Συμμόρφωση ιστοσελίδων με τον GDPR: Έγιναν οι πρώτοι έλεγχοι από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

65 ιστοσελίδες ελέγχθηκαν για δικαιώματα χρηστών, ασφάλεια, εμπορική επικοινωνία και cookies - Τα συμπεράσματα της Αρχής

31/01/2019

08/02/2019

Με επιτυχία διοργανώθηκε τη Δευτέρα, 28 Ιανουαρίου, στο Εθνικό Ίδρυμα Ερευνών, η επιστημονική ημερίδα της Αρχής Προστασίας Δεδομένων «Γενικός Κανονισμός Προστασίας Δεδομένων: Χρήσιμες επισημάνσεις 8 μήνες μετά», με αφορμή τον εορτασμό της 13ης Ευρωπαϊκής Ημέρας Προστασίας Δεδομένων.

Στην ημερίδα, η οποία πραγματοποιήθηκε με την υποστήριξη της Αντιπροσωπείας της Ευρωπαϊκής Επιτροπής στην Ελλάδα, πραγματοποιήθηκαν ενδιαφέρουσες εισηγήσεις επί διαφόρων θεματικών, όπως το εδαφικό πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), ο εκσυγχρονισμός των δικαιωμάτων των υποκειμένων των δεδομένων, η έννοια της συγκατάθεσης, ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (DPO) και η εκτίμηση αντικτύπου (DPIA).

Ωστόσο, ιδιαίτερο ενδιαφέρον εμφάνισε η παρουσίαση της κυρίας Γεωργίας Παναγοπούλου, σχετικά με τη συμμόρφωση υπευθύνων επεξεργασίας που παρέχουν διαδικτυακές υπηρεσίες με το ΓΚΠΔ αλλά και την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.

Διαβάστε επίσης: GDPR: Η πρώτη απόφαση του Δικαστηρίου της ΕΕ σε σχέση με τον Γενικό Κανονισμό για την Προστασία Δεδομένων

Στην εισήγησή της παρουσίασε τα πρώτα συμπεράσματα καθώς και στατιστικά στοιχεία που προέκυψαν ως αποτέλεσμα πολύ πρόσφατης δράσης της Αρχής, κατά την οποία ελέγχθηκε ο τρόπος ικανοποίησης συγκεκριμένων απαιτήσεων μέσω ενδεικτικών σημείων, αντιληπτών στον πολίτη κατά την πλοήγησή του στο διαδίκτυο και κατά τη χρήση των διαδικτυακών υπηρεσιών.

Οι 65 ιστοσελίδες που αποτέλεσαν αντικείμενο έρευνας ανήκουν σε ποικίλους τομείς, όπως ασφαλιστικές εταιρείες, χρηματοπιστωτικά ιδρύματα, ηλεκτρονικό εμπόριο, υπηρεσίες εισιτηρίων και δημόσιες υπηρεσίες, ενώ η επιλογή έγινε με κριτήριο την επισκεψιμότητα και την παροχή ηλεκτρονικών υπηρεσιών.

Σύμφωνα με την έρευνα, τα σημεία συμμόρφωσης με το ΓΚΠΔ και την οδηγία e-Privacy, τα οποία ελέγχθηκαν ήταν τα εξής:

Διαφάνεια - ενημέρωση υποκειμένων (ΓΚΠΔ άρθρα 13, 14)

  • Στοιχεία υπευθύνου επεξεργασίας
  • Δικαιώματα υποκειμένων
  • Άσκηση δικαιωμάτων υποκειμένων
  • Στοιχεία υπευθύνου προστασίας δεδομένων
  • Δυνατότητα προσφυγής στην ΑΠΔΠΧ
  • Σκοποί, νομική βάση επεξεργασιών
  • Αποδέκτες δεδομένων
  • Δυνατότητα ανάκλησης συγκατάθεσης

Διαβάστε επίσης: Ο GDPR σε αριθμούς (infographic)

Μέτρα ασφάλειας της επεξεργασίας (ΓΚΠΔ άρθρo 32)
  • Ψηφιακό πιστοποιητικό - υλοποίηση https
  • Ισχυρός μηχανισμός εγγραφής
  • Πολιτική συνθηματικών
  • Διαδικασία ανάκτησης συνθηματικού

Αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου (N. 3471/2006 άρθρο 11)

  • Λήψη συγκατάθεσης
  • Συμμόρφωση με την οδηγία 2/2011
  • Δυνατότητα διαγραφής

Εγκατάσταση και χρήση cookies (N. 3471/2006 άρθρο 4, παρ. 5)

  • Ενημέρωση
  • Συγκατάθεση όπου απαιτείται

Ικανοποιητικό επίπεδο συμμόρφωσης σε ορισμένους τομείς

Τα αποτελέσματα της έρευνας ήταν αρκετά ικανοποιητικά σε ορισμένους τομείς, όπως η διαφάνεια και η ενημέρωση των υποκειμένων, ιδιαιτέρως σε ό,τι αφορά στην ενημέρωση για τα δικαιώματά τους, αλλά και την ασφάλεια της επεξεργασίας, με την Αρχή να διαπιστώνει ικανοποιητικό βασικό επίπεδο ασφάλειας.

Στον αντίποδα, αρκετές ελλείψεις παρατηρήθηκαν στην εγκατάσταση και χρήση cookies, καθώς και στην αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου.

Ως προς τις κατηγορίες των υπευθύνων, διαπιστώθηκε ότι οι ασφαλιστικές εταιρείες, τα χρηματοπιστωτικά ιδρύματα και το ηλεκτρονικό εμπόριο επιδεικνύουν υψηλά ποστοστά συμμόρφωσης, σε αντίθεση με το Δημόσιο.

Οι σημαντικότερες ελλείψεις, το Δημόσιο και ο πονοκέφαλος των cookies

Σύμφωνα με τα στοιχεία της Αρχής, παρατηρήθηκε, μεταξύ άλλων, σημαντική έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies, ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες, καθώς και μεγάλη υστέρηση του Δημοσίου στη διαφάνεια.

Ειδικότερα, σε σχέση με τη διαφάνεια, σημαντικές ελλείψεις παρατηρήθηκαν, μεταξύ άλλων, στην αναφορά των σκοπών και της νομικής βάσης της επεξεργασίας.

Σε σχέση με τα μέτρα ασφάλειας της επεξεργασίας, διαπιστώθηκε ότι δεν υπάρχει στις περισσότερες περιπτώσεις έλεγχος για την πολυπλοκότητα των συνθηματικών των χρηστών και βέλτιστη υλοποίηση ασφαλούς σύνδεσης https.

Αναφορικά με την αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου, σε καμία (από τις ελεγχόμενες) περίπτωση δεν υπήρχε επιβεβαίωση του email μέσω της προβλεπόμενης διαδικασίας double opt-in.

Τέλος, σε σχέση με τα cookies, τα κυριότερα προβλήματα επικεντρώνονται στη μη επαρκή ενημέρωση των χρηστών, καθώς και στη συγκατάθεση μέσω browser ή στην παροχή μόνο της δυνατότητας opt-out.

Τα cookies εξακολουθούν να αποτελούν "πονοκέφαλο" στη συμμόρφωση των ιστοσελίδων και στην Ελλάδα. Υπενθυμίζεται ότι κατά τους τελευταίους μήνες του 2018, η αυστριακή και η βρετανική αρχή προστασίας δεδομένων εξέδωσαν σχετικές αποφάσεις, ακολουθώντας διαφορετικές προσεγγίσεις σε σχέση με τη συγκατάθεση.

Το Lawspot.gr παρακολουθεί στενά τις εξελίξεις, για τις οποίες μπορείτε να ενημερώνεστε μέσω της σχετικής ετικέτας για τα cookies, αλλά και συνολικά, μέσω του Lawspot.gr/gdpr.

send