《通用數據保護條例》的到來
GDPR 是什麼以及它對保護網站和電子商務網站的個人數據意味著什麼
25 年 2018 月 XNUMX 日是歐盟內部個人數據管理的劃時代日期。 即日起生效 一般數據保護條例,更廣為人知的縮寫是 GDPR,保護自然人及其個人數據管理的法律。 該規則是經過漫長的立法過程後製定的,是新技術將使用它們的各種用戶的敏感數據置於中心的世界的自然結果。 在這些內容中,我們將嘗試詳細解釋 GDPR 並了解其在網站和電子商務門戶網站上的應用。
一般數據保護條例的目的
為了更好地了解歐盟通過的這項立法的有用性,有必要列出 GDPR 的目的。 根據這項新規定,用戶首先必須更加了解其個人數據的命運,並且必須首先提供明確的同意。 然後必須極其節約地使用相同的數據,制定嚴格的規則以允許它們在歐洲共同體之外進行處理,最後必須對那些違反《通用數據保護條例》規定的人實施嚴厲的處罰。 這些是新隱私法規的基礎,但在發布後不久,《通用數據保護法規》就已經出現了一些缺陷。
成員國“比例”與意大利泥潭
《通用數據保護條例》本身就是一個規則體系,保證以隱私的名義進行重要的打擊。 然而,在立法時,歐盟讓成員國能夠“解釋”這份新文件中包含的規定。 這意味著,人們承諾的嚴格性在開始之前就已經消失了,例如,法國和西班牙用戶可能會發現他們的個人數據受到與葡萄牙或德國用戶不同的對待。 意大利的情況更為奇特:迄今為止,我國政府尚未頒布有關《通用數據保護條例》的立法令,因此歐洲法規在我國仍然有效。 如果不是因為在沒有立法令的情況下就不可能起訴和懲罰那些違反這項關於隱私的新文件規定的人,那麼事情本身也可能有積極的方面。
“個人數據”是什麼意思?
“個人數據”一詞在日常生活的各個領域使用(和濫用),但對於所有非專家來說,它是一個誤導性的概念。 同時,考慮到我們正在談論敏感數據的保護和防止侵犯隱私的規則,有必要對“個人數據”有一個清晰的認識。所有能夠明確識別一個人與他人的信息都是所謂的“個人數據”:因此,姓名,稅號,出生日期,地址,電話號碼等等都屬於這一類別。 然而,當我們談論門戶網站上的隱私時,還有其他唯一標識主題的元素,即使它們更多地歸因於相同使用的設備:IP 地址、電子郵件地址、cookie 等也被視為個人數據。
根據這個定義,出現了一個問題:但是用戶何時決定將其敏感數據委託給網站? 在絕大多數情況下,此操作發生在門戶網站的註冊階段,無論是為了創建保留區域還是只是為了訂閱時事通訊。 那麼具體來說,很多 電子商務網站 他們還可以訪問可定義為“敏感”的其他類型的數據:首先是金融性質的數據(銀行代碼、IBAN 和稅務所在地),這些數據顯然對於能夠進行在線交易至關重要。 較少考慮但仍歸因於個人數據類別的還有消費習慣:您使用哪個社交網絡? 你最喜歡喝什麼? 您在網上購買的最後一件商品是什麼? 這些看似微不足道的問題往往會創建消費者檔案,以便只向用戶提供真正能激發他好奇心的商品和服務。 將此數據用於商業目的還必須始終按照《通用數據保護條例》的規定向用戶明確解釋。
如何處理新的《通用數據保護條例》
深化背後的理論方面 保護個人資料 這很重要,但所有管理門戶網站和電子商務網站的人基本上都想了解針對這項新的隱私立法將採取哪些新行動。
聯繫表格與隱私政策相結合
正如我們之前所寫,用戶必須意識到他們的個人數據可能會出於某些目的而被收集和處理。 因此,用戶在電子商務網站註冊或訪問互聯網門戶時必須明確表示同意。 正是出於這個原因,《通用數據保護條例》要求所有 網站 擁有一個 隱私權政策,或向用戶解釋收集哪些類型的數據、收集這些數據的主體是誰以及他們為什麼這樣做的文檔,但最重要的是,它必須澄清這些數據是否傳輸給第三方以及它們在門戶數據庫中保留多長時間。 鑑於此類文檔通常特別長且無聊,並且網絡用戶(儘管考慮到自己的個人安全)傾向於避開有長文本需要閱讀的網站,因此確定隱私政策必須與用戶實際輸入其個人數據的表單相結合。 正因為如此,例如,當用戶訂閱網站新聞通訊時,除了輸入姓名和電子郵件地址外,用戶還必須“勾選”與個人數據處理授權相關的框。
數據記錄和 Google Analytics
除其他外,這項新立法除了規範個人數據的保護外,還要求電子商務網站和門戶網站的管理者註冊並保留敏感的用戶參考信息。 不僅如此,甚至用戶同意處理其個人數據的日期也必須易於驗證。 因此,網站需要有一個真正的數據庫可以隨時使用,並且必須與數據記錄工具相結合。 後者是一種記錄用戶訪問門戶的設備的IP地址的軟件,這樣就可以隨時驗證所給予同意的來源、日期和時間。
例如,所有那些用戶擁有自己的“保留區域”的門戶都必須求助於數據記錄工具,他們不僅可以隨時檢查自己的敏感數據,而且還可以在必要時修改和/或刪除它們。 世界上最著名的數據記錄工具之一是 Google Analytics,該軟件來自 Mountain View 公司的同名軟件,用戶用它來檢查其網站的性能。 Google Analytics 記錄每個用戶的 IP 地址、訪問的頁面、花費的時間和許多其他數據。 使用該軟件的網站的管理者必須始終遵守《通用數據保護條例》的規定,必須在其門戶中明確使用 Google Analytics 等程序。
數據保護官來了
新規則為 個人資料的安全 規定專門的專業人員必須負責管理和保護用戶委託給門戶網站的內容。 該數字以數據保護官或 數據保護官員 (縮寫為DPO)。 數據保護經理首先必須不僅對《通用數據保護條例》有深入的了解,而且還要對所有其他現行的隱私法規(無論是過去、現在還是未來)有深入的了解。 他必須是網站所有權方面絕對獨立的人物,不接受任何人的命令,並且必須直接與公司組織結構圖的最高管理層交談。 與此同時,最後,它必須能夠利用財政和人力資源,使其能夠以最佳方式執行新法規所規定的個人數據安全規定。 事實上,即使在這個數字背後 DPO 有幾個缺陷和方面需要澄清。 首先是數據保護官的技能:實際上,該人員不僅應該具備有關隱私法規的正確技能,還應該能夠勝任門戶網站所涵蓋的問題,特別是當這些問題具有一定重要性時(想想處理醫學科學主題的門戶網站)。 不言而喻,在一個人物身上找到所有這些技能通常是很困難的,甚至是不可能的。
違反《通用數據保護條例》有什麼風險?
正如我們上面也提到的,與這項新的隱私立法相關的製裁框架仍然不完整,特別是在意大利,因為缺乏具體的立法令,至少在紙面上,違法者不會受到起訴。 不過,想要非常簡單地總結一下那些不把用戶個人數據安全放在第一位的人所遭受的處罰,我們可以將其分為兩個宏觀領域:
- 嚴重和較不嚴重的違法行為。 事實上,在這兩種情況下,罰款都遠不輕:對於輕微制裁,您將面臨高達 10 萬歐元的罰款或相當於公司上一年營業額 2% 的罰款。
- 嚴重違規 他們可以將罰款提高到 20 萬歐元或營業額的 4%。 不太嚴重的“犯罪”包括未任命數據保護官、違反與未成年人同意相關的條件以及未採取安全措施。
- 誰,例如, 非法傳輸敏感數據 與第三國發生嚴重罰款。 最後,在特別嚴重的情況下,《通用數據保護條例》還可能規定刑事處罰。
您也可能對。。。有興趣:
「我在賣,但我在留」:小企業家的新趨勢
Francesco Schittini 和 Emotec 加入 MCP 基金的故事是在沒有組織衝擊的情況下頻繁變更所有權的典範
//