Ankomsten af den generelle databeskyttelsesforordning
Ankomsten af den generelle databeskyttelsesforordning
GDPR hvad det er, og hvad det betyder at beskytte personlige data for websteder og e-handelssider
Den 25. maj 2018 er en epokedag i håndteringen af personoplysninger i Det Europæiske Fællesskab. På denne dato træder i kraft Generel databeskyttelsesforordning, bedre kendt under akronymet af GDPR, en lov, der beskytter fysiske personer og håndteringen af deres personoplysninger. Denne regel kommer efter en lang lovgivningsproces, og er den naturlige konsekvens af en verden, hvor nye teknologier sætter følsomme data fra de forskellige brugere, der bruger dem, i centrum. I disse linjer vil vi forsøge at forklare GDPR i detaljer og forstå dens anvendelse på websteder og e-handelsportaler.
Formålene med den generelle databeskyttelsesforordning
For bedre at forstå nytten af denne lovgivning vedtaget af Den Europæiske Union, er det vigtigt at angive formålene med GDPR. Med denne nye forordning skal brugerne først og fremmest være mere opmærksomme på deres personlige datas skæbne og først og fremmest give udtrykkeligt samtykke. De samme data skal derefter bruges med ekstrem sparsommelighed, idet der fastsættes strenge regler for at tillade dem at blive behandlet uden for Det Europæiske Fællesskab, og endelig skal der være strenge sanktioner for dem, der overtræder bestemmelserne i den generelle databeskyttelsesforordning. Det er disse punkter, som denne nye databeskyttelsesforordning er baseret på, men kort efter dens udgivelse præsenterer den generelle databeskyttelsesforordning allerede nogle mangler.
Medlemslandenes "forhold" og den italienske sump
Den generelle databeskyttelsesforordning har præsenteret sig selv som et regelsystem, der garanterer en vigtig indgreb i privatlivets fred. På tidspunktet for lovgivningen overlod EU dog medlemslandene muligheden for at kunne "fortolke" reglerne i dette nye dokument. Det betyder, at den meget lovede stivhed er væk, før den overhovedet startede, og franske og spanske brugere kan for eksempel se deres personlige data behandlet anderledes end portugisiske eller tyske brugere. Den italienske sag er endnu mere enestående: til dato har vores regering endnu ikke udstedt lovdekretet vedrørende den generelle databeskyttelsesforordning, derfor er den europæiske forordning stadig gyldig i vores land. Tingen i sig selv kunne også have positive aspekter, hvis det ikke var for det faktum, at det i mangel af et lovdekret ikke er muligt at retsforfølge og straffe dem, der overtræder bestemmelserne i dette nye dokument om privatlivets fred.
Hvad menes med "personlige data"?
Begrebet "persondata" bruges (og misbruges) på forskellige områder af hverdagen, men det er et misvisende begreb for alle ikke-eksperter. På samme tid, da vi taler om beskyttelse af følsomme data og regler mod krænkelse af privatlivets fred, er det vigtigt at have en klar idé om "personlige data". Alle disse oplysninger gør det muligt at identificere en person entydigt fra andre og er de såkaldte "personlige data": derfor falder navn, efternavn, skattekode, fødselsdato, adresse, telefonnummer og meget mere ind under denne kategori. Men når vi taler om privatliv på webportaler er der andre elementer, der unikt identificerer et emne, selvom de mere kan henføres til de enheder, som den samme bruger: IP-adresser, e-mail-adresser, cookies og så videre betragtes også som personlige data.
I lyset af denne definition opstår et spørgsmål: men hvornår beslutter brugerne sig for at overlade deres følsomme data til et websted? I langt de fleste tilfælde foregår denne operation i registreringsfasen på portalen, hvad enten den har til formål at oprette et reserveret område eller blot for at abonnere på et nyhedsbrev. Helt konkret altså mange e-handelssider de har også adgang til andre typer data, der kan defineres som "følsomme": først og fremmest dem af finansiel karakter (bankkoder, IBAN og skattemæssigt hjemsted), som naturligvis er afgørende for at kunne udføre onlinetransaktioner. Mindre overvejede, men stadig tilskrives kategorien af personlige data, er også forbrugsvaner: hvilket socialt netværk bruger du? Hvad er din yndlingsdrik? Hvad er den sidste vare, du har købt online? Disse tilsyneladende trivielle spørgsmål har en tendens til at skabe en forbrugerprofil, så brugeren kun tilbydes varer og tjenester, der virkelig kan vække hans nysgerrighed. Brugen af disse data til kommercielle formål skal også tydeligt forklares for brugeren, altid i overensstemmelse med bestemmelserne i den generelle databeskyttelsesforordning.
Hvad skal man gøre med den nye generelle databeskyttelsesforordning
Uddybe de teoretiske aspekter bag beskyttelse af personoplysninger det er essentielt, men alle dem, der administrerer webportaler og e-handelssider, ønsker grundlæggende at forstå, hvad der er de nye handlinger, der skal udføres med hensyn til denne nye privatlivslovgivning.
Kontaktformularer kombineret med privatlivspolitik
Som vi skrev tidligere, skal brugere være opmærksomme på, at deres personlige data kan indsamles og behandles til bestemte formål. Og det er derfor væsentligt, at brugeren, når han foretager registreringer på e-handelssider eller besøger en internetportal, eksplicit udøver sit samtykke. Det er af denne grund, at den generelle databeskyttelsesforordning forpligter alle internetsider at have en Privatlivspolitik, eller en dokumentation, hvori brugerne får forklaret, hvilke typer data der indsamles, hvem der er emnet, der indsamler dem, og hvorfor de gør dette, men frem for alt skal det afklares, om disse overføres til tredjemand, og hvor længe de opbevares i portaldatabasen. Da et sådant dokument oftest er særligt langt og kedeligt, og webbrugere (på trods af deres egen personlige sikkerhed) har en tendens til at undgå internetsider, hvor der er lange tekster at læse, blev det fastslået, at privatlivspolitikken skulle kombineres med de former, hvori brugeren fysisk indtaster sine personlige data. Det er af denne grund, at når man for eksempel tilmelder sig et hjemmesidenyhedsbrev, udover at indtaste sit navn, efternavn og e-mailadresse, skal brugeren "afkrydse" boksen vedrørende autorisation af behandling af personoplysninger.
Datalogning og Google Analytics
Denne nye lovgivning forpligter blandt andet, udover at regulere beskyttelsen af persondata, også ledere af e-handelssider og webportaler til at registrere og opbevare følsomme brugerreferencer. Ikke nok med det, selv den dato, hvor brugeren har givet sit samtykke til behandlingen af sine personoplysninger, skal være let at verificere. Derfor skal hjemmesider til enhver tid have en reel database at trække på, som skal kombineres med et datalogningsværktøj. Sidstnævnte er en software, der registrerer IP-adressen på den enhed, som brugeren tilgår portalen med, og på denne måde er det muligt til enhver tid at verificere oprindelsen, datoen og tidspunktet for det afgivne samtykke.
For eksempel skal alle de portaler, hvor brugerne har deres eget "reserverede område", ty til datalogningsværktøjer, hvor de ikke kun kan tjekke deres følsomme data til enhver tid, men også kan ændre og/eller slette dem, hvis det er nødvendigt. Et af de mest berømte datalogningsværktøjer i verden er Google Analytics, softwaren fra Mountain View-virksomheden af samme navn, som brugere bruger til at kontrollere deres hjemmesides ydeevne. Google Analytics registrerer for hver brugers IP-adresse, besøgte sider, brugt tid og mange andre data. Lederne af de websteder, der bruger denne software, skal altid i overensstemmelse med bestemmelserne i den generelle databeskyttelsesforordning udtrykkeligt gøre brugen af programmer såsom Google Analytics på deres portal.
Her kommer databeskyttelsesrådgiveren
De nye regler for sikkerhed for personoplysninger sørge for en bestemt professionel figur, der skal påtage sig ansvaret for forvaltningen og beskyttelsen af, hvad brugerne overlader til webportaler. Dette tal er kendt under navnene på en databeskyttelsesansvarlig eller Databeskyttelsesansvarlige (forkortet DPO). Databeskyttelsesadministratoren skal først og fremmest have et indgående kendskab til ikke kun den generelle databeskyttelsesforordning, men også om alle andre gældende regler om privatlivets fred, hvad enten det er fortid, nutid eller fremtid. Han skal da være en helt uafhængig figur med hensyn til ejerskabet af hjemmesiden, som ikke modtager ordrer fra nogen, og som skal tale direkte med den øverste ledelse af virksomhedens organisationsplan. Samtidig skal den endelig kunne trække på økonomiske og menneskelige ressourcer, der gør, at den bedst muligt kan udføre det, der er fastsat i de nye regler for persondatasikkerhed. Faktisk, selv bag figuren af DPO der er flere fejl og aspekter, der skal afklares. Det ene drejer sig først og fremmest om databeskyttelsesrådgiverens kompetencer: i virkeligheden burde denne figur ikke kun have de rette kompetencer med hensyn til regler om beskyttelse af privatlivets fred, men bør også være kompetente i de emner, som webportalen dækker, især hvis de er af en vis betydning (tænk på portaler, der beskæftiger sig med medicinsk-videnskabelige emner). Det siger sig selv, at det oftest er svært, hvis ikke umuligt, at finde alle disse færdigheder i en enkelt figur.
Hvad er risikoen for at overtræde den generelle databeskyttelsesforordning?
Som vi også har nævnt ovenfor, er sanktionsrammen i forbindelse med denne nye privatlivslovgivning stadig ufuldstændig, især her i Italien, hvor fraværet af et specifikt lovdekret gør lovovertrædere, i det mindste på papiret, ikke ansvarlige for retsforfølgelse. Men for at give en meget kort opsummering af de sanktioner, som dem, der ikke sætter sikkerheden for brugernes personlige data først, kan vi opdele dem i to makroområder:
- alvorlige og mindre alvorlige overtrædelser. I virkeligheden er den pengemæssige straf i begge tilfælde langt fra let: For mindre sanktioner risikerer du en bøde på op til 10 millioner euro eller en bøde svarende til 2 % af den omsætning, som virksomheden havde optjent i det foregående år.
- alvorlige overtrædelser de kan hæve disse bøder til 20 millioner euro eller 4 % af omsætningen. Mindre alvorlige "forbrydelser" omfatter undladelse af at udpege en databeskyttelsesansvarlig, overtrædelse af betingelserne vedrørende mindreåriges samtykke og manglende anvendelse af sikkerhedsforanstaltninger.
- Hvem har f.eks. ulovligt handler med følsomme data med et tredjeland pålægges en alvorlig bøde. Endelig kan den generelle databeskyttelsesforordning i særligt alvorlige tilfælde også indeholde sanktioner af kriminel karakter.
Du kan også være interesseret i:
Innosuisse har nået sine innovationsmål for 2023 i Schweiz
Et rekordbeløb på over 490 millioner francs er blevet tildelt for at kompensere for den manglende tilknytning til EU's velkendte Horizon Europe-program
"Jeg sælger, men jeg bliver": den nye trend for den lille iværksætter
Historien om Francesco Schittini og Emotecs indtræden i MCP-fonden er eksemplarisk på hyppige ejerskifte uden organisatoriske chok
AI Tools for Businesses, kurset dedikeret til kunstig intelligens
Den schweiziske start-up navAI udviklede det med det formål at give alle de nødvendige værktøjer til at implementere den nye teknologi i sin sektor
Der var en bagdør til at inficere dem alle, men et geni reddede nettet
Her er hvordan en udviklers ekspertise, og lidt... forsyn, netop forhindrede sabotagen af Linux og hele internettet
//