Κείμενα στο joomla.gr

Blog

Σκέψεις για τη συμμόρφωση με το Gdpr

Τρεις εβδομάδες απομένουν ως τις 25 Μαϊου, μέρα που θα ξεκινήσει να εφαρμόζεται ο Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR), και αυτό που κυριαρχεί είναι ένα γενικό ερωτηματικό: τι πρέπει να κάνει όποιος διατηρεί ένα joomla site για να συμμορφωθεί με τους κανόνες του gdpr.

Ο λόγος που δημοσιεύω αυτό το κείμενο είναι για να μοιραστώ όσα έμαθα διαβάζοντας κείμενα και συζητώντας (και) με νομικούς για το θέμα αυτό. Ας ξεκαθαρίσουμε όμως κάτι, από την αρχή: τα παρακάτω είναι η δική μου γνώμη, δεν είναι σε καμιά περίπτωση συμβουλή, ούτε προτροπή για όσους διαθέσουν λίγο χρόνο να διαβάσουν τις γραμμές που ακολουθούν. Αυτό που πρέπει ο καθένας, για νομικά θέματα, είναι να έχει τη γνώμη του νομικού του συμβούλου.

Ο gdpr αφορά δεδομένα ιδιωτών, όχι εταιρικά.

Οι διατάξεις του κανονισμού αφορούν δεδομένα που αποκτά μια ιστοσελίδα, από την απλή φόρμα επικοινωνίας, ως την εγγραφή μελών, τη ένταξη σε μια λίστα αλληλογραφίας ή την αγορά από ένα ηλεκτρονικό κατάστημα, και που αφορούν ιδιώτες. Δεν έχει εφαρμογή σε εταιρικά δεδομένα.

Προσωπικά δεδομένα είναι όσα μπορούν να ταυτοποιήσουν ένα συγκεκριμένο φυσικό πρόσωπο (ονοματεπώνυμο, διεύθυνση κατοικίας, τηλέφωνο, προσωπικό email, διεύθυνση ip, κομματική ένταξη, συμμετοχή σε συνδικαλιστική οργάνωση, οικογενειακή κατάσταση, σεξουαλικός προσανατολισμός, θρησκευτικές πεποιθήσεις, καταναλωτική συμπεριφορά ...)

Απαγορεύεται γενικά η συλλογή / επεξεργασία δεδομένων;

Ασφαλώς όχι. Μπαίνουν κανόνες, που αφενός καθορίζουν ποιά δεδομένα και με ποιούς όρους συλλέγονται / επεξεργάζονται και αφετέρου αναδεικνύουν τα δικαιώματα όσων τα δεδομένα έχουν συλλεγεί και υφίστανται επεξεργασία.

Για παράδειγμα, η κατοχή στοιχείων που σχετίζονται με την αποστολή ενός προϊόντος που αγοράστηκε από ένα ηλεκτρονικό κατάστημα (email, ονοματεπώνυμο αγοραστή, διεύθυνση αποστολής, τηλέφωνο) είναι αναγκαία, γιατί διαφορετικά δεν μπορεί να γίνει η συναλλαγή. Η συλλογή της ip σύνδεσης από το firewall ενός διακομιστή, ή ενός isp provider, είναι απαραίτητη για την αποφυγή ή και τον εντοπισμό κακόβουλων ενεργειών, κοκ. Η καταχώρηση του ονοματεπωνύμου ενός επισκέπτη σε ένα ιδιωτικό χώρο, με αυξημένους κανόνες ασφάλειας, είναι νόμιμη.

Ο κανονισμός, λοιπόν, προστατεύει τα δικαιώματα όλων μας, ως ιδιωτών, απέναντι στη συλλογή και την επεξεργασία των προσωπικών μας δεδομένων, δημιουργεί υποχρεώσεις, σε όποιον έχει στην κατοχή του τέτοια δεδομένα, και αντίστοιχα δικαιώματα στα υποκείμενα των δεδομένων, δηλαδή τους ιδιώτες.

Να διευκρινστεί κάτι: επεξεργασία των δεδομένων σημαίνει ακόμη και η αποθήκευσή τους σε ένα ηλεκτρονικό μέσο, άρα, σημαίνει περιλαμβάνει ακόμη και την κατοχή των δεδοεμένων.

Δικαιώματα των ιδιωτών

Κάθε ιδιώτης έχει δικαίωμα, απέναντι σε μια ιστοσελίδα:

  • να γνωρίζει ποιά δεδομένα του συλλέγονται και για ποιά χρήση, όπως επίσης πόσο χρόνο θα διατηρηθεί η κατοχή τους στην ιστοσελίδα
    Προσέξτε το για ποια χρήση: πχ, το ότι έδωσε κάποιος το email του για να πάρει επιβεβαίωση της παραγγελίας σε ένα ηλεκτρονικό κατάστημα, δεν σημαίνει πως το email αυτό μπορεί να ενσωματωθεί σε μια λίστα διαφημιστικής αλληλογραφίας του καταστήματος, αν δεν έχει συναινέσει, εκ των προτέρων και ελέυθερα, σε αυτό.
  • να μπορεί να συναινέσει ή να αρνηθεί τη συλλογή των προσωπικών του δεδομένων (και μάλιστα με σαφώς ελεύθερη βούληση: όχι πχ με προτσεκαρισμένα τετραγωνάκια...), όπως επίσης και τη μεταβίβαση των στοιχείων σε τρίτους.
    Η συναίνεση δεν τεκμαίρεται, πρέπει να είναι σαφής, ελεύθερη και σαφώς προσδιορισμένη.
  • να υπάρχει διαδικασία να πληροφορηθεί, σε μεταγενέστερο χρόνο, ποιά προσωπικά του δεδομένα είναι υπό την κατοχή της ιστοσελίδας
  • να έχει τη δυνατότητα να επικαιροποιεί τα δεδομένα που έχει δώσει, με άλλα λόγια να τα τροποποιεί
  • να άρει τη συναίνεσή του. οποτεδήποτε το θελήσει και να ζητήσει τη διαγραφή των στοιχείων του

Υποχρεώσεις όσων συλλέγουν στοιχεία

Αντίστοιχες, σε γενικές γραμμές, είναι οι υποχρεώσεις που δημιουργούνται σε όσους συλλέγουν / επεξεργάζονται δεδομένα. Εχουν την υποχρέωση

  • να ενημερώνουν το λόγο της συλλογής των στοιχείων και το χρόνο της διατήρησης τους και να ζητούν τη ρητή συναίνεση του ιδιώτη
  • να δίνουν τη δυνατότητα άσκησης των δικαιωμάτων που αναφέρθηκαν πιο πάνω, δηλαδή να παρέχουν πληροφορία για τα στοιχεία που έχουν υπό την κατοχή τους, να διευκολύνουν την επικαιροποίησή τους και τη διαγραφή τους
  • να φροντίζουν με επιμέλεια για την ασφάλεια των στοιχείων που συλλέγονται, διατηρούνται και επεξεργάζονται: για παράδειγμα να χρησιμοποιούν παντού ασφαλείς συνδέσεις (ssl), να υιοθετούν πρακτικές πιστοποίησης δύο παραμέτρων (two factor authentication), να κρυπτογραφούν τα διαθέσιμα στοιχεία, να έχουν αντίγραφα ασφαλείας, να χρησιμοποιούν ασφαλείς εφαρμογές
  • να θεσμοθετήσουν και να εφαρμόσουν εσωτερικούς κανόνες συμμόρφωσης
  • να ενημερώνουν την Αρχή Προστασίας Δεδομένων, αν διαπιστώσουν ότι έχουν διαρεύσει προσωπικά δεδομένα ιδιωτών

Εργαλεία για το joomla site μας

Ευτυχώς, εργαλεία που να βοηθούν σε πρακτικές συμμόρφωσης υπάρχουν στο joomla ecosystem. Καταρχήν, αυτά που δίνει το ίδιο το core, με τη δυνατότητα των χρηστών να αλλάζουν τα στοιχεία τους. Επιπρόσθετα με επεκτάσεις που δίνουν τη δυνατότητα ενημέρβσης, επικαιροποίησης και διαγραφής των στοιχείων (πχ, βλέπε εδώ), καθώς και με πρόσθετα σχετικά με τα cookies (πχ, βλέπε εδώ και εδώ).

Επίσης, τροποποιούμε (ή δημιουργούμε, αν δεν έχουμε) τα κείμενά μας για την πολιτική μας απέναντι στα προσωπικά δεδομένων των επισκεπτών της ιστοσελίδας και των πελατών μας, εφαρμόζοντας τους κανόνες διαφάνειας, που αναφέρθηκαν: ενημερώνουμε τι συλλέγουμε και επεξεργαζόμαστε, ζητάμε τη συναίνεση εκ των προτέρων, δίνουμε τη δυνατότητα να ελέγξει, να επικαιροποιήσει ή (και) να διαγράψει κάποιος τα δεδομένα του που υπάρχουν στην κατοχή μας.

Τέλος, αξιοποιούμε όλες τις δυνατότητες και υιοθετούμε πρακτικές κατάλληλες ώστε να διατηρήσουμε ασφαλή τα δεδομένα που κατέχουμε.

Επιτρέψτε μου να διατυπώσω τη γνώμη πως το πρόβλημα δεν είναι η έλλειψη εργαλείων ή κάποιος ανυπέρβλητος στόχος, όσο ο ωχαδερφισμός που σε πολλά μας χαρακτηρίζει. Για παράδειγμα: πόσοι από μας χρησιμοποιούμε τη διπλή σύνδεση, τη πιστοποίηση δύο παραμέτρων, που είναι δωρεάν και ενσωματωμένη και στο joomla, μα και στο cPanel; Πόσοι από μας δεν θεωρούμε μικρής προτεραιότητας υποχρέωση την αναβάθμιση της ιστοσελίδας μας, τη χρήση δύσκολων κωδικών, την τήρηση στοιχειωδών κανόνων ασφάλειας, το ssl; Πολλοί, είναι η ειλικρινής απάντηση. Μήπως ήρθε η ώρα να υιοθετήσουμε, και από μόνοι μας, πρακτικές που θα δίνουν στην προστασία των δεδομένων και την ασφάλεια τη σημασία που πράγματι έχει;

Προς τι ο πανικός;

Οι διατάξεις του Κανονισμού δεν είναι κάτι το εξωπραγματικό, ούτε άλλωστε είναι τόσο δύσκολο να υλοποιηθούν. Πιστεύω πως απαιτούν πρακτικές που θα έπρεπε να έχουν υιοθετηθεί από καιρό, και από μια δική μας πρωτοβουλία και αυτορρύθμιση. Ο σεβασμός απέναντι στα δεδομένα που μας εμπιστεύεται ένας τρίτος θα έπρεπε να ήταν δική μας απαίτηση και προτεραιότητα.

Από την άλλη πλευρά, έχω την αίσθηση ότι δημιουργείται ένα κλίμα για "επιχειρηματικές ευκαιρίες" επιτήδειων ειδικών, που θα "συμβουλεύσουν", θα "πιστοποιήσουν", θα "παρακολουθήσουν"... Τα γνωστά, σε μια Ελλάδα της αρπαχτής.

Εν τέλει, ας δούμε σοβαρά το θέμα της ασφάλειας της ιστοσελίδας μας και των δεδομένων της, και ας σεβαστούμε όσους μας επισκέπτονται και συναλλάσσονται μαζί μας. Και ας σκύψουμε και στις δικές μας ευθύνες πάνω σε αυτόν τον τομέα. Ας το δούμε ως ευκαιρία, και θα γίνουμε σίγουρα καλύτεροι.


Άρης Ντάτσης Αρης Ντάτσης

Στο Joomla Project από το ξεκίνημά του, ενεργός joomler, έχω ιδρύσει την ελληνική κοινότητα του joomla.gr και συμμετέχω και στη διεθνή κοινότητα στο joomla.org.

Στην επαγγελματική μου ζωή, διευθύνω την Onscreen Web Services.
#SupportJoomlaGreece

 

 

Μείνετε συντονισμένοι!
Ενημερωθείτε για νέες εκδόσεις, θέματα ασφαλείας, οδηγίες και δράσεις.

Το όνομα και το λογότυπο Joomla!™ χρησιμοποιούνται στις Ηνωμένες Πολιτείες και σε άλλες χώρες μετά από περιορισμένη άδεια της Open Source Matters. Το joomla.gr δεν σχετίζεται με -ούτε υποστηρίζεται από- την Open Source Matters ή το Joomla!™ Project.


 

joomla.gr logo

Δημιουργήθηκε με τη χρήση του joomla
Φιλοξενείται από την Onscreen Web Services