Фокус 4: обработка на данни и лични отговорности

Какво се случва, ако купим продукт от сайт за електронна търговия и на следващия ден разберем, че кредитът на кредитната ни карта е изчерпан? Как се управляват нашите предпочитания и следователно нашите данни, когато се съгласим да разглеждаме уебсайт или блог? И отново: на кого наистина поверяваме лична информация, след като формулярът за контакт е попълнен? Ще се опитаме да отговорим на тези и други въпроси в този четвърти e последно прозрение посветен на информационната сигурност в дигиталната ера. Да, защото обработката на данни върви ръка за ръка с личните отговорности на администраторите на сайта, т.е. хората, които притежават сайт или дигитален проект. Ситуацията винаги е била фрагментирана, поне до преди няколко години. Епохалната промяна дойде през 2018 г., с появата на Общ регламент за защита на данните, също известен като GDPR. Нека започнем точно от тази точка и да видим как да настроим политика за управление на данни по работен начин.

ЕВРОПЕЙСКИЯТ GDPR И ДЕЙСТВИТЕЛНИЯТ ОБХВАТ НА ПРИЛОЖЕНИЕ

Невъзможно е никога да не сте чували за Общия регламент за защита на данните, официално регламент (ЕС) n. 2016/679. Действащ вече две години, GDPR бележи началото на нова ера, повишавайки нивото на защита на потребителите по отношение на обработката на лични данни от уебсайтове, блогове, електронна търговия и виртуални пространства като цяло (форуми, целеви страници, платформи за видео стрийминг, търсачки и др.). Говорейки в няколко реда за този безграничен и отчасти двусмислен законодателен инструмент е мисия невъзможна, остава фактът, че е наш дълг да предоставим някои полезни насоки, за да хвърлим светлина върху толкова обширен и сложен въпрос. Първо нека разгледаме основните моменти от GDPRнека обаче се опитаме да разберем какъв е действителният му обхват на приложение.

Кои държави са засегнати от GDPR?

Всяка държава, в която работи организация, която се обръща към гражданите на ЕС чрез мрежата и обработва определени лични данни, е страна, в която GDPR има право да се прилага. До този извод се стига чрез събиране на площите, определени от GDRP. От това може да се заключи, че практически всички компании и специалисти, които имат отношения с Европейския съюз, от Швейцария до Съединените американски щати и много други, трябва да спазват регламента. За повече информация по този въпрос препоръчваме да прочетете това пълно ръководство за GDPR.

Ако приемем, че GDPR има правна стойност в Швейцария, както и в останалата част на Европа, нека видим точка по точка i основни аспекти, които трябва да имате предвид да тълкуват правилно регламента и да го прилагат по съответния начин.

• всеки потребител, който посещава вашия сайт, трябва да потвърди съгласието си за обработка на данни. Съгласието трябва да бъде свободно, конкретно, информирано и оттегляемо по всяко време
• при липса на съгласие се предполага, че данните НЯМА да бъдат събрани или че посещението на сайта ще бъде предотвратено
• съгласията трябва да бъдат архивирани и запомнени, така че винаги да могат да бъдат намерени от всякакви агенти и държавни органи
• регистърът на съгласието трябва да съдържа поредица от съществена информация, като например момента, в който е дадено съгласието
• съгласието не е единственото възможно правно основание, а едно от 6-те предвидени от GDPR. Въпреки това, в много ситуации и за много фирми, консенсусът остава най-лесният начин

ДИРЕКТИВАТА ЗА ЕЛЕКТРОННА ПОВЕРИТЕЛНОСТ (ЗАКОН ЗА БИСКВИТКИТЕ)

GDPR не е единственото позоваване, което трябва да се спазва. Директива 2009/136/EО (известна още като Директива за ePrivacy) е вторият основен инструмент за правилното управление на личните данни. конкретно законодателство правилата за използване на бисквитки на трети страни във вашето собствено виртуално пространство или по-скоро изискванията, които позволяват активирането на бисквитки при първото посещение на нов потребител. Отново принципът се основава на максимална защита, предлагайки на потребителя пълната възможност да откаже достъпа на бисквитки до своите данни с едно кликване. Както ще видим в последния параграф, администраторът и следователно мениджърът на уебсайта трябва да предостави на потребителя система, обикновено банер, за приемете или откажете достъпа до бисквитки.

Някои бисквитки са освободени от този тип съгласие, но е много вероятно даден бизнес сайт да хоства поне един цифров токен или бисквитка. Политиката за поверителност трябва да бъде докладвана в конкретен документ и това важи и за политиката за бисквитки. В момента директивата за ePrivacy или законът за бисквитките е в процес на обсъждане, тъй като намеренията на законодателите са насочени към преход към това, което ще бъде Регламентът за ePrivacy, действащ в съответствие с GDPR. По всяка вероятност обаче, няма да има съществени промени в разпоредбите, поради което е добре точно сега да се адаптираме и да пристигнем подготвени за одобрението на регламента, предназначен да бъде официален след няколко години.

ЗАКОНА ЗА ПОВЕРИТЕЛНОСТТА НА ПОТРЕБИТЕЛИТЕ В КАЛИФОРНИЯ (CCPA)

Законът за защита на личните данни на потребителите в Калифорния влезе в сила на 1 юли 2020 г., една от най-структурираните форми на защита, одобрени в момента в Съединените щати, както и базова насока за всеки щат на САЩ извън Калифорния. Както е в случая с GDPR за Европа, CCPA също има огромни последици за САЩ, като например излизане извън границите на собствената държава. Въпреки че не е толкова ограничителен, CCPA може също така да има реално въздействие върху вашия бизнес, базиран в Швейцария или друга страна. Условията, на които трябва да отговаряте, в допълнение към адресирането към гражданите на Калифорния, включват:

• имат годишни брутни продажби над 25 милиона долара; или
• като най-малко 50% от оборота идва от продажба на лични данни

или

• купувате, получавате, продавате или споделяте личната информация на 50.000 XNUMX или повече потребители всяка година за търговски цели.

Труден? Не точно. Тъй като IP адресите са лични данни, вероятно всеки уебсайт, който на година вземете от Калифорния 50.000 XNUMX+ уникалните посетители са в обхвата на CCPA. Това е само един пример за това как глобализацията, също и преди всичко информационните технологии, сега е създала връзки и взаимозависимости между националните законодателства.

КАК ДА СПАЗВАМЕ ДИРЕКТИВИТЕ ЗА ДАННИ

В светлината на написаното дотук адаптирането към национални, европейски и международни директиви със сигурност не е достъпна задача без използването на подходящи инструменти. Неслучайно те са разработени през последните години цели платформи, предназначени да управляват задължения от GDPR (и не само) с бърз, практичен и отчасти автоматичен подход. Администраторът на уебсайта, т.е. собственикът на организацията, уебмастърът или агенцията, която следва проекта, просто трябва да се регистрира в тези платформи и да попълни данните, изисквани от системата (собственик на данни, url на сайта и т.н.). В този момент софтуерът и свързаният плъгин ще покажат на потребителите банера, който обобщава правилата и условията на проследяване на данни и активиране на бисквитки.

Същите платформи, поне най-известните, могат да генерират документи за политика за поверителност, политики за бисквитки и всякакви правила и условия, с предварително форматиран текст, който просто трябва да попълните и персонализирате според нуждите. Сред имената на най-успешните платформи споменаваме без определен ред италианската Iubenda, американската Quantcast или датската Cookiebot, всяка специализирана в регламент или набор от регламенти. Предоставените решения са безплатни но в този случай те имат ограничена функционалност. Ето защо ние от Innovando препоръчваме да изберете плана, който най-добре отговаря на размера и ефективните методи за събиране на данни на организацията, като по този начин се избягват всякакви хипотези за престъпление. Не се забърквате с потребителските данни, особено след като санкциите, в случай на неспазване, те могат да бъдат много, много солени.

Надяваме се, че сме ви дали цялата необходима информация. Ако не, моля свържете се с нас без задължение за a безплатни и персонализирани съвети относно защитата на данните.