Zaměření 4: zpracování údajů a osobní odpovědnost

Co se stane, když si koupíme produkt z elektronického obchodu a druhý den zjistíme, že na naší kreditní kartě došel kredit? Jak jsou spravovány naše preference a tedy naše údaje, když souhlasíme s procházením webových stránek nebo blogu? A znovu: komu skutečně svěřujeme osobní údaje po vyplnění kontaktního formuláře? Na tyto a další otázky se pokusíme odpovědět v tomto čtvrtém e poslední vhled věnované informační bezpečnosti v digitálním věku. Ano, protože zpracování dat jde ruku v ruce s osobními povinnostmi správců stránek, tedy lidí, kteří vlastní stránky nebo digitální projekt. Situace byla vždy roztříštěná, alespoň ještě před pár lety. Epochální změna přišla v roce 2018 s příchodem Obecné nařízení o ochraně osobních údajů, také známý jako GDPR. Začněme přímo od tohoto bodu a podívejme se, jak nastavit zásady správy dat pracovním způsobem.

EVROPSKÉ GDPR A SKUTEČNÝ ROZSAH PŮSOBNOSTI

Je nemožné, abyste nikdy neslyšeli o obecném nařízení o ochraně osobních údajů, oficiálně nařízení (EU) č. 2016/679. GDPR, které funguje již dva roky, znamená začátek nové éry, která zvyšuje úroveň ochrany uživatelů v souvislosti se zpracováním osobních údajů webové stránky, blogy, elektronický obchod a virtuální prostory obecně (fóra, vstupní stránky, platformy pro streamování videa, vyhledávače atd.). Mluvit v několika řádcích o tomto bezbřehém a částečně nejednoznačném legislativním nástroji je nesplnitelný úkol, faktem však zůstává, že je naší povinností poskytnout užitečné pokyny, které osvětlí tak rozsáhlou a složitou problematiku. Nejprve se podívejme na hlavní body GDPRPokusme se však pochopit, jaký je jeho skutečný rozsah použití.

Kterých zemí se GDPR týká?

Každá země, ve které působí organizace, která oslovuje občany EU prostřednictvím webu a zpracovává určité osobní údaje, je zemí, ve které má právo platit GDPR. K tomuto závěru se dospělo sečtením oblastí specifikovaných v GDRP. Z toho lze odvodit, že nařízení musí dodržovat prakticky všechny společnosti a odborníci, kteří mají vztahy s Evropskou unií, od Švýcarska po Spojené státy americké a mnoho dalších. Pro více informací o tomto doporučujeme přečíst tohoto kompletního průvodce GDPR.

Za předpokladu, že GDPR má právní hodnotu ve Švýcarsku i ve zbytku Evropy, podívejme se bod po bodu i hlavní aspekty, které je třeba mít na paměti nařízení správně vykládat a podle toho jej uplatňovat.

• každý uživatel, který navštíví vaše stránky, musí potvrdit svůj souhlas se zpracováním údajů. Souhlas musí být svobodný, konkrétní, informovaný a kdykoli odvolatelný
• v případě absence souhlasu se předpokládá, že údaje NEBUDOU shromažďovány nebo že bude zabráněno návštěvě stránky
• souhlasy musí být archivovány a uloženy do paměti, aby je vždy mohli najít zástupci a státní orgány
• registr souhlasů musí obsahovat řadu základních informací, jako je okamžik, kdy byl souhlas udělen
• souhlas není jediným možným právním základem, ale jedním ze 6, které GDPR poskytuje. V mnoha situacích a pro mnoho podniků však zůstává konsensus nejjednodušší cestou

SMĚRNICE O OCHRANE OSOBNÍCH ÚDAJŮ V OBLASTI e-Soukromí (COOKIE)

GDPR není jediným odkazem, který je třeba dodržovat. Směrnice 2009/136/ES (také známá jako směrnice o soukromí a elektronických komunikacích) je druhým základním nástrojem pro správnou správu osobních údajů. specifická legislativa pravidla pro používání souborů cookie třetích stran v rámci vlastního virtuálního prostoru, respektive požadavky, které umožňují aktivaci cookies při první návštěvě nového uživatele. Princip je opět založen na maximální ochraně a nabízí uživateli plnou možnost odmítnout přístup cookies k jeho datům pouhým kliknutím. Jak uvidíme v posledním odstavci, administrátor a tedy správce webu musí uživateli poskytnout systém, typicky banner, aby přijmout nebo odmítnout přístup k souborům cookie.

Některé soubory cookie jsou z tohoto typu souhlasu vyjmuty, ale je velmi pravděpodobné, že web obchodní prezentace hostí alespoň jeden digitální token neboli soubor cookie. Zásady ochrany osobních údajů musí být uvedeny v konkrétním dokumentu, a to platí i pro zásady používání souborů cookie. V tuto chvíli je projednávána směrnice o ePrivacy neboli zákon o cookies, protože záměry zákonodárců směřují k přechodu na to, co bude nařízení o ePrivacy, fungující v souladu s GDPR. Se vší pravděpodobností však nedojde k žádným výrazným změnám v ustanoveních, a proto je dobré se právě teď přizpůsobit a dorazit připraveni ke schválení nařízení, které má být za několik let oficiálně schváleno.

CALIFORNIA CONSUMER PRIVACY ACT (CCPA)

Dne 1. července 2020 vstoupil v platnost kalifornský zákon o ochraně soukromí spotřebitelů, jedna z nejstrukturovanějších forem ochrany, která je v současné době ve Spojených státech schválena. základní směrnice pro každý stát USA mimo Kalifornii. Stejně jako v případě Evropy s GDPR, má CCPA také obrovské dopady pro USA, například překračování hranic vlastní země. I když není CCPA tak omezující, může mít také skutečný dopad na vaše podnikání se sídlem ve Švýcarsku nebo jiné zemi. Podmínky, které musíte splnit, kromě oslovování občanů Kalifornie, zahrnují:

• mají roční hrubé tržby vyšší než 25 milionů USD; nebo
• má alespoň 50 % svého obratu z prodeje osobních údajů

nebo

• kupovat, přijímat, prodávat nebo sdílet osobní údaje 50.000 XNUMX nebo více spotřebitelů každý rok pro komerční účely.

Obtížný? Nepřesně. Vzhledem k tomu, že IP adresy jsou osobní údaje, je pravděpodobné, že jakýkoli web, který za rok získat z Kalifornie 50.000 XNUMX+ unikátní návštěvníci spadají do působnosti CCPA. To je jen jeden příklad toho, jak globalizace, a především informační technologie, nyní vytvořila propojení a vzájemné závislosti mezi národní legislativou.

JAK DODRŽOVAT DATOVÉ SMĚRNICE

Ve světle toho, co bylo dosud napsáno, není přizpůsobení se národním, evropským a mezinárodním směrnicím jistě přístupným úkolem bez použití vhodných nástrojů. Není náhodou, že byly vyvinuty v posledních letech celé platformy určené ke správě závazků GDPR (nejen) rychlým, praktickým a částečně automatickým přístupem. Správce webu, tedy vlastník organizace, webmaster nebo agentura, která projekt sleduje, se na těchto platformách stačí zaregistrovat a vyplnit údaje požadované systémem (vlastník údajů, url webu atd.). V tomto okamžiku software a související plugin uživatelům zobrazí banner, který shrnuje podmínky sledování dat a aktivace cookies.

Stejné platformy, alespoň ty nejznámější, jsou schopny generovat dokumenty se zásadami ochrany osobních údajů, zásady pro soubory cookie a jakékoli smluvní podmínky s předem naformátovaným textem, který stačí podle potřeby vyplnit a upravit. Mezi jmény nejúspěšnějších platforem v žádném pořadí neuvádíme italskou Iubendu, americký Quantcast nebo dánský Cookiebot, z nichž každá se specializovala na nějaké nařízení nebo soubor předpisů. Poskytovaná řešení jsou zdarma ale v tomto případě mají omezenou funkčnost. My v Innovando proto doporučujeme zvolit plán, který nejlépe odpovídá velikosti a efektivním metodám sběru dat organizace, čímž se vyhneme jakékoli hypotéze o kriminalitě. S uživatelskými údaji se nemažete, zejména proto, že sankce v případě nedodržení mohou být velmi, velmi slané.

Doufáme, že jsme vám poskytli všechny potřebné informace. Pokud ne, nezávazně nás kontaktujte bezplatné a personalizované poradenství o ochraně údajů.