Фокус 4: обробка даних і особисті обов'язки

Що станеться, якщо ми купимо продукт на сайті електронної комерції, а наступного дня зрозуміємо, що на нашій кредитній картці закінчився кредит? Яким чином обробляються наші вподобання та, отже, наші дані, коли ми погоджуємося переглядати веб-сайт або блог? І знову: кому ми насправді довіряємо особисту інформацію після заповнення контактної форми? Ми спробуємо відповісти на ці та інші запитання в цьому четвертому е останнє розуміння присвячений інформаційній безпеці в епоху цифрових технологій. Так, тому що обробка даних йде рука об руку з особистими обов’язками адміністраторів сайту, тобто людей, які володіють сайтом або цифровим проектом. Ситуація завжди була фрагментарною, принаймні до кількох років тому. Епохальна зміна настала у 2018 році, з появою Загальний регламент захисту даних, також відомий як GDPR. Давайте почнемо з цього моменту та подивимося, як налаштувати політику керування даними професійним способом.

ЄВРОПЕЙСЬКИЙ GDPR ТА ФАКТИЧНА СФЕРА ЗАСТОСУВАННЯ

Неможливо ніколи не чути про Загальний регламент захисту даних, офіційно регламент (ЄС) n. 2016/679. GDPR, який діє вже два роки, ознаменував початок нової ери, підвищуючи рівень захисту користувачів щодо обробки персональних даних веб-сайти, блоги, електронна комерція та віртуальні простори загалом (форуми, цільові сторінки, платформи потокового відео, пошукові системи тощо). Розповісти кількома рядками про цей безмежний і частково неоднозначний законодавчий інструмент — це нездійсненна місія, факт залишається фактом: наш обов’язок — надати деякі корисні вказівки, щоб пролити світло на таке велике та складне питання. Спочатку розглянемо основні моменти GDPR, але давайте спробуємо зрозуміти, яка його фактична сфера застосування.

На які країни поширюється дія GDPR?

Кожна країна, в якій працює організація, яка звертається до громадян ЄС через Інтернет і обробляє певні персональні дані, є країною, у якій має право застосовуватися GDPR. До такого висновку дійшли суми площ, визначених GDRP. Звідси можна зробити висновок, що практично всі компанії та професіонали, які мають відносини з Європейським Союзом, від Швейцарії до Сполучених Штатів Америки та багато інших, повинні дотримуватися цього положення. Для отримання додаткової інформації про це рекомендуємо прочитати цей повний посібник із GDPR.

Якщо припустити, що GDPR має юридичну силу в Швейцарії, а також в решті Європи, давайте розглянемо пункт за пунктом i основні аспекти, про які слід пам’ятати правильно тлумачити положення та застосовувати його відповідно.

• кожен користувач, який відвідує ваш сайт, повинен підтвердити свою згоду на обробку даних. Згода має бути вільною, конкретною, інформованою та відкликаною в будь-який час
• за відсутності згоди передбачається, що дані НЕ збиратимуться або що відвідування сайту буде заборонено
• згоди необхідно архівувати та запам'ятовувати, щоб їх завжди могли знайти будь-які агенти та державні органи
• реєстр згоди повинен містити низку важливої ​​інформації, такої як момент, коли було надано згоду
• згода є не єдиною можливою правовою підставою, а однією з 6 передбачених GDPR. Однак у багатьох ситуаціях і для багатьох компаній консенсус залишається найпростішим шляхом

ДИРЕКТИВА ПРО ЕЛЕКТРОННУ КОНФІДЕНЦІЙНІСТЬ (ЗАКОН ПРО ФАЙЛИ COOKIE)

GDPR – не єдине посилання, яке слід дотримуватися. Директива 2009/136/EC (також відома як Директива про електронну конфіденційність) є другим фундаментальним інструментом для правильного управління персональними даними. конкретне законодавство правила використання сторонніх файлів cookie у вашому власному віртуальному просторі, а точніше вимоги, які дозволяють активацію файлів cookie під час першого візиту нового користувача. Знову ж таки, принцип базується на максимальному захисті, пропонуючи користувачеві повну можливість відхилити доступ файлів cookie до своїх даних простим клацанням миші. Як ми побачимо в останньому параграфі, адміністратор і, отже, менеджер веб-сайту повинні надати користувачеві систему, як правило, банер, щоб прийняти або відхилити доступ до файлів cookie.

Деякі файли cookie звільняються від цього типу згоди, але дуже ймовірно, що сайт бізнес-вітрини містить принаймні один цифровий маркер або файл cookie. Політику конфіденційності необхідно викласти в окремому документі, і це також стосується політики щодо файлів cookie. На даний момент обговорюється Директива про ePrivacy або закон про файли cookie, оскільки наміри законодавців спрямовані на перехід до того, що буде Регламентом про ePrivacy, який діятиме відповідно до GDPR. Цілком ймовірно, проте, істотних змін не буде у положеннях, тому добре зараз адаптувати та прийти підготовленим для затвердження регламенту, який має бути офіційним протягом кількох років.

АКТ КАЛІФОРНІЇ ПРО КОНФІДЕНЦІЙНІСТЬ СПОЖИВАЧІВ (CCPA)

1 липня 2020 року набув чинності Каліфорнійський закон про конфіденційність споживачів, це одна з найбільш структурованих форм захисту, затверджених наразі в Сполучених Штатах, а також базові настанови для кожного штату США за межами Каліфорнії. Як і у випадку з GDPR для Європи, CCPA також має величезні наслідки для США, наприклад, вихід за межі власної країни. Незважаючи на те, що CCPA не є таким обмежувальним, він також може мати реальний вплив на ваш бізнес у Швейцарії чи будь-якій іншій країні. Умови, які ви повинні відповідати, окрім звернення до громадян Каліфорнії, включають:

• мати річний валовий обсяг продажів понад 25 мільйонів доларів США; або
• щонайменше 50% свого обороту припадає на продаж персональних даних

або

• купувати, отримувати, продавати або ділитися особистою інформацією 50.000 XNUMX або більше споживачів щороку в комерційних цілях.

Важко? Не зовсім. Оскільки IP-адреси є особистими даними, імовірно, що будь-який веб-сайт, який в рік отримати з Каліфорнії 50.000 XNUMX+ на унікальних відвідувачів поширюється дія CCPA. Це лише один із прикладів того, як глобалізація, а також і, насамперед, інформаційні технології, створили зв’язки та взаємозалежність між національними законодавствами.

ЯК ДОТРИМУВАТИСЯ ПРАВИЛ ЩОДО ДАНИХ

З огляду на те, що було написано досі, адаптація до національних, європейських і міжнародних директив, звичайно, не є доступним завданням без використання відповідних інструментів. Не випадково вони були розроблені в останні роки цілі платформи, призначені для управління зобов’язаннями GDPR (і не тільки) швидким, практичним і частково автоматичним підходом. Адміністратор веб-сайту, тобто власник організації, веб-майстер або агентство, яке стежить за проектом, все, що він повинен зробити, це зареєструватися на цих платформах і заповнити дані, які вимагає система (власник даних, URL-адреса сайту тощо). ). На цьому етапі програмне забезпечення та пов’язаний плагін покажуть користувачам банер, який підсумовує положення та умови відстеження даних і активація файлів cookie.

Ті самі платформи, принаймні найвідоміші, можуть генерувати документи щодо політики конфіденційності, політики щодо файлів cookie та будь-які положення та умови з попередньо відформатованим текстом, який вам потрібно лише заповнити та налаштувати за потреби. Серед імен найуспішніших платформ ми згадуємо без особливого порядку італійську Iubenda, американську Quantcast або датську Cookiebot, кожна з яких спеціалізується на регулюванні або наборі положень. Надані рішення безкоштовні але в цьому випадку вони мають обмежену функціональність. Тому ми в Innovando рекомендуємо вибрати план, який найкраще відповідає розміру та ефективним методам збору даних організації, таким чином уникаючи будь-якої гіпотези злочину. Ви не возитеся з даними користувачів, тим більше, що штрафи, у разі невиконання, вони можуть бути дуже і дуже солоними.

Сподіваємось, ми надали вам всю необхідну інформацію. Якщо ні, будь ласка, зв'яжіться з нами без зобов'язань для a безкоштовні та індивідуальні консультації про захист даних.