You are currently viewing Συλλογή, Χρήση, Αποθήκευση Προσωπικών δεδομένων

Συλλογή, Χρήση, Αποθήκευση Προσωπικών δεδομένων

Είναι ιδιαίτερα σημαντικό το κάθε πρόσωπο -φυσικό ή νομικό-, είτε ως επισκέπτης μιας ιστοσελίδας είτε ως επεξεργαστής των προσωπικών δεδομένων των επισκεπτών, να αντιληφθεί τις βασικές πράξεις επεξεργασίας. Παρακάτω συγκεντρώσαμε όλες τις απαραίτητες πληροφορίες σχετικά με την συλλογή, την χρήση και την αποθήκευση των προσωπικών δεδομένων.

Τι θα δούμε σε αυτό το post;

Συλλογή των Δεδομένων Προσωπικού Χαρακτήρα

Τα προσωπικά δεδομένα είναι επιτρεπτό να συλλεχθούν μόνο όταν υπάρχει κάποιος νόμιμος λόγος επεξεργασίας αυτών ή δικαιολογημένος σκοπός με τον οποίο συνδέονται οι υπηρεσίες που παρέχει η εταιρία σας στον χρήστη.

Νόμιμους λόγους επεξεργασίας αποτελεί η συγκατάθεση, οι λόγοι δημοσίου συμφέροντος κτλ. Για περισσότερες πληροφορίες μπορείτε να ενημερωθείτε στο άρθρο για τα Προσωπικά Δεδομένα – The Basics.

Μάλιστα, θα πρέπει, όταν συλλέγει τα δεδομένα, να ενημερώνει τους χρήστες για τους εν λόγω σκοπούς. Σημαντικό είναι ότι δεν θα πρέπει να συλλέγει τα δεδομένα για απεριόριστους σκοπούς ή για μεγαλύτερο χρονικό διάστημα απ’ ότι είναι αναγκαίο.

Μάλιστα, αν συλλέξει η εταιρία περισσότερα προσωπικά δεδομένα απ’ ότι χρειάζεται και άσχετα με τον νόμιμο σκοπό, τότε αυτό αποτελεί παραβίαση της αρχής του περιορισμού του σκοπού.

Σύμφωνα με αυτήν την αρχή, πρέπει να υπάρχουν καθορισμένοι, ρητοί και νόμιμοι σκοποί για τους οποίους υποβάλλονται σε επεξεργασία τα δεδομένα και και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.

Για παράδειγμα, αν μία εταιρία προσφέρει υπηρεσίες μίσθωσης αυτοκινήτων σε ιδιώτες, τα απαραίτητα προσωπικά δεδομένα που χρειάζεται να συλλέξει για να προβεί στην μίσθωση αυτών είναι το ονοματεπώνυμο, η διεύθυνση και ο αριθμός πιστωτικής κάρτας των πελατών της.

Σε περίπτωση που ζητήσει από τον πελάτη τη συμπλήρωση δεδομένων που αφορούν τις θρησκευτικές πεποιθήσεις ή την εθνοτική καταγωγή του πελάτη, καταπατά την αρχή της του περιορισμένου σκοπού, καθώς αυτά δεν αφορούν το σκοπό της μίσθωσης.

Πότε γίνεται συλλογή των προσωπικών δεδομένων:

  • Με την δημιουργία προφίλ ή την εγγραφή στον Ιστότοπο της εταιρίας σας
  • Με την εγγραφή στο newsletter της
  • Με την εκδήλωση προτίμησης για κάποια προϊόντα ή υπηρεσίες κατά την περιήγηση στον Ιστότοπο της εταιρίας
Στιγμιότυπο από την Πολιτική Απορρήτου της Google σχετικά με τη συλλογή πληροφοριών
Πολιτική Απορρήτου της Google

Ποιες πληροφορίες πρέπει να δίνονται κατά την συλλογή των δεδομένων;

Όταν συλλέγονται τα δεδομένα των χρηστών είναι απαραίτητο να παρέχει η εταιρία σας τις εξής πληροφορίες:

  1. Ποια είναι η εταιρία ή ο οργανισμός σας. Ειδικότερα, θα πρέπει να παρέχονται τα στοιχεία επικοινωνίας της εταιρίας σας και του Υπεύθυνου επεξεργασίας δεδομένων.
  2. Για ποιους σκοπούς θα χρησιμοποιεί η εταιρία σας τα δεδομένα που συλλέγει.
  3. Την νομική αιτιολόγηση της επεξεργασίας των δεδομένων των χρηστών.
  4. Το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα.
  5. Τους αποδέκτες των προσωπικών δεδομένων και όσους θα έχουν πρόσβαση σε αυτά.
  6. Την πιθανότητα μεταφοράς των δεδομένων τους σε παραλήπτη εκτός της ΕΕ (διαβάστε περισσότερα στο άρθρο μας για τη μεταφορά δεδομένων εκτός ΕΕ)
  7. Ότι έχουν δικαίωμα διαγραφής, διόρθωσης, τροποποίησης-αλλαγής, μεταφοράς των δεδομένων, όπως και δικαίωμα σε αντίγραφο των δεδομένων τους (περισσότερα στην ανάρτηση μας για τα δικαιώματα του υποκειμένου των δεδομένων)
  8. Ότι έχουν δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας των Δεδομένων.
  9. Ότι έχουν δικαίωμα να αλλάξουν γνώμη για την συγκατάθεση που έχουν δώσει οποιαδήποτε στιγμή.

Οι πληροφορίες αυτές παρέχονται στο υποκείμενο των δεδομένων κατά την συλλογή σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιώδης επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, θα πρέπει να είναι μηχανικώς αναγνώσιμα.

Όταν ο υπεύθυνος της επεξεργασίας πρόκειται να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα για διαφορετικό σκοπό από αυτόν για τον οποίο έγινε η συλλογή, οφείλει να το γνωστοποιήσει στο υποκείμενο των δεδομένων πριν την εν λόγω επεξεργασία.

Χρήση των προσωπικών δεδομένων

Είναι λογικό να αναρωτιέστε πώς χρησιμοποιούνται τα προσωπικά δεδομένα που συλλέγονται από μία εταιρία. Υπάρχουν πολλοί τρόποι με τους οποίους μία εταιρία αξιοποιεί τα δεδομένα των χρηστών της και κάποιοι από αυτούς, ενδεικτικά, είναι:

  • Για την βελτίωση της εμπειρίας του πελάτη. Πιο συγκεκριμένα, μέσω των προσωπικών δεδομένων η εταιρία μπορεί να αντιληφθεί και να ικανοποιήσει καλύτερα τις ανάγκες και τις απαιτήσεις των πελατών της με την παροχή καταλληλότερων και εξατομικευμένων υπηρεσιών. Όταν η εταιρία έχει την δυνατότητα να αναλύσει τις προτιμήσεις και την γενικότερη συμπεριφορά του πελάτη στον Ιστότοπο, καθώς και να λάβει υπόψη τις κριτικές του, μπορεί να διαμορφώσει μία καλύτερη ποιότητα καθώς και ένα πιο αναβαθμισμένο επίπεδο στις υπηρεσίες της.

Not only do companies use consumer data to improve consumer experiences as a whole, but they also use data to make decisions on an individualized level

Brandon Chopp, digital manager for iHeartRaves

  • Για την καλύτερη διαμόρφωση μίας αποτελεσματικής στρατηγικής marketing της εταιρίας. Με άλλα λόγια, όταν η εταιρία παρατηρεί την συμπεριφορά των πελατών της, μπορεί να είναι πιο λειτουργική και να προσαρμόζει τις μεθόδους marketing στις πιο αποδοτικές μορφές του.

Like other aspects of consumer data analysis, marketing is becoming more about personalization

Brett Downes, Director at Haro Helpers

  • Για την ασφάλεια των δεδομένων από κλοπές και παραβιάσεις στον λογαριασμού του χρήστη. Για παράδειγμα, οι τράπεζες πολλές φορές χρησιμοποιούν την αναγνώριση της φωνής ως μέσο για την πρόσβαση του δικαιούχου στον τραπεζικό του λογαριασμό. Η φωνή συμπεριλαμβάνεται, επίσης, στα προσωπικά δεδομένα και χρησιμοποιείται για να προστατεύσει τα υπόλοιπα δεδομένα του χρήστη από παράνομες προσπάθειες κλοπής των πληροφοριών αυτών.

  • Για την ολοκλήρωση των παραγγελιών των προϊόντων και των υπηρεσιών και για τις επιστροφές προϊόντων.

  • Για την αποστολή ενημερωτικών εντύπων για τις διάφορες προσφορές και τα νέα προϊόντα/υπηρεσίες της εταιρίας. Βέβαια, υπάρχει και η δυνατότητα opt out για τα newsletters, δηλαδή το υποκείμενο μπορεί να επιλέξει να μην λαμβάνει πλέον ενημερωτικά έντυπα από την εταιρία/οργανισμό.

  • Για την δυνατότητα ανταπόκρισης σε αιτήματα που αποστέλλονται από τους πελάτες.
Στιγμιότυπο από την Πολιτική Απορρήτου του Twitter σχετικά με τον τρόπο που χρησιμοποιούν τα δεδομένα
Πολιτική Απορρήτου του Twitter

Για πόσο καιρό αποθηκεύονται τα προσωπικά δεδομένα στην εταιρία;

Όπως αναφέρθηκε και νωρίτερα, τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται σε αυτόν που τα επεξεργάζεται για όσο χρονικό διάστημα κρίνεται απαραίτητο για τους σκοπούς για τους οποίους υπόκεινται σε επεξεργασία, ούτε περισσότερο, ούτε λιγότερο.

Με άλλα λόγια, πρέπει να τηρείται η αρχή της περιορισμού του χρόνου αποθήκευσης των δεδομένων, σύμφωνα με την οποία πρέπει να διασφαλίζεται ότι το χρονικό διάστημα αποθήκευσης των δεδομένων περιορίζεται στο ελάχιστο δυνατό, που είναι και το αναγκαίο για την εξυπηρέτηση των σκοπών της εταιρίας/οργανισμού.

Ας δούμε και ένα παράδειγμα…

Ας υποθέσουμε ότι η εταιρία/οργανισμός σας έχει ένα γραφείο εύρεσης εργασίας και για αυτόν τον λόγο συγκεντρώνει τα βιογραφικά των ατόμων που θέλουν να βρουν απασχόληση και τα οποία σας καταβάλλουν αμοιβή γι’ αυτό.

Φυλάτε, λοιπόν, τα δεδομένα των ατόμων για 20 χρόνια και δεν ασχολείστε καθόλου με την ενημέρωση των βιογραφικών.

Η περίοδος αποθήκευσης δεν φαίνεται ανάλογη με τον σκοπό εύρεσης εργασίας για ένα άτομο σε βραχυπρόθεσμο με μεσοπρόθεσμο ορίζοντα.

Ακόμη, το γεγονός ότι δεν λαμβάνετε μέτρα για την ενημέρωση των βιογραφικών ανά τακτά χρονικά διαστήματα καθιστά προβληματικές κάποιες από τις αναζητήσεις απασχόλησης για το άτομο, καθώς το τελευταίο μπορεί να έχει αποκτήσει νέα προσόντα μετά από ορισμένο χρονικό διάστημα.

Φυσικά, για όσο καιρό αποθηκεύονται από τον υπεύθυνο επεξεργασίας θα πρέπει να είναι ακριβή και ασφαλή, χωρίς τον κίνδυνο της αλλοίωσης ή της απώλειάς τους. Γι’ αυτό το λόγο η εταιρία οφείλει να λαμβάνει διάφορα οργανωτικά και τεχνικά μέτρα για την προστασία και την διατήρηση της ασφάλειάς τους. (για περισσότερες πληροφορίες στο άρθρο μας για τα οργανωτικά και τεχνικά μέτρα)

Μερικοί χώροι αποθήκευσης των προσωπικών δεδομένων

  • διακομιστές/server
  • email
  • υπολογιστές (desktop και laptop)
  • συσκευές ιδιοκτησίας των εργαζομένων (BYOD)
  • cloud
  • φυσικά έντυπα αρχεία
  • δίσκοι αποθήκευσης backup
  • usb flash drivers

Συγγραφέας

Eleni-Kostakoglou
Ελένη Κωστάκογλου
Νομικός