Fokus 4: obdelava podatkov in osebne odgovornosti

Kaj se zgodi, če kupimo izdelek na spletni strani za e-trgovino in naslednji dan ugotovimo, da je na naši kreditni kartici zmanjkalo dobroimetja? Kako se upravljajo naše nastavitve in s tem naši podatki, ko se strinjamo z brskanjem po spletnem mestu ali blogu? In še enkrat: komu zares zaupamo osebne podatke po izpolnjenem kontaktnem obrazcu? Na ta in druga vprašanja bomo skušali odgovoriti v tokratni četrti e zadnji vpogled posvečen informacijski varnosti v digitalni dobi. Da, ker gre obdelava podatkov z roko v roki z osebnimi odgovornostmi skrbnikov spletnega mesta, torej ljudi, ki so lastniki spletnega mesta ali digitalnega projekta. Razmere so bile vedno razdrobljene, vsaj do pred nekaj leti. Epohalna sprememba je prišla leta 2018, s prihodom Splošna uredba o varstvu podatkov, poznan tudi kot GDPR. Začnimo prav od te točke in poglejmo, kako na primeren način nastaviti politiko upravljanja podatkov.

EVROPSKA GDPR IN DEJANSKI OBSEG UPORABE

Nemogoče je, da še nikoli niste slišali za Splošno uredbo o varstvu podatkov, uradno uredbo (EU) št. 2016/679. Uredba GDPR, ki deluje že dve leti, je zaznamovala začetek nove dobe in dvignila raven zaščite uporabnikov pri obdelavi osebnih podatkov. spletna mesta, blogi, e-trgovina in virtualni prostori na splošno (forumi, ciljne strani, platforme za pretakanje videa, iskalniki itd.). V nekaj vrsticah spregovoriti o tem brezmejnem in deloma dvoumnem zakonodajnem instrumentu je nemogoča misija, dejstvo pa ostaja, da je naša dolžnost podati nekaj koristnih smernic, ki bodo osvetlile tako obsežno in kompleksno problematiko. Najprej si poglejmo poudarke GDPR, pa poskusimo razumeti, kakšen je njegov dejanski obseg uporabe.

Na katere države vpliva GDPR?

Vsaka država, v kateri deluje organizacija, ki prek spleta nagovarja državljane EU in obdeluje določene osebne podatke, je država, v kateri ima pravico veljati GDPR. Do tega sklepa pridemo s seštevanjem območij, ki jih določa GDRP. Iz tega je mogoče sklepati, da morajo praktično vsa podjetja in strokovnjaki, ki imajo odnose z Evropsko unijo, od Švice do Združenih držav Amerike in mnogih drugih, upoštevati uredbo. Za več informacij o tem priporočamo branje ta popoln vodnik po GDPR.

Ob predpostavki, da ima GDPR pravno vrednost v Švici in preostali Evropi, poglejmo točko za točko i glavni vidiki, ki jih je treba upoštevati pravilno razlagati uredbo in jo ustrezno uporabljati.

• vsak uporabnik, ki obišče vašo stran, mora potrditi soglasje za obdelavo podatkov. Privolitev mora biti svobodna, specifična, informirana in kadar koli preklicljiva
• v primeru odsotnosti soglasja se domneva, da podatki NE bodo zbrani ali da bo obisk strani onemogočen
• soglasja morajo biti arhivirana in zapomniti, tako da so vedno na voljo morebitnim zastopnikom in državnim organom
• register privolitev mora vsebovati vrsto bistvenih informacij, na primer trenutek, ko je bila privolitev dana
• privolitev ni edina možna pravna podlaga, ampak ena od 6-ih, ki jih določa GDPR. Vendar je v mnogih situacijah in za mnoga podjetja soglasje še vedno najlažja pot

DIREKTIVA O e-ZASEBNOSTI (ZAKON O PIŠKOTKIH)

GDPR ni edina referenca, ki jo je treba upoštevati. Direktiva 2009/136/ES (znana tudi kot direktiva o e-zasebnosti) je drugo temeljno orodje za pravilno upravljanje osebnih podatkov. posebna zakonodaja pravila za uporabo piškotkov tretjih oseb znotraj lastnega virtualnega prostora, oziroma zahteve, ki omogočajo aktivacijo piškotkov ob prvem obisku novega uporabnika. Ponovno načelo temelji na maksimalni zaščiti, saj uporabniku ponuja popolno možnost zavrnitve dostopa piškotkov do svojih podatkov s preprostim klikom. Kot bomo videli v zadnjem odstavku, mora skrbnik in s tem upravitelj spletnega mesta uporabniku zagotoviti sistem, običajno pasico, da sprejmete ali zavrnete dostop do piškotkov.

Nekateri piškotki so izvzeti iz te vrste soglasja, vendar je zelo verjetno, da poslovno predstavitveno mesto gosti vsaj en digitalni žeton ali piškotek. Politika zasebnosti mora biti navedena v posebnem dokumentu, kar velja tudi za politiko piškotkov. Trenutno je v razpravi direktiva o e-zasebnosti ali zakon o piškotkih, saj so nameni zakonodajalcev usmerjeni v prehod na tisto, kar bo uredba o e-zasebnosti, ki bo delovala v skladu z GDPR. Po vsej verjetnosti pa je bistvenih sprememb ne bo v določbah, zato je prav zdaj prilagoditi in prispeti pripravljeni na odobritev uredbe, ki bo uradna v nekaj letih.

KALIFORNIJSKI ZAKON O ZASEBNOSTI POTROŠNIKOV (CCPA)

Kalifornijski zakon o zasebnosti potrošnikov je začel veljati 1. julija 2020, ena najbolj strukturiranih oblik zaščite, ki je trenutno odobrena v Združenih državah, kot tudi osnovne smernice za vsako državo ZDA zunaj Kalifornije. Tako kot velja za Evropo z GDPR, ima CCPA tudi za ZDA ogromne posledice, kot je preseganje meja lastne države. Čeprav ni tako omejujoč, lahko CCPA resnično vpliva na vaše podjetje v Švici ali kateri koli drugi državi. Pogoji, ki jih morate izpolnjevati, poleg nagovarjanja državljanov Kalifornije vključujejo:

• imajo letno bruto prodajo, ki presega 25 milijonov USD ali
• ki ima vsaj 50 % svojega prometa s prodajo osebnih podatkov

ali

• kupujejo, prejemajo, prodajajo ali delijo osebne podatke 50.000 ali več potrošnikov vsako leto v komercialne namene.

Težko? Ne ravno. Ker so naslovi IP osebni podatki, je verjetno, da bo katero koli spletno mesto, ki na leto dobite iz Kalifornije 50.000+ edinstveni obiskovalci spadajo v področje uporabe CCPA. To je samo en primer, kako je globalizacija, tudi in predvsem informacijska tehnologija, zdaj ustvarila povezave in soodvisnosti med nacionalnimi zakonodajami.

KAKO IZPOLNJEVATI PODATKOVNE DIREKTIVE

Glede na do sedaj napisano prilagoditev nacionalnim, evropskim in mednarodnim direktivam zagotovo ni dosegljiva naloga brez uporabe ustreznih orodij. Ni naključje, da so se razvili v zadnjih letih celotne platforme, zasnovane za upravljanje obveznosti GDPR (in ne samo) s hitrim, praktičnim in delno samodejnim pristopom. Administrator spletnega mesta, torej lastnik organizacije, spletni mojster ali agencija, ki spremlja projekt, se mora le registrirati na teh platformah in izpolniti podatke, ki jih zahteva sistem (lastnik podatkov, url strani, itd.). Na tej točki programska oprema in sorodni vtičnik uporabnikom prikažeta pasico, ki povzema določila in pogoje sledenje podatkov in aktivacija piškotkov.

Iste platforme, vsaj najbolj znane, lahko ustvarijo dokumente o politiki zasebnosti, pravilnike o piškotkih in morebitne pogoje s predhodno oblikovanim besedilom, ki ga morate le izpolniti in po potrebi prilagoditi. Med imeni najuspešnejših platform brez posebnega vrstnega reda omenjamo italijansko Iubenda, ameriško Quantcast ali dansko Cookiebot, od katerih je vsaka specializirana za predpis ali sklop predpisov. Ponujene rešitve so brezplačne vendar imajo v tem primeru omejeno funkcionalnost. V Innovandu zato priporočamo izbiro načrta, ki najbolj ustreza velikosti in učinkovitim metodam zbiranja podatkov organizacije, s čimer se izognemo kakršni koli hipotezi o kriminalu. S podatki o uporabnikih se ne ubadate, še posebej, ker kazni, v primeru neupoštevanja, so lahko zelo, zelo slani.

Upamo, da smo vam posredovali vse informacije, ki jih potrebujete. Če ne, nas kontaktirajte brez obveznosti za a brezplačno in prilagojeno svetovanje o varstvu podatkov.