Zameranie 4: spracovanie údajov a osobné povinnosti

Čo sa stane, ak si kúpime produkt z e-shopu a na druhý deň zistíme, že na našej kreditnej karte sa minul kredit? Ako sú spravované naše preferencie, a teda naše údaje, keď súhlasíme s prehliadaním webovej stránky alebo blogu? A ešte raz: komu skutočne zveríme osobné údaje po vyplnení kontaktného formulára? Na tieto a ďalšie otázky sa pokúsime odpovedať v tomto štvrtom e posledný poznatok venovanej informačnej bezpečnosti v digitálnom veku. Áno, pretože spracovanie údajov ide ruka v ruke s osobnými povinnosťami správcov stránok, teda ľudí, ktorí vlastnia stránku alebo digitálny projekt. Situácia bola vždy roztrieštená, aspoň pred pár rokmi. Epochálna zmena prišla v roku 2018, s príchodom r Všeobecné nariadenie o ochrane údajov, taktiež známy ako GDPR. Začnime hneď od tohto bodu a pozrime sa, ako nastaviť politiku správy údajov pracovným spôsobom.

EURÓPSKE GDPR A SKUTOČNÝ ROZSAH PÔSOBNOSTI

Je nemožné, aby ste nikdy nepočuli o všeobecnom nariadení o ochrane údajov, oficiálne nariadení (EÚ) č. 2016/679. GDPR, ktoré funguje už dva roky, znamená začiatok novej éry, ktorá zvyšuje úroveň ochrany používateľov pri spracúvaní osobných údajov webové stránky, blogy, elektronický obchod a virtuálne priestory vo všeobecnosti (fóra, vstupné stránky, platformy na streamovanie videa, vyhľadávače atď.). Hovoriť v niekoľkých riadkoch o tomto bezbrehom a čiastočne nejednoznačnom legislatívnom nástroji je nesplniteľná úloha, faktom však zostáva, že je našou povinnosťou poskytnúť niekoľko užitočných usmernení na objasnenie tak rozsiahleho a zložitého problému. Najprv sa pozrime na to najdôležitejšie z GDPRskúsme však pochopiť, aký je jej skutočný rozsah pôsobnosti.

Ktoré krajiny sú ovplyvnené GDPR?

Každá krajina, v ktorej pôsobí organizácia, ktorá oslovuje občanov Európskej únie prostredníctvom webu spracúvaním určitých osobných údajov, je krajinou, v ktorej má právo uplatňovať GDPR. K tomuto záveru sa dospelo sčítaním oblastí špecifikovaných v GDRP. Z toho možno vyvodiť, že nariadenie musia dodržiavať prakticky všetky spoločnosti a odborníci, ktorí majú vzťahy s Európskou úniou, od Švajčiarska po Spojené štáty americké a mnoho ďalších. Pre viac informácií o tomto odporúčame prečítať tohto úplného sprievodcu GDPR.

Za predpokladu, že GDPR má právnu hodnotu vo Švajčiarsku, ako aj vo zvyšku Európy, pozrime sa bod po bode i hlavné aspekty, ktoré treba mať na pamäti správne vykladať nariadenie a podľa toho ho uplatňovať.

• každý používateľ, ktorý navštívi vašu stránku, musí potvrdiť svoj súhlas so spracovaním údajov. Súhlas musí byť slobodný, konkrétny, informovaný a kedykoľvek odvolateľný
• v prípade absencie súhlasu sa predpokladá, že údaje NEBUDÚ zhromažďované alebo že návšteva stránky bude zamedzená
• súhlasy musia byť archivované a zapamätané, aby ich mohli kedykoľvek nájsť agenti a štátne orgány
• register súhlasov musí obsahovať sériu základných informácií, ako napríklad okamih, kedy bol súhlas udelený
• súhlas nie je jediným možným právnym základom, ale jedným zo 6, ktoré GDPR poskytuje. V mnohých situáciách a pre mnohé podniky však zostáva konsenzus najjednoduchšou cestou

SMERNICA O OCHRANE OSOBNÝCH ÚDAJOV ePrivacy (zákon o súboroch cookie)

GDPR nie je jediným odkazom, ktorý treba dodržiavať. Smernica 2009/136/ES (známa aj ako smernica o elektronickom súkromí) je druhým základným nástrojom pre správnu správu osobných údajov. osobitné právne predpisy pravidlá používania súborov cookie tretích strán v rámci vlastného virtuálneho priestoru, respektíve požiadavky, ktoré umožňujú aktiváciu cookies pri prvej návšteve nového používateľa. Princíp je opäť založený na maximálnej ochrane a ponúka užívateľovi plnú možnosť odmietnuť prístup cookies k jeho údajom jednoduchým kliknutím. Ako uvidíme v poslednom odseku, správca a teda správca webovej stránky musí poskytnúť používateľovi systém, zvyčajne banner, aby prijať alebo odmietnuť prístup k súborom cookie.

Niektoré súbory cookie sú oslobodené od tohto typu súhlasu, ale je veľmi pravdepodobné, že stránka s obchodnou vitrínou hostí aspoň jeden digitálny token alebo súbor cookie. Zásady ochrany osobných údajov musia byť uvedené v konkrétnom dokumente, a to platí aj pre zásady používania súborov cookie. V súčasnosti sa diskutuje o smernici o elektronickom súkromí alebo zákone o súboroch cookie, pretože zámery zákonodarcov smerujú k prechodu na nariadenie o súkromí a elektronických komunikáciách fungujúce v súlade s GDPR. S najväčšou pravdepodobnosťou však nedôjde k žiadnym výrazným zmenám v ustanoveniach, a preto je dobré sa už teraz prispôsobiť a pripraviť sa na schválenie nariadenia, ktoré sa má zoficiálniť v priebehu niekoľkých rokov.

CALIFORNIA CONSUMER PRIVACY ACT (CCPA)

Dňa 1. júla 2020 vstúpil do platnosti kalifornský zákon o ochrane súkromia spotrebiteľov, jedna z najštruktúrovanejších foriem ochrany, ktorá je v súčasnosti schválená v Spojených štátoch, ako aj základné usmernenia pre každý štát USA mimo Kalifornie. Ako je to v prípade Európy s GDPR, aj CCPA má obrovské dôsledky pre USA, napríklad prekročenie hraníc vlastnej krajiny. Hoci CCPA nie je taká obmedzujúca, môže mať skutočný vplyv aj na vaše podnikanie so sídlom vo Švajčiarsku alebo v akejkoľvek inej krajine. Podmienky, ktoré musíte splniť, okrem oslovenia občanov Kalifornie, zahŕňajú:

• majú ročné hrubé tržby presahujúce 25 miliónov USD; alebo
• má aspoň 50 % svojho obratu z predaja osobných údajov

alebo

• kupovať, prijímať, predávať alebo zdieľať osobné údaje 50.000 XNUMX alebo viacerých spotrebiteľov každý rok na komerčné účely.

ťažké? Nie práve. Keďže IP adresy sú osobné údaje, je pravdepodobné, že každá webová stránka, ktorá za rok dostať z Kalifornie 50.000 XNUMX+ jedineční návštevníci spadajú do pôsobnosti zákona CCPA. Toto je len jeden príklad toho, ako globalizácia a predovšetkým informačné technológie teraz vytvorili prepojenia a vzájomné závislosti medzi vnútroštátnymi právnymi predpismi.

AKO DODRŽIAVAŤ SMERNICU O ÚDAJOCH

Vo svetle toho, čo bolo doteraz napísané, prispôsobenie sa národným, európskym a medzinárodným smerniciam určite nie je jednoduchou úlohou bez použitia vhodných nástrojov. Nie je náhoda, že boli vyvinuté v posledných rokoch celé platformy určené na správu záväzkov GDPR (nielen) rýchlym, praktickým a čiastočne automatickým prístupom. Správcovi webu, teda vlastníkovi organizácie, webmasterovi alebo agentúre, ktorá projekt sleduje, sa stačí na týchto platformách zaregistrovať a vyplniť údaje požadované systémom (vlastník údajov, url stránky atď.). ). V tomto bode softvér a súvisiaci doplnok zobrazia používateľom banner, ktorý zhŕňa zmluvné podmienky sledovanie údajov a aktivácia cookies.

Rovnaké platformy, aspoň tie najznámejšie, sú schopné generovať dokumenty so zásadami ochrany osobných údajov, zásady používania súborov cookie a akékoľvek zmluvné podmienky s vopred naformátovaným textom, ktorý stačí podľa potreby vyplniť a prispôsobiť. Medzi menami najúspešnejších platforiem v žiadnom konkrétnom poradí neuvádzame taliansku Iubendu, americký Quantcast alebo dánsky Cookiebot, pričom každá sa špecializuje na reguláciu alebo súbor nariadení. Poskytované riešenia sú bezplatné ale v tomto prípade majú obmedzenú funkčnosť. My v Innovando preto odporúčame zvoliť plán, ktorý najlepšie zodpovedá veľkosti a efektívnym metódam zberu dát organizácie, čím sa vyhneme akejkoľvek hypotéze o kriminalite. S používateľskými údajmi sa nehrabete, najmä preto, že sankcie v prípade nedodržania môžu byť veľmi, veľmi slané.

Dúfame, že sme vám poskytli všetky potrebné informácie. Ak nie, nezáväzne nás kontaktujte pre a bezplatné a personalizované poradenstvo o ochrane údajov.