Dane osobowe — to modne hasło, które zalewa wiadomości i zmusza nas do zastanowienia się nad naszą tożsamością online oraz tym, jak jest wykorzystywane przez inne strony internetowe i firmy.
Właściciele internetowych firm i stron internetowych często działają jako gospodarze wrażliwych danych osobowych, które zgromadzili. W związku z
niedawnym wprowadzeniem GDPR — obszernych przepisów
regulujących bezpieczeństwo danych i prywatność w
UE — możesz martwić się o to, jak przechowujesz i chronisz informacje innych osób oraz czy te dane są
bezpieczne i zabezpieczone.
Czyż nie?
Nowe prawo o ochronie danych osobowych w UE nakłada na Ciebie obowiązek zapewnienia zgodności, ale my jesteśmy tutaj,
aby dać Ci kilka wskazówek. Ogólne Rozporządzenie o Ochronie Danych koncentruje się na zapewnieniu obywatelom większej kontroli nad ich
danymi w sieci.
Oprócz umożliwienia użytkownikom decydowania o tym, co się dzieje z ich informacjami, RODO wprowadza również nowe zasady dotyczące tego, jak organizacje powinny obchodzić się z tymi danymi. Wszystko to może wymagać podjęcia pewnych działań z Twojej strony — nawet jeśli nie jesteś zlokalizowany w UE. Oto co musisz wiedzieć i co możesz zrobić, aby być na bieżąco.
Powiązane: DreamHost jest zgodny z RODO
Co musisz wiedzieć o RODO
1. RODO jest już tutaj.
To prawda: RODO weszło w życie 25 maja 2018 roku. Oznacza to, że jeśli jeszcze nie zaktualizowałeś swojej strony internetowej
aby była zgodna, musisz zacząć nadrabiać zaległości. Reszta tego artykułu dostarczy ci kilka wskazówek i zasobów na temat
tego, co to oznacza. Nie panikuj! Po przeczytaniu tego artykułu, zalecamy przejście na oficjalną stronę RODO, aby być na bieżąco.
2. RODO dotyczy „danych osobowych” osób w UE.
Może być wiele powodów, dla których strona internetowa zbiera dane użytkownika: aby ułatwić zakup, rozesłać listę mailingową, kierować
reklamy lub określić najpopularniejszy rodzaj treści. Bez względu na cel, jeśli dane dotyczą osoby odwiedzającej stronę z państwa członkowskiego UE, stosuje się RODO.
Goście strony internetowej nie muszą być obywatelami UE — jeśli odwiedzają UE, powiedzmy z Ghany lub Brazylii, i
odwiedzają Twoją stronę, Twoja strona musi chronić ich prawa na mocy RODO.
Chociaż regulacja jest oparta w Europie, jest ona faktycznie bardziej rozległa, niż mogłoby się wydawać na pierwszy rzut oka. Jeśli twoja firma ma jakiekolwiek powiązania z Europą, czy to przez klientów czy partnerów (nawet tylko jednego!), powinieneś być świadomy tego, czego wymaga prawo.
3. Definicja danych osobowych jest rozszerzona w GDPR.
Kiedy myślimy o danych osobowych, na myśl przychodzą takie rzeczy jak imię, adres i numer telefonu. Jednak według definicji RODO jest to znacznie więcej. Przekraczając szczegóły, które normalnie byłyby uznane za informacje umożliwiające identyfikację osoby, RODO stanowi, że każda informacja „specyficzna dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby” podlega ochronie.
Przy tych szerokich parametrach, można bezpiecznie założyć, że wszystko co identyfikuje osobę może być objęte
definicją danych osobowych. Jeśli nie jesteś pewien, czy to się liczy, to prawdopodobnie tak! W rzeczywistości definicja GDPR
informacji umożliwiających identyfikację osoby to „jakiekolwiek informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.” Więc,
oto masz.
4. Każda jednostka, która kontroluje i przetwarza te dane, musi stosować się do przepisów.
Aktualne dokumenty RODO odnoszą się do zbierających i przetwarzających dane osobowe. Nie jesteś pewien, czy jesteś
kontrolerem czy procesorem? Czytaj dalej.
Podmiotem kontrolującym dane jest jednostka — firma, organizacja lub osoba indywidualna — która decyduje o tym, jakie dane są zbierane i jak są wykorzystywane. Procesor danych gromadzi, przechowuje i przekazuje te dane po ich zebraniu. Jeśli więc twoja organizacja zajmuje się jakimikolwiek danymi osób w UE lub współpracuje z taką, która to robi, czas włączyć się do działania.
5. Nowe przepisy wymagają zgody na zbieranie danych.
Mogłeś zauważyć, że wiele stron internetowych i aplikacji ostatnio aktualizuje swoje polityki prywatności i warunki użytkowania.
Wszystko to przez RODO. Jeśli organizacja oczekuje, że ktokolwiek w UE odwiedzi jej stronę internetową, firma musi
zawrzeć informacje proszące o zgodę na zbieranie danych użytkowników.
Powiązane: Twoja lista kontrolna do przeprojektowania strony na 2020 rok
Zaktualizowane zasady muszą zawierać informacje o tym, jakie dane są zbierane, dlaczego są zbierane, jak długo będą przechowywane, oraz w jaki sposób będą wykorzystywane i kto będzie miał dostęp do danych. Wszystko to musi być wyraźnie określone na stronie internetowej w widocznym miejscu.
Zgodność z GDPR wymaga aktywnej zgody — a nie biernych metod, takich jak zaznaczone z góry pole wyboru. GDPR będzie miało niewielką
tolerancję dla praktyk dark UX, które wprowadzają
ludzi w błąd, skłaniając ich do zgadzania się na coś lub zapisywania, lub słabego projektowania bloga, które ukrywa
istotne informacje.
Te powiadomienia są wymagane nawet w przypadku zbierania najprostszych danych. USA Today przyjęło interesujące podejście do przestrzegania przepisów GDPR, poprzez utworzenie dwóch oddzielnych
instancji swojej strony internetowej — jednej dla użytkowników z UE, a drugiej dla wszystkich innych. Strona skierowana na UE nie zbiera żadnych informacji poza adresem IP użytkownika, aby móc go przekierować na odpowiednią stronę — ale USA Today musi nadal powiadomić użytkowników, że firma zbiera te informacje.
6. Istnieją surowsze wymogi dotyczące bezpieczeństwa danych na mocy RODO.
W porównaniu do poprzedniego unijnego prawa dotyczącego prywatności danych osobowych (dyrektywa Data
Protection Directive, wdrożona w 1998 roku), RODO nakłada bardziej szczegółowe obowiązki na administratorów i procesorów danych w zakresie bezpieczeństwa.
Jeśli zajmujesz się danymi osobowymi osób, musisz dokładnie przemyśleć, aby zagwarantować, że informacje są w pełni
chronione. Istnieje wiele rozwiązań w zależności od zbieranych danych, dostępnych technologii i budżetu. Niektóre
środki bezpieczeństwa sugerowane przez RODO obejmują szyfrowanie danych, zapewnienie systemom i usługom
poufności, umożliwienie przywrócenia dostępu do danych osobowych oraz utrzymanie procesu oceny bezpieczeństwa
systemu.
To tylko niektóre ze strategii, które organizacje mogą wykorzystać, aby wykazać, że stosują się do RODO. Możesz już wziąć je pod uwagę lub musisz dodać niektóre komponenty do swojego planu bezpieczeństwa.
W związku z tymi nowymi standardami, możesz martwić się o koszty związane z dostosowaniem się do nich dla Twojej firmy. Bezpieczeństwo nie musi być jednak drogie. Kilku dostawców — w tym DreamHost — dołącza certyfikaty SSL/TLS za darmo, aby szyfrować ruch internetowy do stron klientów.
7. Naruszenia danych muszą być zgłaszane osobom, których dane zostały naruszone.
Kolejnym nowym aspektem prawa do prywatności, jak wymaga tego RODO, jest konieczność powiadamiania użytkowników, gdy doszło do naruszenia danych, które mogło wpłynąć na ich dane osobowe. RODO definiuje naruszenie danych osobowych jako zdarzenie, które prowadzi do „przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do przetwarzanych w inny sposób danych osobowych, transmitowanych, przechowywanych lub przetwarzanych”. Ochrona ta wykracza poza ryzyko oszustwa lub kradzieży tożsamości (które mogłyby wynikać z dostępu do danych finansowych), obejmując nieuprawniony dostęp do wszystkiego, co jest definiowane jako dane umożliwiające identyfikację osoby.
Jeśli dojdzie do naruszenia danych osobowych, które „prawdopodobnie narazi na wysokie ryzyko prawa i wolności osób fizycznych”,
administratorzy danych mają obowiązek szybko powiadomić dotknięte osoby. Istnieje kilka wyjątków od tej zasady,
takich jak gdy zaszyfrowane dane będą niezrozumiałe dla nieuprawnionych użytkowników lub gdy administrator podejmie działania po
naruszeniu w celu zapobiegania ryzyku. Szczegóły tej zasady mogą być przedmiotem interpretacji i dyskusji, ale w przypadku wątpliwości,
RODO przyjmuje silne, kompleksowe stanowisko w kwestii ochrony danych użytkowników.
Jeśli administrator danych ma główną siedzibę w UE, musi również powiadomić organ nadzorczy w państwie członkowskim UE, w którym znajduje się organizacja. Komunikacja ta musi zostać przeprowadzona w ciągu 72 godzin od momentu wykrycia naruszenia.
Hostingowanie strony internetowej Twojej organizacji na bezpiecznym i stabilnym serwerze pomaga zapobiegać naruszeniom danych osobowych. Plany DreamHost zapewniają najwyższej klasy bezpieczeństwo przez certyfikaty Let’s Encrypt SSL/TLS, które bezpiecznie szyfrują dane przesyłane przez stronę DreamHost.
Jeśli wybierasz między
hostingiem współdzielonym a VPS możesz być pewien, że dane osobowe są zabezpieczone. Nasze plany hostingu dedykowanego zapewniają jeszcze większą ochronę danych osobowych.
8. Administratorzy danych muszą zapewnić użytkownikom dostęp do ich danych na żądanie.
Znaczenie tego aspektu RODO jest proste: jeśli użytkownik chce zobaczyć dane, które zebrałeś na jego temat,
musisz je przekazać w rozsądnym czasie. Ścieżka do osiągnięcia tego celu może być jednak nieco bardziej
kręta, w zależności od aktualnych okoliczności.
Aby zrealizować te żądania, potrzebny będzie system umożliwiający klientom składanie wniosków oraz personel, który będzie mógł je spełnić.
Technologia umożliwiająca eksport danych osobowych również będzie niezbędna. W Artykule 15 RODO opisuje kilka innych pokrewnych praw do
informacji, takich jak to, kto ma dostęp do danych i jak długo będą one przechowywane.
9. Użytkownicy w UE mają „prawo do bycia zapomnianym”.
Kolejne postanowienie związane z dostępem do danych to tzw. „prawo do bycia zapomnianym.” W Artykule
17, obywatelom przyznaje się prawo do zażądania usunięcia ich danych z systemu kontrolera. Mogą to zrobić z wielu powodów, w tym z powodu wycofania zgody na przetwarzanie danych.
Prawo brzmi tak, jakby mogły istnieć uzasadnione powody do żądania usunięcia danych osobowych. Jednakże
podaje wytyczne, kiedy organizacja może odmówić takiego żądania. Jeśli przetwarzanie danych jest uznane za niezbędne do
„wykonywania prawa do wolności słowa i informacji”, wypełniania obowiązków prawnych lub ustalania roszczeń prawnych,
lub służenia interesowi publicznemu w określony sposób, organizacja nie musi się zastosować.
10. Brexit nie wyklucza Wielkiej Brytanii z RODO — na razie.
RODO nadal obowiązuje firmy w Wielkiej Brytanii, pomimo zbliżającego się wyjścia kraju z UE. Gdy Brexit zostanie formalnie zrealizowany, RODO przestanie regulować brytyjskie bezpieczeństwo danych. Jednakże krajowa Ustawa o Ochronie Danych jest niemal identyczna do RODO — aż do takiego samego daty rozpoczęcia, 25 maja. Jeśli jesteś zgodny z RODO, powinieneś być również objęty prawem Wielkiej Brytanii.
11. Naruszenie warunków RODO wiąże się z wysokimi kosztami.
Nie próbuj unikać lub ignorować RODO — to cię sporo kosztować. Najwyższe kary za nieprzestrzeganie przepisów
wynoszą do 20 milionów euro (ponad 23 miliony dolarów) lub 4 procent globalnych przychodów, w zależności od tego, która wartość jest większa. Taki poziom kary byłby zarezerwowany dla najgorszych przestępców, ale nie warto sprawdzać, jak będą traktowane drobne wykroczenia.
Oprócz zabrania Twoich pieniędzy, unijne organy ochrony danych mogą również odebrać Twojej firmie niektóre uprawnienia do zbierania danych
— a nawet zakazać Ci całkowicie zbierania danych. Po prostu rób to, co należy!
12. Nacisk nowych przepisów leży na legalnym użytkowaniu i uczciwym biznesie.
RODO ma na celu ujednolicenie przepisów dotyczących danych we wszystkich państwach członkowskich UE. Z nowymi przepisami, zasady są jaśniejsze
i pole do gry jest bardziej wyrównane w zakresie sposobu, w jaki przedsiębiorstwa z UE radzą sobie z gromadzeniem i wykorzystywaniem danych osobowych. Jednocześnie
stanowi to obciążenie dla przedsiębiorstw w innych krajach, które muszą być zgodne.
Jednakże nacisk na bezpieczeństwo i przejrzystość może być korzystny dla biznesu na dłuższą metę, a wszystko to ma związek z
postrzeganiem przez klientów. W ostatnich latach nastąpił wzrost liczby naruszeń bezpieczeństwa danych, jak również zwiększona rozgłos wokół
zbierania i wykorzystywania danych osobowych.
W tej erze wymiany danych, RODO ma również na celu zwiększenie zaufania obywateli do firm, zapewniając im
większe ochrony. Przepisy są powszechnie uznawane za sukces dla praw prywatności jednostek. Jednak mimo że
może być bolesne aktualizowanie zawiadomień o prywatności — a możliwe że trzeba będzie zmienić polityki
użycia danych w firmie — RODO ma potencjał, aby dać klientom większą pewność w handlu. Filozofia, w skrócie, polega na tym, że to, co dobre dla klienta, jest dobre dla biznesu.