Nadejście ogólnego rozporządzenia o ochronie danych

Czym jest RODO i co oznacza ochrona danych osobowych w przypadku stron internetowych i sklepów e-commerce

Cele ogólnego rozporządzenia o ochronie danych

Aby lepiej zrozumieć użyteczność tego ustawodawstwa uchwalonego przez Unię Europejską, konieczne jest wymienienie celów RODO. Dzięki tej nowej zasadzie użytkownicy muszą przede wszystkim być bardziej świadomi losu swoich danych osobowych i muszą najpierw wyrazić wyraźną zgodę. Z tych samych danych należy wówczas korzystać wyjątkowo oszczędnie, ustalając rygorystyczne zasady umożliwiające ich przetwarzanie poza Wspólnotą Europejską, a na tych, którzy złamią przepisy ogólnego rozporządzenia o ochronie danych, muszą wreszcie zostać nałożone surowe kary. Oto punkty, na których opiera się nowe rozporządzenie o ochronie prywatności, ale wkrótce po jego wydaniu Ogólne rozporządzenie o ochronie danych ma już pewne wady.

„Stosunek” państw członkowskich do włoskiego bagna

Ogólne rozporządzenie o ochronie danych przedstawiło się jako system przepisów gwarantujący poważne ataki w imię prywatności. Jednak w momencie stanowienia prawa UE pozostawiła państwom członkowskim możliwość „interpretacji” przepisów zawartych w tym nowym dokumencie. Oznacza to, że obiecana sztywność zniknęła, zanim w ogóle się zaczęła, a dane osobowe użytkowników z Francji i Hiszpanii mogą być na przykład traktowane inaczej niż użytkownicy z Portugalii czy Niemiec. Przypadek Włoch jest jeszcze bardziej wyjątkowy: do chwili obecnej nasz rząd nie wydał jeszcze dekretu ustawodawczego dotyczącego ogólnego rozporządzenia o ochronie danych, dlatego w naszym kraju nadal obowiązuje rozporządzenie europejskie. To samo w sobie mogłoby mieć także pozytywne aspekty, gdyby nie fakt, że w przypadku braku dekretu ustawodawczego nie jest możliwe ściganie i karanie tych, którzy naruszają postanowienia nowego dokumentu dotyczące prywatności.

Co należy rozumieć przez „dane osobowe”?

Termin „dane osobowe” jest używany (i nadużywany) w różnych obszarach życia codziennego, jednak dla wszystkich osób niebędących ekspertami jest to pojęcie wprowadzające w błąd. Jednocześnie, biorąc pod uwagę, że mówimy o ochronie danych wrażliwych i zasadach przeciwdziałających naruszaniu prywatności, istotne jest, aby mieć jasne pojęcie o „danych osobowych”. „dane osobowe”: kategoria ta obejmuje zatem imię i nazwisko , nazwisko, kod podatkowy, data urodzenia, adres, numer telefonu i wiele innych. Kiedy jednak mówimy o prywatności na portalach internetowych, istnieją inne elementy, które jednoznacznie identyfikują podmiot, nawet jeśli można je przypisać głównie urządzeniom, z których korzysta: adresy IP, poczta e-mail, pliki cookie i dane są również uważane za dane osobowe dane itp.

W świetle tej definicji spontanicznie pojawia się pytanie: kiedy użytkownicy decydują się na powierzenie serwisowi internetowemu swoich danych wrażliwych? W zdecydowanej większości przypadków operacja ta odbywa się już na etapie rejestracji w portalu, niezależnie od tego, czy ma ona na celu utworzenie zarezerwowanego obszaru, czy chociażby po prostu zapisanie się do newslettera. Konkretnie zatem wielu witryny e-commerce mają także dostęp do innych rodzajów danych, które można określić jako „wrażliwe”: przede wszystkim o charakterze finansowym (kody banku, numer IBAN i adres podatkowy), które w oczywisty sposób są niezbędne do przeprowadzania transakcji online. Mniej uwzględniane, ale wciąż przypisane do kategorii danych osobowych, są także nawyki konsumpcyjne: z jakich sieci społecznościowych korzystasz? Jaki jest Twój ulubiony napój? Jaki jest ostatni przedmiot, który kupiłeś online? Te pozornie banalne pytania zwykle tworzą profil konsumenta, dzięki czemu użytkownikowi oferowane są wyłącznie towary i usługi, które naprawdę mogą zaspokoić jego ciekawość. Należy również wyraźnie wyjaśnić użytkownikowi wykorzystanie tych danych do celów komercyjnych, zawsze zgodnie z ogólnym rozporządzeniem o ochronie danych.

Co zrobić z nowym ogólnym rozporządzeniem o ochronie danych

Pogłębienie teoretycznych aspektów ochrona danych osobowych jest to kwestia fundamentalna, ale wszyscy zarządzający portalami internetowymi i witrynami handlu elektronicznego zasadniczo chcą zrozumieć, jakie nowe działania mają mieć w odniesieniu do nowego rozporządzenia dotyczącego prywatności.

Formularze kontaktowe połączone z Polityką Prywatności

Jak również pisaliśmy wcześniej, użytkownicy powinni mieć świadomość, że ich dane osobowe mogą być gromadzone i przetwarzane w określonych celach. Dlatego istotne jest, aby użytkownik wyraźnie wyraził swoją zgodę podczas rejestracji w witrynach handlu elektronicznego lub odwiedzania portalu internetowego. Z tego powodu Ogólne rozporządzenie o ochronie danych zobowiązuje wszystkich strony internetowe mieć taki Polityka prywatności, czyli dokumentacja, w której wyjaśnione jest użytkownikom, jakie dane są gromadzone, kto jest osobą je zbierającą i dlaczego to robi, ale przede wszystkim musi wyjaśniać, czy są one przekazywane podmiotom trzecim i jak długo są przechowywane w portalu Baza danych. Biorąc pod uwagę, że taki dokument jest najczęściej wyjątkowo długi i nudny, a użytkownicy sieci (mimo własnego bezpieczeństwa) mają tendencję do unikania stron zawierających długie teksty do przeczytania, ustalono, że Politykę Prywatności należało połączyć z formularze, w których użytkownik fizycznie wprowadza swoje dane osobowe. Z tego też powodu zapisując się np. na newsletter serwisu, oprócz podania swojego imienia, nazwiska i adresu e-mail, użytkownik musi „zaznaczyć” pole dotyczące zgody na przetwarzanie danych osobowych.

Rejestrowanie danych i Google Analytics

Nowe przepisy, oprócz regulacji ochrony danych osobowych, nakładają między innymi na osoby zarządzające witrynami e-commerce i portalami internetowymi obowiązek rejestrowania i przechowywania wrażliwych referencji użytkowników. Mało tego, nawet data wyrażenia przez użytkownika zgody na przetwarzanie jego danych osobowych musi być łatwa do zidentyfikowania. Stąd potrzeba posiadania przez strony internetowe realnej bazy danych, z której można w każdej chwili skorzystać, połączonej z narzędziem do rejestracji danych. To ostatnie to oprogramowanie, które rejestruje adres IP urządzenia, za pomocą którego użytkownik uzyskuje dostęp do portalu, i dzięki temu w każdej chwili można zweryfikować pochodzenie, datę i godzinę wyrażonej zgody.

Przykładowo wszystkie portale, w których użytkownicy mają swój własny „zastrzeżony obszar”, muszą korzystać z narzędzi do rejestrowania danych, dzięki którym mogą w każdej chwili nie tylko sprawdzić swoje wrażliwe dane, ale także mogą je zmodyfikować i/lub w razie potrzeby zmodyfikować lub usunąć . Jednym z najbardziej znanych narzędzi do rejestrowania danych na świecie jest Google Analytics, oprogramowanie firmy Mountain View o tej samej nazwie, którego użytkownicy używają do sprawdzania wydajności swojej witryny. Google Analytics rejestruje adres IP każdego użytkownika, odwiedzane strony, spędzony czas i wiele innych danych. Zarządzający stronami internetowymi korzystającymi z tego oprogramowania, zawsze przestrzegając przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych, muszą wyraźnie zaznaczyć korzystanie w ramach swojego portalu z programów takich jak Google Analytics.

Przyjeżdża Inspektor Ochrony Danych

Nowe zasady dot bezpieczeństwo danych osobowych zapewniają one konkretną osobę profesjonalną, która musi przejąć odpowiedzialność za zarządzanie i ochronę tego, co użytkownicy powierzają portalom internetowym. Osoba ta znana jest jako Inspektor Ochrony Danych lub Inspektor ochrony danych (w skrócie DPO). Inspektor ochrony danych musi przede wszystkim posiadać głęboką wiedzę nie tylko na temat ogólnego rozporządzenia o ochronie danych, ale także wszystkich innych obowiązujących przepisów dotyczących prywatności, zarówno przeszłych, teraźniejszych, jak i przyszłych. Musi być wówczas osobą absolutnie niezależną pod względem własności serwisu, która nie przyjmuje od nikogo poleceń i musi komunikować się bezpośrednio z najwyższą kadrą kierowniczą w schemacie organizacyjnym firmy. Wreszcie jednocześnie musi mieć możliwość wykorzystania zasobów finansowych i ludzkich, które pozwolą mu najlepiej realizować zadania określone w nowych przepisach dotyczących bezpieczeństwa danych osobowych. W rzeczywistości nawet za postacią DPO istnieje kilka wad i aspektów do wyjaśnienia. Jedna dotyczy przede wszystkim kompetencji Inspektora Ochrony Danych: osoba ta w rzeczywistości powinna posiadać nie tylko odpowiednie umiejętności w zakresie przepisów dotyczących prywatności, ale także powinna być kompetentna w kwestiach poruszanych na portalu internetowym, szczególnie jeśli mają one określone znaczenie ( pomyśl o portalach zajmujących się tematyką medyczno-naukową). Jest rzeczą oczywistą, że znalezienie wszystkich tych umiejętności w jednej liczbie jest w większości przypadków trudne, jeśli nie niemożliwe.

Jakie jest ryzyko naruszenia ogólnego rozporządzenia o ochronie danych?

Jak już wspomnieliśmy wcześniej, ramy sankcji związane z tym nowym prawodawstwem dotyczącym prywatności są nadal niekompletne, zwłaszcza tutaj, we Włoszech, gdzie brak konkretnego dekretu ustawodawczego sprawia, że ​​przestępcy, przynajmniej na papierze, nie podlegają ściganiu. Chcąc jednak dokonać bardzo krótkiego podsumowania sankcji, jakie grożą tym, którzy nie stawiają bezpieczeństwa danych osobowych użytkowników na pierwszym miejscu, możemy je podzielić na dwa makroobszary: