Приход Общего регламента по защите данных

GDPR, что это такое и что означает защита персональных данных для веб-сайтов и сайтов электронной коммерции

Цели Общего регламента по защите данных

Чтобы лучше понять полезность этого законодательства, принятого Европейским Союзом, необходимо перечислить цели GDPR. С этим новым правилом пользователи должны, прежде всего, лучше знать о судьбе своих личных данных и, прежде всего, должны дать явное согласие. Затем те же данные должны использоваться с крайней экономией, устанавливая строгие правила, разрешающие их обработку за пределами Европейского сообщества, и, наконец, должны быть суровые наказания для тех, кто нарушает положения Общего регламента по защите данных. Это пункты, на которых основано это новое положение о конфиденциальности, но вскоре после его выпуска Общее положение о защите данных уже содержит некоторые недостатки.

«Соотношение» государств-членов и итальянская трясина

Общее положение о защите данных представляет собой систему правил, гарантирующих серьезные ограничения во имя конфиденциальности. Однако во время принятия законодательства ЕС оставил государствам-членам возможность «интерпретировать» правила, содержащиеся в этом новом документе. Это означает, что долгожданная жесткость исчезла еще до того, как она началась, и, например, французские и испанские пользователи могут увидеть, что их личные данные обрабатываются иначе, чем португальские или немецкие пользователи. Итальянский случай еще более уникален: на сегодняшний день наше правительство еще не издало законодательное постановление, касающееся Общего регламента по защите данных, поэтому европейский регламент все еще действует в нашей стране. Дело само по себе могло бы иметь и положительные стороны, если бы не тот факт, что в отсутствие законодательного указа невозможно привлечь к ответственности и наказать тех, кто нарушает положения этого нового документа о неприкосновенности частной жизни.

Что понимается под «персональными данными»?

Термин «персональные данные» используется (и злоупотребляется) в различных сферах повседневной жизни, но это понятие вводит в заблуждение всех неспециалистов. В то же время, учитывая, что речь идет о защите конфиденциальных данных и правилах от нарушения неприкосновенности частной жизни, важно иметь четкое представление о «персональных данных», вся эта информация позволяет однозначно идентифицировать человека. от других «личные данные»: поэтому эта категория включает имя, фамилию, налоговый код, дату рождения, адрес, номер телефона и многое другое. Однако когда мы говорим о конфиденциальности на веб-порталах, есть и другие элементы, которые однозначно идентифицируют субъекта, даже если они в большей степени относятся к устройствам, которые он использует: IP-адреса, адреса электронной почты, файлы cookie и т. д.

В свете этого определения возникает вопрос: а когда пользователи решают доверить свои конфиденциальные данные веб-сайту? В подавляющем большинстве случаев эта операция происходит на этапе регистрации на портале, будь то создание резервной зоны или даже просто подписка на рассылку новостей. В частности, тогда многие сайты электронной коммерции они также имеют доступ к другим типам данных, которые можно определить как «конфиденциальные»: в первую очередь, к данным финансового характера (банковские коды, IBAN и налоговое домицилирование), которые, очевидно, необходимы для осуществления онлайн-транзакций. Менее учитываемыми, но все же относящимися к категории персональных данных, являются также потребительские привычки: какой социальной сетью вы пользуетесь? Какой твой любимый напиток? Какой последний товар вы купили онлайн? Эти, казалось бы, тривиальные вопросы, как правило, создают профиль потребителя, так что пользователю предлагаются только товары и услуги, которые действительно могут возбудить его любопытство. Использование этих данных в коммерческих целях также должно быть четко объяснено пользователю, всегда в соответствии с положениями Общего регламента по защите данных.

Что делать с новым Общим регламентом защиты данных

Углубить теоретические аспекты защита персональных данных это важно, но все те, кто управляет веб-порталами и сайтами электронной коммерции, в основном хотят понять, какие новые операции необходимо выполнить в отношении этого нового законодательства о конфиденциальности.

Контактные формы в сочетании с Политикой конфиденциальности

Как мы писали ранее, пользователи должны знать, что их личные данные могут собираться и обрабатываться для определенных целей. И поэтому важно, чтобы пользователь при регистрации на сайтах электронной коммерции или при посещении интернет-портала явно выражал свое согласие. Именно по этой причине Общий регламент по защите данных обязывает все Интернет-сайты иметь Персональные данные, или документация, в которой пользователям объясняется, какие типы данных собираются, кто является субъектом, который их собирает и почему они это делают, но, прежде всего, он должен разъяснять, передаются ли они третьим лицам и как долго они хранятся в базу данных портала. Учитывая, что такой документ чаще всего является особенно длинным и скучным, а пользователи Интернета (несмотря на собственную безопасность) склонны избегать интернет-сайтов, где есть длинные тексты для чтения, было установлено, что Политики конфиденциальности должны быть объединены с теми формами, в которые пользователь физически вводит свои персональные данные. Именно по этой причине, когда, например, вы подписываетесь на информационный бюллетень веб-сайта, помимо ввода вашего имени, фамилии и адреса электронной почты, пользователь должен «поставить галочку» в поле, касающемся разрешения на обработку персональных данных.

Регистрация данных и Google Analytics

Это новое законодательство, помимо прочего, в дополнение к регулированию защиты персональных данных также обязывает менеджеров сайтов электронной коммерции и веб-порталов регистрироваться и хранить конфиденциальные ссылки на пользователей. Мало того, даже дата, когда пользователь дал согласие на обработку своих персональных данных, должна быть легко поддающейся проверке. Следовательно, веб-сайтам необходимо иметь реальную базу данных, которую можно использовать в любое время, которая должна сочетаться с инструментом регистрации данных. Последнее представляет собой программное обеспечение, которое записывает IP-адрес устройства, с которого пользователь получает доступ к порталу, и таким образом можно в любое время проверить происхождение, дату и время данного согласия.

Они должны прибегать к средствам регистрации данных, например, ко всем тем порталам, на которых у пользователей есть собственная «зарезервированная область», где они могут не только проверить свои конфиденциальные данные в любое время, но при необходимости также могут изменить их и/или или удалить их. Одним из самых известных инструментов регистрации данных в мире является Google Analytics, программное обеспечение от одноименной компании из Маунтин-Вью, которое пользователи используют для проверки производительности своего веб-сайта. Google Analytics записывает IP-адрес каждого пользователя, посещенные страницы, затраченное время и многие другие данные. Руководители веб-сайтов, использующих это программное обеспечение, всегда в соответствии с положениями Общего регламента по защите данных должны явно указывать использование таких программ, как Google Analytics, на своем портале.

А вот и офицер по защите данных

Новые правила для безопасность личных данных предусмотреть конкретную профессиональную фигуру, которая должна взять на себя ответственность за управление и защиту того, что пользователи доверяют веб-порталам. Эта фигура известна под именами сотрудника по защите данных или Сотрудник по защите данных  (сокращенно ДПО). Менеджер по защите данных должен, прежде всего, хорошо знать не только Общее положение о защите данных, но и все другие действующие положения о конфиденциальности, будь то в прошлом, настоящем или будущем. Тогда он должен быть абсолютно независимой фигурой в отношении владения веб-сайтом, который не получает приказов ни от кого и должен говорить напрямую с высшим руководством организационной структуры компании. В то же время, наконец, он должен иметь возможность использовать финансовые и человеческие ресурсы, которые позволяют ему наилучшим образом выполнять то, что установлено новыми правилами безопасности персональных данных. На самом деле, даже за фигурой DPO есть несколько недостатков и аспектов, которые необходимо прояснить. Прежде всего, это навыки сотрудника по защите данных: на самом деле этот человек должен не только иметь необходимые навыки в отношении правил конфиденциальности, но также должен быть компетентен в вопросах, которыми занимается веб-портал, особенно если они имеют определенную важность. (подумайте о порталах, занимающихся темами медико-научного характера). Само собой разумеется, что найти все эти умения в одной фигурке чаще всего сложно, а то и невозможно.

Каков риск нарушения Общего регламента по защите данных?

Как мы также упоминали выше, система санкций, связанная с этим новым законодательством о конфиденциальности, все еще несовершенна, особенно здесь, в Италии, где отсутствие конкретного законодательного указа делает правонарушителей, по крайней мере на бумаге, не подлежащими судебному преследованию. Однако, желая дать очень краткий обзор наказаний, понесенных теми, кто не ставит безопасность личных данных пользователей на первое место, мы можем разделить их на две макрообласти: