Prihod Splošne uredbe o varstvu podatkov

Kaj je GDPR in kaj pomeni zaščita osebnih podatkov za spletna mesta in spletna mesta za e-trgovino

Nameni Splošne uredbe o varstvu podatkov

Za boljše razumevanje uporabnosti te zakonodaje, ki jo je sprejela Evropska unija, je bistvenega pomena našteti namene GDPR. S to novo ureditvijo morajo biti uporabniki najprej bolj ozaveščeni o usodi svojih osebnih podatkov in morajo najprej podati izrecno privolitev. Iste podatke je treba nato uporabljati skrajno varčno, določiti stroga pravila, ki omogočajo njihovo obdelavo zunaj Evropske skupnosti, in nazadnje morajo obstajati stroge kazni za tiste, ki kršijo določbe Splošne uredbe o varstvu podatkov. To so točke, na katerih temelji ta nova uredba o zasebnosti, vendar kmalu po objavi Splošna uredba o varstvu podatkov že predstavlja nekaj pomanjkljivosti.

"Racio" držav članic in italijanskega močvirja

Splošna uredba o varstvu podatkov se je predstavila kot sistem pravil, ki zagotavljajo pomembno zatiranje v imenu zasebnosti. V času zakonodaje pa je EU državam članicam pustila možnost, da lahko "tolmačijo" predpise iz tega novega dokumenta. To pomeni, da je tako obljubljena togost izginila, še preden se je začela, francoski in španski uporabniki pa bodo na primer lahko videli, da se njihovi osebni podatki obravnavajo drugače kot portugalski ali nemški uporabniki. Italijanski primer je še bolj specifičen: naša vlada do danes še ni izdala zakonske uredbe o Splošni uredbi o varstvu podatkov, zato pri nas še vedno velja evropska uredba. Zadeva sama po sebi bi lahko imela tudi pozitivne strani, če ne bi bilo v odsotnosti zakonodajnega dekreta mogoče preganjati in kaznovati tistih, ki kršijo določbe tega novega dokumenta o zasebnosti.

Kaj pomeni "osebni podatki"?

Izraz »osebni podatki« se uporablja (in zlorablja) na različnih področjih vsakdanjega življenja, vendar je za vse nestrokovnjake zavajajoč koncept. Hkrati pa je, glede na to, da govorimo o varovanju občutljivih podatkov in pravilih proti kršitvam zasebnosti, nujno imeti jasno predstavo o "osebnih podatkih". Vsi ti podatki omogočajo nedvoumno razlikovanje osebe od drugih in so tako imenovani "osebni podatki": torej ime, priimek, davčna številka, datum rojstva, naslov, telefonska številka in še veliko več sodi v to kategorijo. Ko pa govorimo o zasebnosti na spletnih portalih, obstajajo tudi drugi elementi, ki enolično identificirajo subjekt, četudi so bolj povezani z napravami, ki jih ta uporablja: med osebne podatke se štejejo tudi naslovi IP, e-poštni naslovi, piškotki ipd.

V luči te definicije se postavlja vprašanje: kdaj pa se uporabniki odločijo, da bodo svoje občutljive podatke zaupali spletni strani? V veliki večini primerov se ta operacija izvede med fazo registracije na portalu, ne glede na to, ali je namenjena ustvarjanju rezerviranega območja ali celo samo naročanju na glasilo. Natančneje torej veliko spletna mesta za e-trgovino imajo dostop tudi do drugih vrst podatkov, ki jih lahko opredelimo kot »občutljive«: najprej do tistih finančne narave (bančne kode, IBAN in davčna domicilacija), ki so očitno nujni za opravljanje spletnih transakcij. Manj upoštevane, a še vedno v kategorijo osebnih podatkov so tudi potrošniške navade: katero socialno omrežje uporabljate? Katera je vaša najljubša pijača? Kateri je zadnji artikel, ki ste ga kupili na spletu? Ta na videz nepomembna vprašanja ustvarijo profil potrošnika, tako da so uporabniku na voljo le dobrine in storitve, ki lahko resnično vzbudijo njegovo radovednost. Uporabniku mora biti jasno pojasnjena tudi uporaba teh podatkov v komercialne namene, vedno v skladu z določili Splošne uredbe o varstvu podatkov.

Kaj storiti z novo Splošno uredbo o varstvu podatkov

Poglobite teoretične vidike v ozadju varstvo osebnih podatkov je bistvenega pomena, vendar vsi tisti, ki upravljajo spletne portale in spletna mesta za e-trgovino, želijo v bistvu razumeti, kakšne so nove operacije, ki jih je treba izvesti v zvezi s to novo zakonodajo o zasebnosti.

Kontaktni obrazci v kombinaciji s politiko zasebnosti

Kot smo že pisali, se morajo uporabniki zavedati, da se njihovi osebni podatki lahko zbirajo in obdelujejo za določene namene. Zato je nujno, da uporabnik pri registracijah na e-trgovinah ali obisku spletnega portala izrecno izrazi svoje soglasje. Prav zaradi tega Splošna uredba o varstvu podatkov zavezuje vse spletne strani imeti enega Pravilnik o zasebnosti, ali dokumentacijo, v kateri je uporabnikom pojasnjeno, katere vrste podatkov se zbirajo, kdo jih zbira in zakaj to počne, predvsem pa mora biti razjasnjeno, ali se ti posredujejo tretjim osebam in koliko časa se hranijo v bazi portala. Glede na to, da je takšen dokument največkrat še posebej dolg in dolgočasen, uporabniki spleta pa se (kljub lastni osebni varnosti) izogibajo spletnim stranem, kjer so dolga besedila za branje, je bilo ugotovljeno, da je bilo treba Politiko zasebnosti kombinirati s tistimi obrazci, v katere uporabnik fizično vpisuje svoje osebne podatke. Zato mora uporabnik, ko se npr. naroči na novice spletnega mesta, poleg vnosa imena, priimka in elektronskega naslova »odkljukati« okence, ki se nanaša na dovoljenje za obdelavo osebnih podatkov.

Beleženje podatkov in Google Analytics

Ta nova zakonodaja med drugim poleg urejanja varstva osebnih podatkov tudi zavezuje upravljavce e-trgovinskih mest in spletnih portalov k registraciji in vodenju občutljivih uporabniških referenc. Ne le to, tudi datum, ko je uporabnik privolil v obdelavo svojih osebnih podatkov, mora biti enostavno preverljiv. Zato morajo imeti spletna mesta pravo zbirko podatkov, iz katere lahko kadar koli črpajo, ki jo je treba kombinirati z orodjem za beleženje podatkov. Slednji je programska oprema, ki beleži IP naslov naprave, s katero uporabnik dostopa do portala, in na ta način je v vsakem trenutku mogoče preveriti izvor, datum in čas podane privolitve.

Na primer, vsi tisti portali, kjer imajo uporabniki svoje »rezervirano območje«, se morajo zateči k orodjem za beleženje podatkov, kjer lahko svoje občutljive podatke kadar koli ne samo preverijo, ampak jih po potrebi tudi spremenijo in/ali izbrišejo. Eno najbolj znanih orodij za beleženje podatkov na svetu je Google Analytics, programska oprema istoimenskega podjetja Mountain View, ki jo uporabniki uporabljajo za preverjanje delovanja svojih spletnih mest. Google Analytics beleži za vsakega uporabnika IP naslov, obiskane strani, porabljen čas in številne druge podatke. Upravljavci spletnih mest, ki uporabljajo to programsko opremo, morajo vedno v skladu z določili Splošne uredbe o varstvu podatkov izrecno navesti uporabo programov, kot je Google Analytics, na svojem portalu.

Prihaja pooblaščenec za varstvo podatkov

Nova pravila za varnost osebnih podatkov predvideti določeno strokovno osebo, ki mora prevzeti odgovornost za upravljanje in varovanje tistega, kar uporabniki zaupajo spletnim portalom. Ta številka je znana pod imeni Data Protection Officer oz Uradna oseba za varstvo podatkov (skrajšano DPO). Upravitelj varstva podatkov mora najprej dobro poznati ne le Splošno uredbo o varstvu podatkov, ampak tudi vse druge veljavne predpise o zasebnosti, bodisi pretekle, sedanje ali prihodnje. Potem mora biti popolnoma neodvisna osebnost glede lastništva spletne strani, ki ne prejema ukazov od nikogar in ki mora govoriti neposredno z najvišjim vodstvom organizacijske sheme podjetja. Hkrati mora končno imeti možnost črpati finančne in kadrovske vire, ki ji omogočajo, da na najboljši možen način izvaja tisto, kar določajo novi predpisi za varnost osebnih podatkov. Pravzaprav tudi za postavo DPO obstaja več pomanjkljivosti in vidikov, ki jih je treba razjasniti. Ena se nanaša predvsem na veščine pooblaščenca za varstvo podatkov: v resnici ta oseba ne bi smela imeti le ustreznih veščin glede predpisov o zasebnosti, ampak bi morala biti kompetentna tudi za teme, ki jih pokriva spletni portal, še posebej, če so določenega pomena (pomislite na portale, ki se ukvarjajo z medicinsko-znanstvenimi temami). Ni treba posebej poudarjati, da je najti vse te spretnosti v eni sliki največkrat težko, če ne nemogoče.

Kakšna je nevarnost kršitve Splošne uredbe o varstvu podatkov?

Kot smo tudi omenili zgoraj, je okvir sankcij v zvezi s to novo zakonodajo o zasebnosti še vedno nepopoln, zlasti tukaj v Italiji, kjer zaradi odsotnosti posebnega zakonodajnega odloka kršiteljev, vsaj na papirju, ni mogoče preganjati. Če pa želimo zelo na kratko povzeti kazni za tiste, ki varnosti osebnih podatkov uporabnikov ne postavljajo na prvo mesto, jih lahko razdelimo na dve makro področji: