Пристигането на Общия регламент за защита на данните

Какво представлява GDPR и какво означава защита на личните данни за уебсайтове и сайтове за електронна търговия

Целите на Общия регламент за защита на данните

За да разберем по-добре полезността на това законодателство, прието от Европейския съюз, е важно да изброим целите на GDPR. С този нов регламент потребителите трябва преди всичко да бъдат по-наясно със съдбата на своите лични данни и преди всичко трябва да предоставят изрично съгласие. След това същите данни трябва да се използват с изключителна пестеливост, като се определят строги правила, за да се позволи обработката им извън Европейската общност, и накрая трябва да има строги санкции за онези, които нарушават разпоредбите на Общия регламент за защита на данните. Това са точките, на които се основава този нов регламент за поверителност, но малко след публикуването му Общият регламент за защита на данните вече представя някои недостатъци.

„Съотношението“ на страните членки и италианското блато

Общият регламент за защита на данните се представи като система от правила, която гарантира важна репресия в името на поверителността. По време на законодателството обаче ЕС остави на държавите-членки възможността да могат да „тълкуват“ разпоредбите, съдържащи се в този нов документ. Това означава, че много обещаваната твърдост е изчезнала, преди дори да е започнала, и френските и испанските потребители, например, може да видят, че техните лични данни се третират по различен начин от португалските или немските потребители. Италианският случай е още по-особен: към днешна дата нашето правителство все още не е издало законодателния указ, свързан с Общия регламент за защита на данните, следователно европейският регламент все още е валиден у нас. Нещото само по себе си би могло да има и положителни страни, ако не беше фактът, че при липсата на законодателен декрет не е възможно да се преследват и наказват онези, които нарушават разпоредбите на този нов документ за неприкосновеност на личния живот.

Какво се разбира под „лични данни“?

Терминът „лични данни“ се използва (и злоупотребява) в различни сфери на ежедневието, но е подвеждаща концепция за всички неспециалисти. В същото време, като се има предвид, че говорим за защита на чувствителни данни и правила срещу нарушаване на неприкосновеността на личния живот, от съществено значение е да имате ясна представа за „лични данни". Цялата тази информация позволява едно лице да бъде идентифицирано недвусмислено от останалите "лични данни": следователно тази категория включва име, фамилия, данъчен код, дата на раждане, адрес, телефонен номер и много други. Въпреки това, когато говорим за поверителност на уеб порталите, има други елементи, които уникално идентифицират даден субект, дори ако те се дължат повече на устройствата, които същият използва: IP адреси, имейл адреси, бисквитки и др.

В светлината на това определение възниква въпросът: но кога потребителите решават да поверят своите чувствителни данни на уебсайт? В по-голямата част от случаите тази операция се извършва по време на фазата на регистрация в портала, независимо дали е насочена към създаване на запазена зона или дори само за абониране за бюлетин. По-конкретно тогава много сайтове за електронна търговия те също така имат достъп до други видове данни, които могат да бъдат определени като „чувствителни“: на първо място тези от финансов характер (банкови кодове, IBAN и данъчно местоживеене), които очевидно са от съществено значение за извършването на онлайн транзакции. По-малко разглеждани, но все пак приписвани на категорията на личните данни, са и навиците за потребление: коя социална мрежа използвате? Коя е любимата ти напитка? Кой е последният артикул, който купихте онлайн? Тези на пръв поглед тривиални въпроси създават потребителски профил, така че на потребителя да се предлагат само стоки и услуги, които наистина могат да събудят любопитството му. Използването на тези данни за търговски цели също трябва да бъде ясно обяснено на потребителя, винаги в съответствие с разпоредбите на Общия регламент за защита на данните.

Какво да правим с новия Общ регламент за защита на данните

Задълбочете теоретичните аспекти зад защита на личните данни това е от съществено значение, но всички онези, които управляват уеб портали и сайтове за електронна търговия, основно искат да разберат какви са новите операции, които трябва да се извършват по отношение на това ново законодателство за поверителност.

Формуляри за контакт, комбинирани с Политика за поверителност

Както писахме по-рано, потребителите трябва да са наясно, че техните лични данни могат да бъдат събирани и обработвани за определени цели. Ето защо е от съществено значение потребителят, когато прави регистрации в сайтове за електронна търговия или посещава интернет портал, да упражнява изрично своето съгласие. Поради тази причина Общият регламент за защита на данните задължава всички интернет сайтове да имаш такъв Политика за Поверителност, или документация, в която на потребителите се обяснява какви видове данни се събират, кой е субектът, който ги събира и защо го правят, но преди всичко трябва да се изясни дали те се прехвърлят на трети страни и колко дълго се съхраняват в порталната база данни. Като се има предвид, че такъв документ най-често е особено дълъг и скучен, а уеб потребителите (въпреки личната си безопасност) са склонни да избягват интернет сайтове, където има дълги текстове за четене, се установи, че Политиките за поверителност трябва да бъдат комбинирани с тези форми, в които потребителят физически въвежда личните си данни. Поради тази причина, когато например се абонирате за бюлетин на уебсайт, в допълнение към въвеждането на вашето име, фамилия и имейл адрес, потребителят трябва да "маркира" полето, свързано с разрешението за обработка на лични данни.

Регистриране на данни и Google Analytics

Това ново законодателство, наред с други неща, в допълнение към регулирането на защитата на личните данни също задължава мениджърите на сайтове за електронна търговия и уеб портали да се регистрират и да пазят чувствителни потребителски препратки. Не само това, дори датата, на която потребителят е дал съгласието си за обработка на личните му данни, трябва да може лесно да се провери. Оттук и необходимостта уебсайтовете да имат реална база данни, от която да се възползват по всяко време, която трябва да бъде комбинирана с инструмент за регистриране на данни. Последният е софтуер, който записва IP адреса на устройството, с което потребителят влиза в портала, като по този начин е възможно по всяко време да се провери произхода, датата и часа на даденото съгласие.

Те трябва да прибягват до инструменти за регистриране на данни, например всички онези портали, в които потребителите имат собствена „запазена зона“, където не само могат да проверяват своите чувствителни данни по всяко време, но ако е необходимо, могат също да ги променят и/или или изтрийте ги. Един от най-известните инструменти за регистриране на данни в света е Google Analytics, софтуерът на компанията Mountain View със същото име, който потребителите използват, за да проверят ефективността на своя уебсайт. Google Analytics записва за всеки потребител IP адрес, посетени страници, прекарано време и много други данни. Мениджърите на уебсайтовете, които използват този софтуер, винаги в съответствие с разпоредбите на Общия регламент за защита на данните, трябва да направят изрично използването на програми като Google Analytics в рамките на своя портал.

Тук идва длъжностното лице по защита на данните

Новите правила за сигурност на личните данни предоставят конкретна професионална фигура, която трябва да поеме отговорност за управлението и защитата на това, което потребителите поверяват на уеб порталите. Тази фигура е известна с имената Служител по защита на данните или Защита на данните (съкратено DPO). Мениджърът по защита на данните трябва преди всичко да има задълбочени познания не само за Общия регламент за защита на данните, но и за всички други действащи разпоредби относно поверителността, независимо дали минали, настоящи или бъдещи. Тогава той трябва да бъде абсолютно независима фигура по отношение на собствеността върху уебсайта, който не получава заповеди от никого и който трябва да говори директно с висшето ръководство на организационната схема на компанията. В същото време, най-накрая, трябва да може да черпи от финансови и човешки ресурси, които да му позволят да изпълнява установеното от новите разпоредби за сигурността на личните данни по най-добрия възможен начин. Всъщност дори зад фигурата на DPO има няколко недостатъка и аспекти за изясняване. Едно преди всичко се отнася до уменията на длъжностното лице по защита на данните: в действителност тази фигура не само трябва да има правилните умения по отношение на разпоредбите за поверителност, но също така трябва да е компетентна по въпросите, разглеждани от уеб портала, особено ако те са от определено значение (помислете за портали, занимаващи се с теми от медицинско-научно естество). От само себе си се разбира, че намирането на всички тези умения в една фигура най-често е трудно, ако не и невъзможно.

Какъв е рискът от нарушаване на Общия регламент за защита на данните?

Както също споменахме по-горе, рамката за санкциониране, свързана с това ново законодателство за неприкосновеността на личния живот, все още е непълна, особено тук, в Италия, където липсата на конкретен законодателен указ прави нарушителите, поне на хартия, неподлежащи на наказателно преследване. Искайки обаче да дадем много кратко резюме на санкциите, наложени на онези, които не поставят сигурността на личните данни на потребителите на първо място, можем да ги разделим на две макро области: