Fokus 4: databehandling og personligt ansvar

Hvad sker der, hvis vi køber et produkt fra en e-handelsside, og næste dag opdager vi, at vores kreditkort er løbet tør for kredit? Hvordan administreres vores præferencer og derfor vores data, når vi accepterer at gennemse et websted eller en blog? Og igen: Hvem overlader vi egentlig personlige oplysninger til, når først en kontaktformular er udfyldt? Vi vil forsøge at besvare disse og andre spørgsmål i denne fjerde e sidste indsigt dedikeret til informationssikkerhed i den digitale tidsalder. Ja, fordi databehandling går hånd i hånd med webstedsadministratorers personlige ansvar, altså de personer, der ejer et websted eller et digitalt projekt. Situationen har altid været fragmenteret, i hvert fald indtil for få år siden. Den epoke ændring kom i 2018, med fremkomsten af Generel databeskyttelsesforordning, også kendt som GDPR. Lad os starte lige fra dette punkt og se, hvordan man opsætter en datastyringspolitik på en håndværksmæssig måde.

DEN EUROPÆISKE GDPR OG DET FAKTISKE ANVENDELSESOMRÅDE

Umuligt aldrig at have hørt om den generelle databeskyttelsesforordning, officielt forordning (EU) nr. 2016/679. GDPR, der har været i drift i to år nu, har markeret begyndelsen på en ny æra, der hæver niveauet af brugerbeskyttelse med hensyn til behandling af personoplysninger af hjemmesider, blogs, e-handel og virtuelle rum generelt (fora, landingssider, videostreamingplatforme, søgemaskiner osv.). At tale i nogle få linjer om dette grænseløse og til dels tvetydige lovgivningsinstrument er en umulig opgave, faktum er, at det er vores pligt at give nogle nyttige retningslinjer for at kaste lys over et så stort og komplekst spørgsmål. Lad os først se på højdepunkterne i GDPRLad os dog prøve at forstå, hvad dets faktiske anvendelsesområde er.

Hvilke lande er berørt af GDPR?

Ethvert land, hvor en organisation, der henvender sig til EU-borgere via nettet og behandler visse personoplysninger, opererer, er et land, hvor GDPR har ret til at anvende. Dette er konklusionen ved at sammenlægge de områder, der er specificeret af GDRP. Heraf kan det udledes, at praktisk talt alle virksomheder og fagfolk, der har forbindelser til EU, fra Schweiz til USA og mange andre, skal overholde forordningen. For mere information om dette anbefaler vi at læse denne komplette guide til GDPR.

Hvis vi antager, at GDPR har juridisk værdi i Schweiz såvel som i resten af ​​Europa, lad os se punkt for punkt i vigtigste aspekter at huske på at fortolke forordningen korrekt og anvende den i overensstemmelse hermed.

• hver bruger, der besøger dit websted, skal bekræfte sit samtykke til behandlingen af ​​data. Samtykke skal til enhver tid være gratis, specifikt, informeret og tilbagekaldeligt
• i mangel af samtykke antages det, at dataene IKKE vil blive indsamlet, eller at besøget på siden vil blive forhindret
• samtykkerne skal arkiveres og huskes, så de altid kan findes af eventuelle agenter og statslige myndigheder
• samtykkeregistret skal indeholde en række væsentlige oplysninger, såsom det tidspunkt, hvor samtykket er givet
• samtykke er ikke det eneste mulige retsgrundlag, men et af de 6, som GDPR giver. Men i mange situationer og for mange virksomheder er konsensus den nemmeste vej at gå

DIREKTIVET OM ELEKTRISK BESKYTTELSE (COOKIE LOV)

GDPR er ikke den eneste reference, der skal overholdes. Direktiv 2009/136/EF (også kendt som ePrivacy-direktivet) er det andet grundlæggende værktøj til korrekt håndtering af personoplysninger. specifik lovgivning reglerne for brug af tredjepartscookies inden for dit eget virtuelle rum, eller rettere de krav, der tillader aktivering af cookies ved første besøg af en ny bruger. Igen er princippet baseret på maksimal beskyttelse, der giver brugeren den fulde mulighed for at nægte cookies adgang til deres data med et enkelt klik. Som vi vil se i sidste afsnit, skal administratoren og dermed administratoren af ​​hjemmesiden give brugeren et system, typisk et banner, til at acceptere eller afslå adgangen til cookies.

Nogle cookies er undtaget fra denne form for samtykke, men det er meget sandsynligt, at et virksomhedsudstillingswebsted er vært for mindst én digital token eller cookie. Privatlivspolitikken skal indberettes i et specifikt dokument, og det gælder også for cookiepolitikken. I øjeblikket er ePrivacy-direktivet, eller cookie-loven, under diskussion, fordi lovgivernes hensigter sigter mod overgangen til det, der vil være ePrivacy-forordningen, der fungerer i overensstemmelse med GDPR. Men efter al sandsynlighed der vil ikke være væsentlige ændringer i bestemmelserne, hvorfor det er godt lige nu at tilpasse sig og komme forberedt til godkendelse af forordningen, der er bestemt til at blive gjort officiel inden for få år.

CALIFORNIA CONSUMER PRIVACY ACT (CCPA)

California Consumer Privacy Act trådte i kraft den 1. juli 2020, en af ​​de mest strukturerede former for beskyttelse, der i øjeblikket er godkendt i USA, samt grundlæggende retningslinjer for hver amerikansk stat uden for Californien. Som det er tilfældet for Europa med GDPR, har CCPA også enorme konsekvenser for USA, såsom at gå ud over ens eget lands grænser. Selvom det ikke er så restriktivt, kan CCPA også have en reel indflydelse på din virksomhed baseret i Schweiz eller et hvilket som helst andet land. De betingelser, du skal opfylde, ud over at henvende dig til californiske borgere, omfatter:

• have et årligt bruttosalg på over 25 millioner dollars; eller
• at have mindst 50 % af sin omsætning kommer fra salg af persondata

eller

• købe, modtage, sælge eller dele personlige oplysninger fra 50.000 eller flere forbrugere hvert år til kommercielle formål.

Svært? Ikke nøjagtigt. Da IP-adresser er personlige data, er det sandsynligt, at enhver hjemmeside, der på et år få fra Californien 50.000+ unikke besøgende er inden for rammerne af CCPA. Dette er blot et eksempel på, hvordan globaliseringen, også og frem for alt informationsteknologi, nu har skabt forbindelser og indbyrdes afhængighed mellem nationale lovgivninger.

SÅDAN OVERHOLDER DU DATADIREKTIV

I lyset af, hvad der er skrevet indtil nu, er tilpasning til nationale, europæiske og internationale direktiver bestemt ikke en tilgængelig opgave uden brug af passende værktøjer. Det er ikke tilfældigt, at de er blevet udviklet i de senere år hele platforme designet til at håndtere forpligtelser af GDPR (og ikke kun) med en hurtig, praktisk og delvis automatisk tilgang. Hjemmesideadministratoren, det vil sige ejeren af ​​organisationen, webmasteren eller det bureau, der følger projektet, skal blot registrere sig på disse platforme og udfylde de data, som systemet kræver (dataejer, websteds-url osv.). På dette tidspunkt vil softwaren og det tilhørende plugin vise brugerne banneret, som opsummerer vilkårene og betingelserne for datasporing og cookieaktivering.

De samme platforme, i hvert fald de mest berømte, er i stand til at generere fortrolighedspolitikdokumenter, cookiepolitikker og eventuelle vilkår og betingelser, med en forudformateret tekst, som du blot skal udfylde og tilpasse efter behov. Blandt navnene på de mest succesrige platforme nævner vi uden særlig rækkefølge den italienske Iubenda, den amerikanske Quantcast eller den danske Cookiebot, som hver især er specialiseret i en regulering eller et sæt regler. Løsningerne er gratis men i dette tilfælde har de begrænset funktionalitet. Vi hos Innovando anbefaler derfor at vælge den plan, der bedst svarer til organisationens størrelse og effektive metoder til dataindsamling, og dermed undgå enhver hypotese om kriminalitet. Du roder ikke rundt med brugerdata, især da sanktionerne, i tilfælde af manglende overholdelse, de kan være meget, meget salte.

Vi håber, at vi har givet dig al den information, du har brug for. Hvis ikke, bedes du kontakte os uforpligtende for en gratis og personlig rådgivning om databeskyttelse.