Cel 4: przetwarzanie danych i obowiązki osobiste

Co się stanie, jeśli kupimy produkt w sklepie internetowym i następnego dnia zdamy sobie sprawę, że skończyły się środki na naszej karcie kredytowej? W jaki sposób zarządzane są nasze preferencje, a tym samym nasze dane, kiedy wyrażamy zgodę na przeglądanie strony internetowej lub bloga? I znowu: komu tak naprawdę powierzamy dane osobowe po wypełnieniu formularza kontaktowego? Na te i inne pytania postaramy się odpowiedzieć w tym czwartym e ostatni wgląd poświęcony bezpieczeństwu informacji w erze cyfrowej. Tak, ponieważ przetwarzanie danych idzie w parze z osobistymi obowiązkami administratorów strony, czyli osób, które są właścicielami strony lub projektu cyfrowego. Sytuacja zawsze była fragmentaryczna, przynajmniej do kilku lat temu. Epokowa zmiana nastąpiła w 2018 roku wraz z nadejściem tzw Ogólne rozporządzenie o ochronie danych, Znany także jako `RODO. Zacznijmy od tego punktu i zobaczmy, jak skonfigurować zasady zarządzania danymi w sposób fachowy.

EUROPEJSKIE RODO I RZECZYWISTY ZAKRES STOSOWANIA

Niemożliwe, aby nigdy nie słyszeć o ogólnym rozporządzeniu o ochronie danych, oficjalnie rozporządzeniu (UE) n. 2016/679. Obowiązujące od dwóch lat RODO zapoczątkowało nową erę, podnosząc poziom ochrony użytkowników w zakresie przetwarzania danych osobowych przez strony internetowe, blogi, e-commerce i przestrzenie wirtualne ogólnie (fora, strony docelowe, platformy do strumieniowego przesyłania wideo, wyszukiwarki itp.). Omówienie w kilku linijkach tego nieograniczonego i częściowo niejednoznacznego instrumentu legislacyjnego jest misją niewykonalną, faktem jest, że naszym obowiązkiem jest przedstawienie użytecznych wskazówek, które rzucą światło na tak rozległą i złożoną kwestię. Najpierw przyjrzyjmy się najważniejszym elementom RODO, spróbujmy jednak zrozumieć, jaki jest jego faktyczny zakres zastosowania.

Których krajów dotyczy RODO?

Każdy kraj, w którym działa organizacja, która zwraca się do obywateli UE za pośrednictwem sieci i przetwarza określone dane osobowe, jest krajem, w którym RODO ma prawo obowiązywać. Do takiego wniosku doszliśmy po zsumowaniu obszarów określonych przez RODO. Można z tego wywnioskować, że praktycznie wszystkie firmy i profesjonaliści, którzy mają relacje z Unią Europejską, od Szwajcarii po Stany Zjednoczone Ameryki i wiele innych, muszą przestrzegać rozporządzenia. Aby uzyskać więcej informacji na ten temat, zalecamy przeczytanie ten kompletny przewodnik po RODO.

Zakładając, że RODO ma moc prawną zarówno w Szwajcarii, jak i w pozostałej części Europy, przejrzyjmy punkt po punkcie i główne aspekty, o których należy pamiętać właściwie interpretować rozporządzenie i odpowiednio je stosować.

• każdy użytkownik odwiedzający Twoją stronę musi potwierdzić swoją zgodę na przetwarzanie danych. Zgoda musi być dobrowolna, konkretna, świadoma i odwołalna w dowolnym momencie
• w przypadku braku zgody przyjmuje się, że dane NIE będą zbierane lub uniemożliwione zostanie wejście na stronę
• zgody muszą być archiwizowane i zapamiętywane, aby zawsze mogły być odszukane przez agentów i organy państwowe
• rejestr zgód musi zawierać szereg istotnych informacji, takich jak moment wyrażenia zgody
• zgoda nie jest jedyną możliwą podstawą prawną, ale jedną z 6 przewidzianych przez RODO. Jednak w wielu sytuacjach i dla wielu firm konsensus pozostaje najłatwiejszą drogą do osiągnięcia

DYREKTYWA O PRYWATNOŚCI ELEKTRONICZNEJ (PRAWO DOTYCZĄCE PLIKÓW COOKIE)

RODO nie jest jedynym odniesieniem, którego należy przestrzegać. Drugim podstawowym narzędziem prawidłowego zarządzania danymi osobowymi jest dyrektywa 2009/136/WE (znana również jako dyrektywa o prywatności i łączności elektronicznej). konkretne ustawodawstwo zasady korzystania z plików cookies podmiotów trzecich w ramach własnej przestrzeni wirtualnej, a raczej wymagania, które umożliwiają aktywację plików cookie przy pierwszej wizycie nowego użytkownika. Ponownie zasada ta opiera się na maksymalnej ochronie, oferując użytkownikowi pełną możliwość odmowy dostępu plików cookie do jego danych za pomocą jednego kliknięcia. Jak zobaczymy w ostatnim akapicie, administrator, a więc zarządzający serwisem, musi zapewnić użytkownikowi system, zazwyczaj baner, aby zaakceptować lub odrzucić dostęp do plików cookie.

Niektóre pliki cookie są wyłączone z tego typu zgody, ale jest bardzo prawdopodobne, że witryna z wizytówką firmy zawiera co najmniej jeden cyfrowy token lub plik cookie. Polityka prywatności musi być zgłoszona w określonym dokumencie i dotyczy to również polityki plików cookies. W tej chwili dyskutowana jest dyrektywa ePrivacy, czyli ustawa o plikach cookie, ponieważ intencje ustawodawcy zmierzają do przejścia na to, co będzie Rozporządzeniem ePrivacy, działającym w porozumieniu z RODO. Jednak według wszelkiego prawdopodobieństwa nie będzie żadnych istotnych zmian w przepisach, dlatego już teraz warto się dostosować i przybyć przygotowanym do zatwierdzenia rozporządzenia, które ma stać się oficjalne za kilka lat.

KALIFORNIA USTAWA O PRYWATNOŚCI KONSUMENTÓW (CCPA)

Kalifornijska ustawa o ochronie prywatności konsumentów weszła w życie 1 lipca 2020 r., będąc jedną z najbardziej uporządkowanych form ochrony obecnie zatwierdzonych w Stanach Zjednoczonych, a także podstawowe wytyczne dla każdego stanu USA poza Kalifornią. Podobnie jak w przypadku Europy z RODO, CCPA ma również ogromne reperkusje dla USA, takie jak wyjście poza granice własnego kraju. Chociaż CCPA nie jest tak restrykcyjna, może mieć również realny wpływ na Twoją firmę mającą siedzibę w Szwajcarii lub w dowolnym innym kraju. Warunki, które musisz spełnić, oprócz zwracania się do obywateli Kalifornii, obejmują:

• mają roczną sprzedaż brutto przekraczającą 25 milionów USD; lub
• którego co najmniej 50% obrotów pochodzi ze sprzedaży danych osobowych

lub

• kupować, otrzymywać, sprzedawać lub udostępniać dane osobowe co najmniej 50.000 XNUMX konsumentów każdego roku w celach komercyjnych.

Trudny? Nie dokładnie. Ponieważ adresy IP są danymi osobowymi, jest prawdopodobne, że każda strona internetowa, która je zawiera w ciągu roku uzyskać z Kalifornii 50.000 XNUMX+ unikalni odwiedzający są objęci zakresem CCPA. To tylko jeden przykład tego, w jaki sposób globalizacja, a także i przede wszystkim technologia informacyjna, stworzyła obecnie powiązania i współzależności między ustawodawstwami krajowymi.

JAK PRZESTRZEGAĆ DYREKTYW DOTYCZĄCYCH DANYCH

W świetle tego, co dotychczas napisano, dostosowanie do dyrektyw krajowych, europejskich i międzynarodowych z pewnością nie jest zadaniem dostępnym bez wykorzystania odpowiednich narzędzi. To nie przypadek, że zostały one opracowane w ostatnich latach całe platformy przeznaczone do zarządzania zobowiązaniami RODO (i nie tylko) szybkim, praktycznym i częściowo automatycznym podejściem. Administrator serwisu, czyli właściciel organizacji, webmaster czy agencja śledząca projekt, wystarczy, że zarejestruje się na tych platformach i uzupełni dane wymagane przez system (właściciel danych, url strony, itp.). W tym momencie oprogramowanie i powiązana wtyczka pokażą użytkownikom baner podsumowujący warunki korzystania z usługi śledzenia danych i aktywacji plików cookie.

Te same platformy, przynajmniej te najbardziej znane, są w stanie generować dokumenty polityki prywatności, polityki plików cookie i wszelkie regulaminy, z wstępnie sformatowanym tekstem, który wystarczy wypełnić i dostosować według potrzeb. Wśród nazw odnoszących największe sukcesy platform wymieniamy w przypadkowej kolejności włoską Iubendę, amerykańską Quantcast czy duńską Cookiebot, z których każda specjalizuje się w regulacji lub zbiorze regulacji. Dostarczane rozwiązania są bezpłatne ale w tym przypadku mają ograniczoną funkcjonalność. Dlatego w Innovando zalecamy wybranie planu, który najlepiej odpowiada wielkości i skutecznym metodom gromadzenia danych organizacji, unikając w ten sposób wszelkich hipotez przestępstwa. Nie ingerujesz w dane użytkownika, tym bardziej, że kary w przypadku niezgodności, mogą być bardzo, bardzo słone.

Mamy nadzieję, że udzieliliśmy Ci wszystkich potrzebnych informacji. Jeśli nie, skontaktuj się z nami bez zobowiązań w celu uzyskania bezpłatne i spersonalizowane porady w sprawie ochrony danych.