Andmekaitse üldmääruse saabumine

Juuni 24, 2019
|In Esiplaanil, Veebi jaoks, Turvalisus ja privaatsus, Äri jaoks, Ettevõtlus ja äriarendus, Kommunikatsioon ja meedia, Ei tohi mööda lasta, Meile
|By Andreas Arno Michael Voigt

Andmekaitse üldmääruse saabumine

GDPR, mis see on ja mida tähendab veebisaitide ja e-kaubandussaitide isikuandmete kaitsmine

25. mai 2018 on Euroopa Ühenduse-siseses isikuandmete haldamises epohhaalne kuupäev. Sellel kuupäeval jõustub Andmekaitse üldmäärus, mida tuntakse paremini akronüümi järgi GDPR, seadus, mis kaitseb füüsilisi isikuid ja nende isikuandmete haldamist. See reegel tuleb pärast pikka seadusandlikku protsessi ja on loomulik tagajärg maailmast, kus uued tehnoloogiad seavad keskmesse erinevate kasutajate tundlikud andmed, kes neid kasutavad. Nendes ridades püüame GDPR-i üksikasjalikult selgitada ja mõista selle rakendamist veebisaitidel ja e-kaubanduse portaalides.

Andmekaitse üldmääruse eesmärgid

Selle Euroopa Liidus vastu võetud õigusakti kasulikkuse paremaks mõistmiseks on oluline loetleda GDPR-i eesmärgid. Selle uue määrusega peavad kasutajad ennekõike olema teadlikumad oma isikuandmete saatusest ja andma ennekõike selgesõnalise nõusoleku. Seejärel tuleb samu andmeid kasutada äärmise vaoshoitusega, kehtestades ranged reeglid, mis võimaldavad neid töödelda väljaspool Euroopa Ühendust, ja lõpuks tuleb anda isikuandmete kaitse üldmääruse sätete rikkujatele karmid karistused. Need on punktid, millel uus privaatsusmäärus põhineb, kuid varsti pärast selle avaldamist on isikuandmete kaitse üldmääruses juba mõned vead.

Liikmesriikide ja Itaalia mülka "suhe".

Isikuandmete kaitse üldmäärus on end esitlenud kui reeglite süsteemi, mis tagab eraelu puutumatuse nimel olulise mahasurumise. Seaduse väljatöötamise ajal jättis EL aga liikmesriikidele võimaluse selles uues dokumendis sisalduvaid määrusi "tõlgendada". See tähendab, et paljulubatud jäikus on kadunud juba enne selle algust ning näiteks Prantsusmaa ja Hispaania kasutajad võivad näha, et nende isikuandmeid koheldakse teisiti kui Portugali või Saksamaa kasutajaid. Itaalia juhtum on veelgi omanäolisem: meie valitsus ei ole seni veel andnud välja andmekaitse üldmäärust puudutavat seadusandlikku dekreeti, mistõttu Euroopa määrus kehtib meie riigis endiselt. Asjal iseenesest võiks olla ka positiivseid külgi, kui poleks seda, et seadusandliku dekreedi puudumisel ei ole võimalik vastutusele võtta ja karistada neid, kes rikuvad selle uue privaatsusdokumendi sätteid.

Mida mõeldakse "isikuandmete" all?

Mõistet "isikuandmed" kasutatakse (ja kuritarvitatakse) igapäevaelu erinevates valdkondades, kuid see on eksitav mõiste kõigi mitteekspertide jaoks. Samas, arvestades, et me räägime tundlike andmete kaitsest ja reeglitest eraelu puutumatuse rikkumise vastu, on oluline omada selget ettekujutust "isikuandmetest". Kogu see teave võimaldab isikut üheselt tuvastada. "isikuandmed": see kategooria sisaldab seega nime, perekonnanime, maksukoodi, sünniaega, aadressi, telefoninumbrit ja palju muud. Kui aga räägime veebiportaalide privaatsusest, siis on ka teisi elemente, mis teemat üheselt identifitseerivad, isegi kui need on rohkem omistatavad seadmetele, mida sama kasutab: IP-aadressid, e-posti aadressid, küpsised jne.

Selle määratluse valguses tekib küsimus: aga millal otsustavad kasutajad usaldada oma tundlikud andmed veebisaidile? Enamikul juhtudel toimub see toiming portaalis registreerumise faasis, olgu selleks siis reserveeritud ala loomine või kasvõi lihtsalt uudiskirjaga liitumine. Täpsemalt siis paljud e-kaubanduse saidid neil on juurdepääs ka muud tüüpi andmetele, mida võib määratleda kui "tundlikku": esiteks finantsilist laadi andmetele (pangakoodid, IBAN ja maksuala), mis on veebitehingute tegemiseks ilmselgelt hädavajalikud. Vähem kaalutud, kuid siiski isikuandmete kategooriasse omistatavad on ka tarbimisharjumused: millist suhtlusvõrgustikku te kasutate? Mis on sinu lemmikjook? Mis on viimati veebist ostetud toode? Need pealtnäha triviaalsed küsimused kipuvad looma tarbijaprofiili, nii et kasutajale pakutakse ainult kaupu ja teenuseid, mis võivad temas tõesti uudishimu äratada. Samuti tuleb kasutajale selgelt selgitada nende andmete kasutamist ärilistel eesmärkidel, alati kooskõlas isikuandmete kaitse üldmääruse sätetega.

Mida teha uue isikuandmete kaitse üldmäärusega

Süvendada teoreetilisi aspekte taga isikuandmete kaitse see on hädavajalik, kuid kõik need, kes haldavad veebiportaale ja e-kaubanduse saite, tahavad põhimõtteliselt mõista, millised on uued toimingud, mida tuleb seoses selle uue privaatsusseadusega teha.

Kontaktvormid koos privaatsuspoliitikaga

Nagu varem kirjutasime, peavad kasutajad olema teadlikud, et nende isikuandmeid saab koguda ja teatud eesmärkidel töödelda. Seetõttu on oluline, et kasutaja kasutaks e-kaubanduse saitidel registreerumisel või Interneti-portaali külastades selgesõnaliselt oma nõusolekut. Just sel põhjusel kohustab isikuandmete kaitse üldmäärus kõiki veebisaite et oleks üks Privaatsusvõi dokumentatsiooni, milles selgitatakse kasutajatele, mis tüüpi andmeid kogutakse, kes neid kogub ja miks nad seda teevad, kuid eelkõige peab see selgitama, kas andmeid edastatakse kolmandatele isikutele ja kui kaua neid hoitakse. portaali andmebaasi. Arvestades, et selline dokument on enamasti eriti pikk ja igav ning veebikasutajad (vaatamata oma isiklikule turvalisusele) kalduvad vältima veebisaite, kus on lugeda pikki tekste, on tehtud kindlaks, et privaatsuspoliitika tuleb kombineerida. nende vormidega, kuhu kasutaja oma isikuandmeid füüsiliselt sisestab. Just sel põhjusel, kui tellite näiteks veebisaidi uudiskirja, peab kasutaja lisaks oma nime, perekonnanime ja e-posti aadressi sisestamisele märkima kasti, mis puudutab isikuandmete töötlemise luba.

Andmete logimine ja Google Analytics

See uus seadusandlus kohustab muuhulgas lisaks isikuandmete kaitse reguleerimisele ka e-kaubanduse saitide ja veebiportaalide haldajaid registreerima ja hoidma tundlikke kasutajaviiteid. Vähe sellest, isegi kuupäev, mil kasutaja andis nõusoleku oma isikuandmete töötlemiseks, peab olema kergesti kontrollitav. Sellest tuleneb vajadus, et veebisaitidel oleks reaalne andmebaas, mida igal ajal kasutada ja mis tuleb kombineerida andmete logimise tööriistaga. Viimane on tarkvara, mis salvestab seadme IP-aadressi, millega kasutaja portaali siseneb ning nii on võimalik igal ajal kontrollida antud nõusoleku päritolu, kuupäeva ja kellaaega.

Nad peavad kasutama andmete logimise tööriistu, näiteks kõiki neid portaale, kus kasutajatel on oma "reserveeritud ala", kus nad ei saa mitte ainult igal ajal oma tundlikke andmeid kontrollida, vaid vajadusel neid ka muuta ja/või need kustutada. Üks maailma kuulsamaid andmelogimise tööriistu on Google Analytics, samanimelise ettevõtte Mountain View tarkvara, mida kasutajad kasutavad oma veebisaidi toimivuse kontrollimiseks. Google Analytics salvestab iga kasutaja IP-aadressi, külastatud lehtede, kulutatud aja ja palju muid andmeid. Seda tarkvara kasutavate veebisaitide haldajad, järgides alati isikuandmete kaitse üldmääruse sätteid, peavad oma portaalis selgelt väljendama selliste programmide nagu Google Analytics kasutamist.

Siit tuleb andmekaitseametnik

Uued reeglid isikuandmete turvalisus näha ette konkreetne professionaalne isik, kes peab vastutama selle haldamise ja kaitsmise eest, mida kasutajad veebiportaalidele usaldavad. Seda arvu tuntakse andmekaitseametniku või nime all Andmekaitseametniku (lühendatult DPO). Andmekaitsehaldur peab ennekõike omama sügavaid teadmisi mitte ainult isikuandmete kaitse üldmäärusest, vaid ka kõigist teistest kehtivatest privaatsust puudutavatest regulatsioonidest, olgu need minevikus, olevikus või tulevikus. Ta peab siis olema veebilehe omandi suhtes täiesti sõltumatu tegelane, kes ei saa kelleltki korraldusi ja kes peab rääkima otse ettevõtte organisatsiooni skeemi tippjuhtkonnaga. Samal ajal peab ta lõpuks suutma kasutada rahalisi ja inimressursse, mis võimaldavad tal parimal võimalikul viisil täita seda, mis on kehtestatud uute isikuandmete turvalisuse eeskirjadega. Tegelikult isegi taga joonisel DPO on mitmeid vigu ja aspekte, mida tuleb selgitada. Eelkõige puudutab andmekaitseametniku oskusi: tegelikkuses ei peaks see tegelane omama mitte ainult õigeid privaatsuseeskirjadega seotud oskusi, vaid olema pädev ka veebiportaali käsitletavates küsimustes, eriti kui need on teatud tähtsusega. (mõelge meditsiiniteaduslikku laadi teemadega tegelevatele portaalidele). On ütlematagi selge, et kõigi nende oskuste leidmine ühest kujundist on enamasti keeruline, kui mitte võimatu.

Milline on isikuandmete kaitse üldmääruse rikkumise oht?

Nagu me ka eespool mainisime, on selle uue eraelu puutumatust käsitleva seadusega seotud sanktsioonide raamistik endiselt puudulik, eriti siin Itaalias, kus konkreetse seadusandliku dekreedi puudumine muudab õigusrikkujad vähemalt paberil süüdistuse esitamata. Soovides aga anda väga lühidalt kokkuvõtte karistustest, mida kannavad need, kes ei sea esikohale kasutajate isikuandmete turvalisust, võime need jagada kaheks makrovaldkonnaks:

  • tõsiseid ja vähem tõsiseid rikkumisi. Tegelikkuses pole rahaline karistus mõlemal juhul kaugeltki kerge: väiksemate karistuste eest ähvardab rahatrahv kuni 10 miljonit eurot või trahv, mis on võrdne 2% ettevõtte eelmise aasta käibest.
  • tõsised rikkumised nad võivad neid trahve tõsta 20 miljoni euroni ehk 4 protsendini käibest. Vähem tõsiste "kuritegude" hulka kuuluvad andmekaitseametniku määramata jätmine, alaealiste nõusoleku tingimuste rikkumine ja turvameetmete rakendamata jätmine.
  • Kes näiteks liigub ebaseaduslikult tundlikke andmeid kolmanda riigiga karmi trahvi. Lõpuks, eriti tõsistel juhtudel võib isikuandmete kaitse üldmäärus ette näha ka kriminaalkaristused.
Isiklikud andmed Tundlikud andmed Koolitus