Dolazak Opće uredbe o zaštiti podataka

Lipanj 24, 2019
|In Za web, Sigurnost i privatnost, U prvom planu, Posao i poslovni razvoj, Za posao, Komunikacija i mediji, Ne smije se propustiti, Za nas
|By Andreas Arno Michael Voigt

Dolazak Opće uredbe o zaštiti podataka

Što je GDPR i što znači zaštititi osobne podatke za web stranice i web stranice za e-trgovinu

25. svibnja 2018. epohalni je datum u upravljanju osobnim podacima unutar Europske zajednice. Ovog datuma stupa na snagu Opća uredba o zaštiti podataka, poznatiji pod akronimom od GDPR, zakon koji štiti fizičke osobe i upravljanje njihovim osobnim podacima. Ovo pravilo dolazi nakon dugog zakonodavnog procesa i prirodna je posljedica svijeta u kojem nove tehnologije u središte stavljaju osjetljive podatke različitih korisnika koji ih koriste. U ovim redovima pokušat ćemo detaljno objasniti GDPR i razumjeti njegovu primjenu na web stranicama i e-commerce portalima.

Svrhe Opće uredbe o zaštiti podataka

Kako bismo bolje razumjeli korisnost ovog zakonodavstva koje je donijela Europska unija, bitno je navesti svrhe GDPR-a. Ovom novom uredbom korisnici prije svega moraju biti svjesniji sudbine svojih osobnih podataka i prije svega moraju dati izričit pristanak. Isti se podaci zatim moraju koristiti s krajnjom štedljivošću, postavljajući stroga pravila koja dopuštaju njihovu obradu izvan Europske zajednice, i konačno moraju postojati stroge kazne za one koji krše odredbe Opće uredbe o zaštiti podataka. To su točke na kojima se temelji ova nova uredba o privatnosti, ali ubrzo nakon objave, Opća uredba o zaštiti podataka već predstavlja neke nedostatke.

„Omjer“ članica i talijanske baruštine

Opća uredba o zaštiti podataka predstavila se kao sustav pravila koji jamči važno suzbijanje u ime privatnosti. U trenutku donošenja zakona, međutim, EU je državama članicama ostavila mogućnost da mogu "tumačiti" propise sadržane u ovom novom dokumentu. To znači da je toliko obećana krutost nestala prije nego što je uopće počela, a francuski i španjolski korisnici, na primjer, mogli bi vidjeti da se njihovi osobni podaci tretiraju drugačije nego portugalski ili njemački korisnici. Talijanski slučaj još je jedinstveniji: naša Vlada do danas još nije donijela zakonsku uredbu koja se odnosi na Opću uredbu o zaštiti podataka, stoga je europska uredba još uvijek važeća u našoj zemlji. Stvar bi sama po sebi mogla imati i pozitivnih strana, da u nedostatku zakonske uredbe nije moguće procesuirati i kazniti one koji krše odredbe ovog novog dokumenta o privatnosti.

Što se podrazumijeva pod "osobnim podacima"?

Pojam "osobni podaci" koristi se (i zlorabi) u raznim područjima svakodnevnog života, ali je zabluda za sve nestručnjake. Istovremeno, s obzirom da je riječ o zaštiti osjetljivih podataka i pravilima protiv povrede privatnosti, bitno je imati jasnu predodžbu o „osobnim podacima". Sve te informacije omogućuju nedvosmislenu identifikaciju osobe od drugih i predstavljaju takozvane „osobne podatke": dakle ime, prezime, porezni broj, datum rođenja, adresa, broj telefona i još mnogo toga spada u ovu kategoriju. Međutim, kada govorimo o privatnosti na web portalima postoje i drugi elementi koji jedinstveno identificiraju subjekt, čak i ako se više mogu pripisati uređajima koje isti koristi: IP adrese, e-mail adrese, kolačići i tako dalje također se smatraju osobnim podacima.

U svjetlu ove definicije postavlja se pitanje: ali kada korisnici odlučuju povjeriti svoje osjetljive podatke web stranici? U velikoj većini slučajeva ova se operacija odvija tijekom faze registracije na portalu, bilo da je usmjerena na stvaranje rezerviranog područja ili čak samo za pretplatu na newsletter. Konkretno, dakle, mnogi stranice za e-trgovinu imaju pristup i drugim vrstama podataka koji se mogu definirati kao "osjetljivi": prije svega onima financijske prirode (bankovni kodovi, IBAN i porezna domicilacija), koji su očito neophodni za obavljanje online transakcija. Manje razmatrane, ali još uvijek pripisive kategoriji osobnih podataka su i potrošačke navike: koju društvenu mrežu koristite? Koje je tvoje omiljeno piće? Koji ste zadnji artikl kupili online? Ova naizgled trivijalna pitanja nastoje stvoriti profil potrošača, tako da se korisniku nude samo oni proizvodi i usluge koji mu mogu doista pobuditi znatiželju. Korištenje ovih podataka u komercijalne svrhe također mora biti jasno objašnjeno korisniku, uvijek u skladu s odredbama Opće uredbe o zaštiti podataka.

Što učiniti s novom Općom uredbom o zaštiti podataka

Produbiti teorijske aspekte iza zaštita osobnih podataka bitno je, ali svi oni koji upravljaju web-portalima i web-mjestima za e-trgovinu u osnovi žele razumjeti koje su nove radnje koje treba poduzeti s obzirom na ovaj novi zakon o privatnosti.

Obrasci za kontakt u kombinaciji s Politikom privatnosti

Kao što smo već pisali, korisnici moraju biti svjesni da se njihovi osobni podaci mogu prikupljati i obrađivati ​​u određene svrhe. Stoga je bitno da korisnik prilikom registracije na stranicama e-trgovine ili posjetom internetskom portalu izričito iskoristi svoj pristanak. Upravo iz tog razloga Opća uredba o zaštiti podataka obvezuje sve Internet stranice imati jedan Politika Privatnosti, odnosno dokumentaciju u kojoj se korisnicima objašnjava koje se vrste podataka prikupljaju, tko ih prikuplja i zašto to čine, ali prije svega mora biti razjašnjeno prenose li se oni trećim osobama i koliko se dugo čuvaju u bazi portala. S obzirom na to da je takav dokument najčešće posebno dugačak i dosadan, a korisnici interneta (usprkos vlastitoj sigurnosti) izbjegavaju internetske stranice na kojima ima dugačkih tekstova za čitanje, pokazalo se da je Politika privatnosti morala biti kombinirana s onim obrascima u koje korisnik fizički upisuje svoje osobne podatke. Upravo iz tog razloga kada se, primjerice, pretplaćuje na newsletter web stranice, uz unos imena, prezimena i e-mail adrese, korisnik mora "štiklirati" kućicu koja se odnosi na odobrenje obrade osobnih podataka.

Evidentiranje podataka i Google Analytics

Ovaj novi zakon, između ostalog, osim reguliranja zaštite osobnih podataka, obvezuje i upravitelje e-commerce stranica i web portala na registraciju i čuvanje osjetljivih korisničkih referenci. I ne samo to, čak i datum kada je korisnik pristao na obradu svojih osobnih podataka mora biti lako provjerljiv. Otuda potreba da web stranice imaju pravu bazu podataka na koju se mogu oslanjati u bilo kojem trenutku, a koja se mora kombinirati s alatom za bilježenje podataka. Potonji je softver koji bilježi IP adresu uređaja s kojim korisnik pristupa portalu te je na taj način u svakom trenutku moguće provjeriti podrijetlo, datum i vrijeme dane privole.

Na primjer, svi oni portali u kojima korisnici imaju svoje "rezervirano područje" moraju pribjeći alatima za bilježenje podataka, gdje ne samo da mogu provjeriti svoje osjetljive podatke u bilo kojem trenutku, već ih mogu i izmijeniti i/ili izbrisati ako je potrebno. Jedan od najpoznatijih alata za bilježenje podataka na svijetu je Google Analytics, softver istoimene tvrtke Mountain View koji korisnici koriste za provjeru rada svoje web stranice. Google Analytics za svakog korisnika bilježi IP adresu, posjećene stranice, utrošeno vrijeme i mnoge druge podatke. Upravitelji web stranica koje koriste ovaj softver, uvijek u skladu s odredbama Opće uredbe o zaštiti podataka, moraju izričito omogućiti korištenje programa kao što je Google Analytics unutar svog portala.

Dolazi službenik za zaštitu podataka

Nova pravila za sigurnost osobnih podataka predvidjeti određenu stručnu osobu koja mora preuzeti odgovornost za upravljanje i zaštitu onoga što korisnici povjere web portalima. Ova brojka poznata je pod imenima Službenik za zaštitu podataka ili Službenik za zaštitu podataka (skraćeno DPO). Voditelj zaštite podataka prije svega mora dobro poznavati ne samo Opću uredbu o zaštiti podataka, već i sve ostale važeće propise o privatnosti, bilo da su prošli, sadašnji ili budući. On tada mora biti apsolutno neovisna figura u pogledu vlasništva web stranice, koja ne prima naredbe ni od koga i koja mora razgovarati izravno s najvišim menadžmentom organizacijske sheme tvrtke. Pritom, konačno, mora moći crpiti financijske i ljudske resurse koji joj omogućuju da na najbolji mogući način provede ono što je utvrđeno novim propisima za sigurnost osobnih podataka. Zapravo, čak i iza figure DPO postoji nekoliko nedostataka i aspekata koje treba razjasniti. Jedna se prije svega odnosi na vještine službenika za zaštitu podataka: u stvarnosti ta osoba ne bi trebala imati samo odgovarajuće vještine u vezi s propisima o privatnosti, već bi trebala biti kompetentna i za pitanja koja pokriva web portal, posebno ako su od određene važnosti (mislite na portale koji se bave medicinsko-znanstvenim temama). Nije potrebno spominjati da je pronaći sve te vještine u jednoj slici najčešće teško, ako ne i nemoguće.

Koliki je rizik od kršenja Opće uredbe o zaštiti podataka?

Kao što smo također gore spomenuli, okvir sankcioniranja koji se odnosi na ovaj novi zakon o privatnosti još uvijek je nepotpun, posebno ovdje u Italiji gdje nepostojanje posebne zakonske uredbe čini prekršitelje, barem na papiru, nepodložnim kaznenom progonu. No, želeći dati vrlo kratak sažetak kazni koje snose oni kojima sigurnost osobnih podataka korisnika nije na prvom mjestu, možemo ih podijeliti u dva makro područja:

  • teže i lakše povrede. U stvarnosti, u oba slučaja novčana kazna je daleko od male: za manje sankcije riskirate kaznu do 10 milijuna eura ili kaznu jednaku 2% prometa koji je tvrtka ostvarila u prethodnoj godini.
  • ozbiljne povrede te kazne mogu podići na 20 milijuna eura ili 4% prometa. U lakša "zločina" spadaju neimenovanje službenika za zaštitu podataka, kršenje uvjeta koji se odnose na pristanak maloljetnika i neprimjenjivanje sigurnosnih mjera.
  • Tko je npr. ilegalno prometuje osjetljivim podacima s trećom zemljom snosi strogu kaznu. Konačno, u posebno ozbiljnim slučajevima Opća uredba o zaštiti podataka također može predvidjeti kaznene kazne.
Osobni podaci Osjetljivi podaci trening