίπτωση επεξεργασία προσωπικών δεδομένων χωρίς την προηγούμενη συγκατάθεση του προσώπου που αφορούν.
• Πρέπει να γίνεται προσεκτική συγκέντρωση και ασφαλής αποθήκευση όλων των προσωπικών δεδομένων.
• Πρέπει να γίνεται κωδικοποίηση των δεδομένων για αποφυγή αναγνώρισης ταυτότητας (profiling).
• Αποφυγή συσχετισμού βάσεων δεδομένων (linked data).
• Δυνατότητα διαγραφής ή εξαγωγής και παράδοσης των δεδομένων κατ’ απαίτηση.
• Εφαρμογή της αρχής «τόσα δεδομένα όσα είναι απαραίτητα».
• Διασφάλιση συμμόρφωσης με τον κανονισμό και από τις συνεργαζόμενες εταιρείες που διαχειρίζονται τα προσωπικά δεδομένα για λογαριασμό τους.

Τι είναι το GDPR με απλά λόγια;

Το [μοντέρνο] διαδίκτυο τρέχει πάνω σε δεδομένα, όχι απλώς σε περιεχόμενο ιστοσελίδων, αλλά σε δεδομένα χρηστών. Το διαδίκτυο εξασφαλίζει τα πάντα, από δημοσιεύσεις που γίνονται στα κοινωνικά δίκτυα μέχρι και σε e-commerce charts. Ως επαγγελματίες bloggers, χρειαζόμαστε απεγνωσμένα μια ολοκληρωμένη σειρά βέλτιστων πρακτικών ώστε να διασφαλίζουμε ότι οι άνθρωποι δεν θα παρασυρθούν από την πρόοδο της τεχνολογίας.

Αυτές οι βέλτιστες πρακτικές είναι αυτό που μας δίνει το GDPR.

Ένας από τους λόγους για τους οποίους η νέα συμμόρφωση με το GDPR φαίνεται ιδιαίτερα επιβαρυντική για τις επιχειρήσεις και τους bloggers, είναι επειδή όλοι μας είμαστε πολύ χαλαροί με ό,τι αφορά τα προσωπικά δεδομένα των χρηστών. Οι περισσότεροι νόμοι άλλωστε είναι τόσο παλιοί, όσο ένας αιώνας. Το GDPR, λοιπόν, ανανεώνει αυτούς τους νόμους περί ιδιωτικότητας και τους φέρνει στον 21ο αιώνα, βεβαιώνοντας ότι ένας ιστότοπος, το SaaS ή ακόμα και μια εφαρμογή, συμμορφώνονται όλα με το GDPR.

Με αυτόν τον τρόπο βεβαιώνεις φυσικά και τους χρήστες σου πως τα προσωπικά τους δεδομένα και το απόρρητο είναι κάτι που παίρνεις στα σοβαρά. Το GDPR λοιπόν, έρχεται με το σκεπτικό πως θα αποκτήσεις καλύτερες σχέσεις με τους χρήστες σου και μόλις οι χρήστες σου σε εμπιστευθούν, θα σου παρέχουν και “εθελοντικά” τα δεδομένα τους.

Το GDPR είναι ένα έξυπνα κατασκευασμένο σύνολο κανονισμών που καθιστούν τα δεδομένα όλων των χρηστών πολύ πιο ασφαλή και δημιουργούν ένα πιο επιτυχημένο, λιγότερα παρανοϊκό ιστό (διαδίκτυο δηλαδή).

Ποια δεδομένα είναι προστατευμένα;

Υπάρχουν δύο κύριοι τύποι δεδομένων που απαιτεί το GDPR να προστατεύουμε: τα προσωπικά δεδομένα και τα ευαίσθητα δεδομένα.

Τα προσωπικά δεδομένα είναι τα δεδομένα που σχετίζονται με την ταυτοποίηση ενός ατόμου. Αυτά συμπεριλαμβάνουν το όνομα, την ηλεκτρονική διεύθυνση ταχυδρομείου (email), την τοποθεσία, τα βιομετρικά δεδομένα και τα αναγνωριστικά ηλεκτρονικού ταχυδρομείου (όπως τα usernames).

Τα ευαίσθητα δεδομένα είναι οτιδήποτε κρίνει η ΕΕ ότι είναι πιο ιδιωτικό από ένα όνομα. Για παράδειγμα, οι ηθικές σου αρχές, η θρησκεία, οι σεξουαλικές σου προτιμήσεις, η πολιτική, οποιοδήποτε εγκληματικό παρελθόν υπάρχει και πάει λέγοντας. Όλα αυτά θεωρούνται ευαίσθητα δεδομένα και είναι αυτά που προστατεύονται περισσότερο από το νέο σύνολο κανονισμών του GDPR. Η αποτυχία στην προστασία των συγκεκριμένων δεδομένων θα φέρει μεγάλες ποινές.

Αυτό που δεν είναι ακόμα σαφές, είναι πότε τα προσωπικά δεδομένα γίνονται ευαίσθητα δεδομένα και αυτή η απόφαση ίσως παρθεί ανάλογα με τα δεδομένα του κάθε χρήστη. Για παράδειγμα, μια περίπτωση είναι το να περιλαμβάνει μια διεύθυνση email ευαίσθητα δεδομένα. Ένα τέτοιο email θα μπορούσε να είναι το “panagiotis-atheist@..” το οποίο εμφανίζει πως [για παράδειγμα] είμαι άθεος. Μπορεί να περιλαμβάνει πληροφορίες για πολιτικές πεποιθήσεις, θρησκεία και για οτιδήποτε άλλο σχετικό αναφέρθηκε πριν. Αν συμβεί αυτό, τότε πιθανώς αυτό το email χαρακτηρίζεται ως ευαίσθητο δεδομένο.

Μεγάλη προσοχή θα πρέπει να δώσουν επίσης οι bloggers στην ασφάλεια των blogs τους. Αν κάποιος χακάρει μια ιστοσελίδα ή ένα blog και καταφέρει να πάρει για παράδειγμα τις IP των χρηστών που επισκέφτηκαν/εγγράφηκαν στην ιστοσελίδα/blog/forum/e-commerce και πάει λέγοντας, δηλαδή δεδομένα που διατηρούσες, τότε έχεις συμβάλει στην υπονόμευση των ευαίσθητων δεδομένων αυτού του χρήστη ή των χρηστών, ακόμα κι αν δεν τα έχεις πλέον αποθηκευμένα στην κατοχή σου.

Με όλα αυτά κατά νου, το καλύτερο που μπορείς να κάνεις είναι να ζητάς μόνο τα δεδομένα που πραγματικά χρειάζεσαι. Όσο λιγότερα δεδομένα έχεις, τόσο λιγότερα έχεις να χάσεις.

Τα δικαιώματα που πρέπει να δώσεις στους χρήστες σου

Το GDPR δίνει το δικαίωμα στους χρήστες να διαχειρίζονται τα δεδομένα τους σε κάθε ιστοσελίδα με όποιον τρόπο επιθυμούν. Αυτό σημαίνει πως, στην περίπτωση που κάποιος χρήστης σού ζητήσει τα δεδομένα του, θα πρέπει να του δώσεις τη δυνατότητα να τα επεξεργαστεί, να τα διαγράψει και πάει λέγοντας.

Πιο συγκεκριμένα, οι χρήστες κάθε ιστοσελίδας/blog/forum/e-commerce κλπ, θα πρέπει να έχουν τα παρακάτω δικαιώματα:

• Έχουν το δικαίωμα να ενημερώνονται για κάθε αλλαγή.
• Έχουν το δικαίωμα να αποκτούν πρόσβαση στα δεδομένα τους.
• Έχουν το δικαίωμα να αλλάζουν τα δεδομένα τους.
• Έχουν το δικαίωμα να διαγράφουν τα δεδομένα τους.
• Έχουν το δικαίωμα να σου περιορίσουν την επεξεργασία των δεδομένων τους.
• Έχουν το δικαίωμα να πάρουν τα δεδομένα τους.
• Έχουν το δικαίωμα να αντιτάξουν τα δεδομένα τους.

Όλα αυτά φυσικά θα πρέπει να γίνονται με αυτόματο μηχανισμό και σε πολύ γρήγορο χρονικό διάστημα. Αυτό σημαίνει πως δεν μπορείς να ζητάς από τους subscribers του newsletter σου να σου στείλουν μήνυμα για να τους διαγράψεις εσύ από τις λίστες σου, αλλά να έχουν τη δυνατότητα να το κάνουν από μόνοι τους εκείνη την στιγμή.

Αν κάποιος χρήστης θέλει να διαγραφεί από το newsletter σου, είσαι νομικά υποχρεωμένος όχι απλώς να τον αφαιρέσεις από κάθε λίστα, αλλά να διαγράψεις εντελώς όλα του τα δεδομένα και την IP του.

Ποιους επηρεάζει λοιπόν ο νέος κανονισμός;

Το GDPR ισχύει για δεδομένα που συλλέγονται, επεξεργάζονται ή / και αποθηκεύονται στην Ευρώπη, ανεξάρτητα από το πού συγκεντρώνονται τα δεδομένα. Εάν έχεις ένα newsletter και μέσα σε αυτό υπάρχει έστω και ένας συνδρομητής της Ευρωπαϊκής Ένωσης, τότε το GDPR ισχύει και για εσένα.

Μια σημαντική επιπλοκή του GDPR είναι ότι απαγορεύει τη μεταφορά δεδομένων εκτός της ΕΕ σε οποιαδήποτε χώρα την οποία η ΕΕ δεν θεωρεί ότι διαθέτει επαρκείς νόμους για την προστασία των δεδομένων. Αυτή την στιγμή που γράφεται το άρθρο, αρκετές χώρες, συμπεριλαμβανομένων της Αργεντινής και της Νέας Ζηλανδίας, πληρούν αυτό το πρότυπο. Οι Ηνωμένες Πολιτείες και ο Καναδάς θεωρούνται ότι έχουν μερικώς επαρκείς νόμους περί ιδιωτικότητας. Εάν μεταφέρεις, λοιπόν, προσωπικά δεδομένα εκτός της ΕΕ για επεξεργασία ή αποθήκευση, τότε πρέπει να λάβεις ρητή συγκατάθεση από το χρήστη που αφορούν τα δεδομένα.

Δεδομένου του πολυδικαιολογικού χαρακτήρα του διαδικτύου και της τεχνολογίας, όπως το CDN, είναι συνετό να υποθέσουμε ότι σε κάποια χρονική στιγμή τα δεδομένα που συλλέγεις και αποθηκεύεις θα μεταφερθούν εκτός της ΕΕ και των εγκεκριμένων χωρών. Επομένως, ανεξάρτητα από τις υπόλοιπες άδειες που ζητάς από τους χρήστες σου, καλό θα ήταν πάντοτε να έχεις την άδεια να διατηρείς τα δεδομένα τους εκτός της ΕΕ.

Πρόστιμα

Οι webmasters (συμπεριλαμβανομένων δηλαδή και των bloggers) έχουν περιθώριο μέχρι το Μάιο του 2018 για να συμμορφωθούν με τους νέους κανονισμούς του GDPR. Το “πέναλτι” για κάποιον που δε συμμορφώθηκε με τους νέους κανονισμούς θα είναι πάνω από 20 εκατομμύρια ευρώ, ή στην περίπτωση επιχείρησης, μέχρι και το 4% του συνολικού ετήσιου κύκλου εργασιών παγκοσμίως (του προηγούμενου οικονομικού έτους), ανάλογα με το ποια είναι υψηλότερη.

Περισσότερα για τα πέναλτι, τα πρόστιμα, το ποσό και πάει λέγοντας, θα βρεις στην επίσημη ιστοσελίδα του GDPR portal, στην ενότητα FAQ.

Ένα τέτοιο υψηλό ποσό κυρώσεων έχει προταθεί για την αύξηση της συμμόρφωσης. Παρόλα αυτά, το πρώτο πράγμα που θα σκεφτείς είναι, “ποιος θα καταλάβει αν το blog μου συμμορφώνεται με τους κανονισμούς του GDPR;” Σωστά; Σωστά. Θα συσταθούν Εποπτικές Αρχές (SA) διαφόρων κρατών μελών, με την πλήρη υποστήριξη του νόμου. Κάθε κράτος μέλος μπορεί να έχει πολλαπλές SA, ανάλογα με τις συνταγματικές, διοικητικές και οργανωτικές δομές. Υπάρχουν διάφορες εξουσίες που οι SA θα έχουν:

• Θα διεξάγονται έλεγχοι σε ιστότοπους (ναι, και στην Ελλάδα).
• Θα εκδίδουν προειδοποιήσεις για μη συμμόρφωση.
• Θα εκδίδουν διορθωτικά μέτρα που πρέπει να τηρούνται με ανάλογες προθεσμίες.

Οι SAs διαθέτουν τόσο ερευνητικές όσο και διορθωτικές αρμοδιότητες για να ελέγχουν τη συμμόρφωση με το νόμο και να προτείνουν αλλαγές ώστε να είναι ένας ιστότοπος συμβατός με τους κανονισμούς.

Φυσικά, είναι πολύ νωρίς ακόμα για να γνωρίζουμε τι ακριβώς θα γίνει και πόσο συχνά θα γίνονται αυτοί οι έλεγχοι, αλλά με μια γρήγορη ματιά σε εκατοντάδες επιχειρήσεις, θα δεις πως αρκετές έχουν ξοδέψει πάνω από 1 εκατομμύριο για να κάνουν τις απαραίτητες αλλαγές για το GDPR. Για να φοβούνται τόσο μεγάλες επιχειρήσεις, καταλαβαίνεις πως ο νέος κανονισμός δεν είναι για να τον πάρεις στην πλάκα.

Πώς να συμμορφώσεις το WordPress blog σου με τους νέους κανονισμούς

Ωραία, εφόσον βγάλαμε από τη μέση όλα τα νομικά για το GDPR, πάμε να δούμε πώς μπορείς να συμμορφώσεις το WordPress blog σου με τη νέα σειρά κανονισμών.

Ενημέρωση: Δεν γνωρίζω τι γίνεται με το Blogger (Blogspot) και άλλες πλατφόρμες, αλλά ό,τι αφορά το WordPress συχνά αφορά και το Joomla, Drupal και Ghost.

Προτού ξεκινήσεις να ελέγξεις κάθε πιθανό σενάριο για το πόσο συμμορφώνεται το blog σου με τους νέους κανονισμούς, θα χρειαστεί πρώτα να ελέγξεις πώς το blog σου, σε γενικές γραμμές, επεξεργάζεται και αποθηκεύει τα δεδομένα των αναγνωστών σου στον server. Για τους χρήστες του WordPress, το δωρεάν plugin Security Audit Log θα σας βοηθήσει να καταλάβετε και να κατανοήσετε την ασφάλεια της ιστοσελίδας σας.

Ένα απλό WordPress blog συχνά συλλέγει δεδομένα χρηστών με τους παρακάτω τρόπους:

• Εγγραφή χρηστών
• Σχόλια
• Φόρμες επικοινωνίας
• Φόρμες εγγραφών (newsletters, notifications κ.α.)
• Στατιστικά και αρχεία επισκεψιμότητας
• Plugins που απαιτούν εγγραφές από χρήστες
• Plugins για ασφάλεια

Βασικά πράγματα που πρέπει να τακτοποιήσει κάθε WordPress χρήστης:

(α) Ειδοποίηση για breach/hacking

Υπό τη νέα συμμόρφωση για τους κανονισμούς του GDPR, αν η ιστοσελίδα σου (και όταν λέω ιστοσελίδα αναφέρομαι και στα blogs, e-commerces, forums, social media και πάει λέγοντας) δεχτεί επίθεση από hackers ή υπάρξει κάποιο breach το οποίο έφερε ως αποτέλεσμα την κλοπή δεδομένων των χρηστών σου, είσαι υποχρεωμένος να ενημερώσεις τους χρήστες σου κατευθείαν.

Η παραβίαση δεδομένων ενδέχεται να δημιουργήσει πρόβλημα με τα δικαιώματα και τις ελευθερίες των χρηστών και, ως εκ τούτου, το GDPR σε υποχρεώνει να ενημερώσεις τους χρήστες σου εντός 72 ωρών από τη στιγμή που διαπιστωθεί η παραβίαση των δεδομένων τους.

Οι επεξεργαστές δεδομένων υποχρεούνται επίσης να ειδοποιούν τους χρήστες, καθώς και τους υπεύθυνους επεξεργασίας δεδομένων, αμέσως μόλις διαπιστώσουν την παραβίαση των δεδομένων.

Σε ένα σενάριο όπου γίνει παραβίαση δεδομένων σε ένα WordPress blog, θα πρέπει να ειδοποιήσεις όλους τους χρήστες που επηρεάζονται από την παραβίαση εντός του καθορισμένου χρονικού πλαισίου. Ωστόσο, η πολυπλοκότητα εδώ είναι ο ορισμός του όρου “χρήστης”. Μπορεί για παράδειγμα να περιλαμβάνει συνήθεις χρήστες του ιστότοπου, οι οποίοι έρχονται από καταχωρήσεις μιας φόρμας επικοινωνίας, ή από άτομα που σχολίασαν σε άρθρα ή σελίδες.

Τι πρέπει να κάνεις; Πρώτα απ’ όλα, κάνε μια εγκατάσταση το Wordfence plugin στο WordPress και ενεργοποίησε τις ειδοποιήσεις ασφάλειας που παρέχει. Στη συνέχεια, θα χρειαστεί να προσλάβεις έναν developer για να σου ασφαλίσει τον server και να σιγουρευτεί πως όλα είναι σωστά ρυθμισμένα.

(β) Συλλογή, επεξεργασία και αποθήκευση δεδομένων

Τρία στοιχεία: Right to Access (το δικαίωμα πρόσβασης), Right to Be Forgotten (το δικαίωμα να ξεχαστεί ένας χρήστης) και Data Portability (δυνατότητα μεταφοράς δεδομένων).

Right to Access – Το δικαίωμα της πρόσβασης παρέχει στους χρήστες έναν ολοκληρωμένο οδηγό για το πώς τα δεδομένα ενός χρήστη αποθηκεύονται, ποια συλλέγονται και πού/ ή αν μεταφέρονται, και ο λόγος που αυτός ο ιστότοπος συλλέγει, επεξεργάζεται, μεταφέρει και αποθηκεύει αυτά τα δεδομένα.

Right to Be Forgotten – Το δικαίωμα να ξεχαστεί ένας χρήστης δίνει τη δυνατότητα σε κάθε χρήστη να διαγράψει εντελώς τα δεδομένα του και να σταματήσει προσωρινά τη συλλογή και την επεξεργασία των δεδομένων του από τον ιστότοπο.

Data Portability – Η δυνατότητα μεταφοράς δεδομένων, σύμφωνα με το GDPR, δίνει στους χρήστες τη δυνατότητα να κατεβάσουν όλα τους τα προσωπικά δεδομένα, για τα οποία είχαν δώσει προηγουμένως έγκριση να συλλέγονται από έναν ιστότοπο, και στη συνέχεια να τα μεταφέρουν αλλού ή να τα διαχειριστούν με όποιο τρόπο επιθυμούν.

Ως κάτοχος μιας WordPress ιστοσελίδας, το πρώτο πράγμα που θα χρειαστεί να κάνεις είναι να δημοσιεύσεις μια αναλυτική περιγραφή στην οποία θα αναγράφεις ποια προσωπικά δεδομένα χρησιμοποιείς, ποια συλλέγεις και πού τα αποθηκεύεις.

Στη συνέχεια, θα χρειαστεί να παρέχεις στους υπάρχοντες χρήστες σου ένα αντίγραφο των δεδομένων τους. Αυτό είναι ίσως και το πιο δύσκολο κομμάτι στην όλη υπόθεση. Παρόλα αυτά, μπορούμε να υποθέσουμε πως όλοι οι προγραμματιστές των εργαλείων και plugins θα έχουν τους δικούς τους ιστότοπους, φέρνοντας τις δικές τους λύσεις για τη χρήση των εργαλείων τους.

Εύκολες λύσεις για τους Bloggers:

• Αν χρησιμοποιείς ένα newsletter εργαλείο το οποίο αποθηκεύει τα δεδομένα των χρηστών σου στον server σου, άλλαξέ το με ένα που αποθηκεύει τα δεδομένα των χρηστών σε δικούς του servers. Στη συνέχεια, ζήτα την έγκριση από κάθε χρήστη για να κρατήσεις τα στοιχεία του.
• Αν δεν μπορείς να καταλάβεις τι γίνεται με τα δεδομένα των χρηστών σου, διάγραψε τα όλα και ξεκίνα ξανά να τα συλλέγεις από την αρχή, ζητώντας πρώτα την έγκριση του κάθε χρήστη.

(γ) Χρήση WordPress plugins

Κάθε plugin που χρησιμοποιείς στο WordPress blog σου θα πρέπει επίσης να συμμορφώνεται με τους νέους κανονισμούς του GDPR. Ως κάτοχος της ιστοσελίδας, είναι δική σου ευθύνη να σιγουρευτείς πως κάθε plugin σου παρέχει τη δυνατότητα να εξάγεις/παρέχεις/διαγράφεις τα προσωπικά δεδομένα κάθε χρήστη που συλλέγονται από το συγκεκριμένο plugin.

Αυτό σημαίνει πως θα πρέπει να ξεκινήσεις να κοιτάς προσεκτικά ποια plugins συμμορφώνονται με τους νέους GDPR κανονισμούς. Ρίξε μια ματιά στις περιγραφές και στην πολιτική αυτών των plugins και αν δε βρεις πληροφορίες για το GDPR και θέλεις να συνεχίσεις να χρησιμοποιείς το συγκεκριμένο plugin, επικοινώνησε με αυτούς που το έφτιαξαν, ώστε να σε ενημερώσουν για το τι γίνεται.

Για παράδειγμα, γνωστά plugins όπως το Gravity Forms και το Jetpack, περιλαμβάνουν πολλά modules μέσα τα οποία συλλέγουν δεδομένα χρηστών. Αυτά τα plugins θα πρέπει να συμμορφώνονται πλήρως με τους νέους κανονισμούς του GDPR.

Αν ένα plugin δε συμμορφώνεται με τους νέους κανονισμούς, θα πρέπει να αφαιρείται από την ιστοσελίδα και να μην γίνεται χρήση του πλέον.

Αν και δεν έχουν υπάρξει επίσημες αναφορές από γνωστά WordPress plugins, το Jetpack ανέφερε στο Twitter πως προετοιμάζεται να συμμορφωθεί με το GDPR:

Δεν είναι πολλά, ωστόσο, τα plugins τα οποία έκαναν επίσημες αναφορές σχετικά με το συγκεκριμένο ζήτημα. Οπότε, αναμένουμε.

Σύνοψη

Με όλα αυτά κατά νου λοιπόν, για να συμμορφώσεις το WordPress blog σου με το GDPR, θα χρειαστεί (1) να κοιτάξεις όλους τους τρόπους με τους οποίους συλλέγεις και επεξεργάζεσαι τα δεδομένα των χρηστών σου. Στη συνέχεια (2) να βάλεις μηχανισμούς και εργαλεία με τα οποία θα έχεις τον πλήρη έλεγχο των δεδομένων. Εναλλακτικά (3) θα ήταν καλή ιδέα να σταματούσες να συλλέγεις στατιστικά έως ότου συμμορφώσεις το blog σου (αφαιρώντας δηλαδή όλες τις φόρμες σχολίων, φόρμες επικοινωνίας, εγγραφές και πάει λέγοντας). Και τέλος (4), και πιο σημαντικό, θα πρέπει να ελέγξεις πολύ προσεκτικά όλα τα plugins και εργαλεία που χρησιμοποιείς για το αν συμμορφώνονται με τους νέους κανονισμούς.

Ενημέρωση άρθρου: 09/05/2018

Η σχετική συζήτηση στο Reddit (συμπεριλαμβανομένων και των απαντήσεων που δέχτηκα):

Θέλω να πιστεύω πως έχω καλύψει όλα τα βασικά που αφορούν στους νέους κανονισμούς που ορίζει το GDPR. Αν έχεις απορίες, μη διστάσεις να αφήσεις το σχόλιό σου στο τέλος του άρθρου.

Ένα τεράστιο ευχαριστώ στην Μαρία από το Kokkinikamelia.gr που ανταποκρίθηκε γρήγορα και με βοήθησε με τον έλεγχο και τη διόρθωση του άρθρου.