მონაცემთა დაცვის ზოგადი რეგულაციის მოსვლა

GDPR რა არის და რას ნიშნავს პერსონალური მონაცემების დაცვა ვებსაიტებისა და ელექტრონული კომერციის საიტებისთვის

მონაცემთა დაცვის ზოგადი დებულების მიზნები

ევროკავშირის მიერ მიღებული ამ კანონმდებლობის სარგებლიანობის უკეთ გასაგებად, აუცილებელია ჩამოვთვალოთ GDPR-ის მიზნები. ამ ახალი რეგულაციებით, მომხმარებლებმა, პირველ რიგში, უფრო მეტად უნდა იცოდნენ თავიანთი პერსონალური მონაცემების ბედი და პირველ რიგში უნდა მიაწოდონ მკაფიო თანხმობა. შემდეგ იგივე მონაცემები უნდა იქნას გამოყენებული უკიდურესი თავდაჯერებულობით, მკაცრი წესების დაწესება, რათა მათ დამუშავდეს ევროპული გაერთიანების ფარგლებს გარეთ, და საბოლოოდ უნდა დაწესდეს მკაცრი ჯარიმები მათთვის, ვინც დაარღვევს მონაცემთა დაცვის ზოგადი რეგულაციის დებულებებს. ეს არის ის პუნქტები, რომლებზეც დაფუძნებულია ეს ახალი კონფიდენციალურობის რეგულაცია, მაგრამ მისი გამოქვეყნებიდან მალევე, მონაცემთა დაცვის ზოგადი რეგულაცია უკვე წარმოაჩენს გარკვეულ ხარვეზებს.

წევრი ქვეყნების „თანაფარდობა“ და იტალიური ჭაობი

მონაცემთა დაცვის გენერალურმა რეგულაციამ თავი წარმოაჩინა, როგორც წესების სისტემა, რომელიც გარანტირებულია მნიშვნელოვანი დარბევის შესახებ კონფიდენციალურობის სახელით. თუმცა, კანონმდებლობის დროს ევროკავშირმა წევრ ქვეყნებს დატოვა შესაძლებლობა, შეეძლებათ ამ ახალ დოკუმენტში მოცემული რეგულაციების „ინტერპრეტაცია“. ეს ნიშნავს, რომ ბევრგან დაპირებული სიმკაცრე გაქრა მის დაწყებამდე და, მაგალითად, ფრანგმა და ესპანელმა მომხმარებლებმა შეიძლება დაინახონ, რომ მათი პირადი მონაცემები განსხვავებულად ეპყრობიან, ვიდრე პორტუგალიელი ან გერმანელი მომხმარებლები. იტალიის შემთხვევა კიდევ უფრო გამორჩეულია: დღემდე ჩვენს მთავრობას არ გამოუქვეყნებია საკანონმდებლო დადგენილება მონაცემთა დაცვის ზოგად რეგულაციასთან დაკავშირებით, ამიტომ ევროპული რეგულაცია კვლავ მოქმედებს ჩვენს ქვეყანაში. ამას თავისთავად შეიძლება ჰქონდეს დადებითი ასპექტებიც, რომ არა ის, რომ საკანონმდებლო დადგენილების არარსებობის შემთხვევაში არ შეიძლებოდა სისხლის სამართლის პასუხისგებაში მიცემა და დასჯა მათთვის, ვინც არღვევს ამ ახალი დოკუმენტის კონფიდენციალურობის შესახებ დებულებებს.

რა იგულისხმება "პერსონალურ მონაცემებში"?

ტერმინი „პერსონალური მონაცემები“ გამოიყენება (და ბოროტად გამოიყენება) ყოველდღიური ცხოვრების სხვადასხვა სფეროში, მაგრამ ეს არის შეცდომაში შემყვანი კონცეფცია ყველა არაექსპერტისთვის. ამავდროულად, იმის გათვალისწინებით, რომ ჩვენ ვსაუბრობთ კონფიდენციალურობის დარღვევისგან სენსიტიურ მონაცემებზე და წესებზე, აუცილებელია გვქონდეს მკაფიო წარმოდგენა „პერსონალურ მონაცემებზე“. ყველა ეს ინფორმაცია საშუალებას აძლევს ადამიანს ცალსახად ამოიცნოს სხვებისგან არის ეგრეთ წოდებული „პერსონალური მონაცემები“: შესაბამისად, სახელი, გვარი, საგადასახადო კოდი, დაბადების თარიღი, მისამართი, ტელეფონის ნომერი და სხვა. თუმცა, როდესაც ვსაუბრობთ კონფიდენციალურობაზე ვებ პორტალებზე, არსებობს სხვა ელემენტები, რომლებიც ცალსახად იდენტიფიცირებენ სუბიექტს, მაშინაც კი, თუ ისინი უფრო მიეკუთვნება მოწყობილობებს, რომლებსაც იგივე იყენებს: IP მისამართები, ელფოსტის მისამართები, ქუქიები და ა.შ. ასევე განიხილება პერსონალური მონაცემები.

ამ განმარტების ფონზე ჩნდება კითხვა: მაგრამ როდის გადაწყვეტენ მომხმარებლები თავიანთი სენსიტიური მონაცემების ვებსაიტს მიანდონ? უმეტეს შემთხვევაში, ეს ოპერაცია ხდება პორტალზე რეგისტრაციის ფაზაში, იქნება ეს მიმართული რეზერვირებული ტერიტორიის შექმნაზე ან თუნდაც მხოლოდ საინფორმაციო ბიულეტენის გამოწერისთვის. კონკრეტულად, მაშინ ბევრი ელექტრონული კომერციის საიტები მათ ასევე აქვთ წვდომა სხვა ტიპის მონაცემებზე, რომლებიც შეიძლება განისაზღვროს, როგორც „სენსიტიური“: უპირველეს ყოვლისა, ფინანსური ხასიათის (საბანკო კოდები, IBAN და საგადასახადო დომიცილაცია), რომლებიც, ცხადია, აუცილებელია ონლაინ ტრანზაქციების განხორციელებისთვის. ნაკლებად განხილული, მაგრამ მაინც პერსონალური მონაცემების კატეგორიას მიეკუთვნება მოხმარების ჩვევები: რომელ სოციალურ ქსელს იყენებთ? რომელია თქვენი საყვარელი სასმელი? რა არის ბოლო საქონელი, რომელიც იყიდეთ ონლაინ? ეს ერთი შეხედვით ტრივიალური კითხვები აყალიბებს მომხმარებლის პროფილს, ასე რომ მომხმარებელს სთავაზობენ მხოლოდ საქონელსა და მომსახურებას, რომელსაც ნამდვილად შეუძლია მისი ცნობისმოყვარეობა. ამ მონაცემების კომერციული მიზნებისთვის გამოყენება ასევე მკაფიოდ უნდა იყოს ახსნილი მომხმარებლისთვის, ყოველთვის მონაცემთა დაცვის ზოგადი რეგულაციის დებულებების შესაბამისად.

რა უნდა გააკეთოს მონაცემთა დაცვის ახალ გენერალურ რეგულაციასთან

გააღრმავეთ თეორიული ასპექტები უკან პერსონალური მონაცემების დაცვა ეს აუცილებელია, მაგრამ ყველას, ვინც მართავს ვებ პორტალებს და ელექტრონული კომერციის საიტებს, ძირითადად სურს გაიგოს, რა არის ახალი ოპერაციები გასაკეთებელი ამ ახალი კონფიდენციალურობის კანონმდებლობის მიმართ.

საკონტაქტო ფორმები შერწყმულია კონფიდენციალურობის პოლიტიკასთან

როგორც ადრე დავწერეთ, მომხმარებლებმა უნდა იცოდნენ, რომ მათი პერსონალური მონაცემების შეგროვება და დამუშავება შესაძლებელია გარკვეული მიზნებისთვის. და ამიტომ აუცილებელია, რომ მომხმარებელმა ელექტრონული კომერციის საიტებზე რეგისტრაციისას ან ინტერნეტ პორტალზე ვიზიტისას ცალსახად გამოიყენოს თავისი თანხმობა. სწორედ ამ მიზეზით, მონაცემთა დაცვის ზოგადი რეგულაცია ავალდებულებს ყველას ვებსაიტები რომ გქონდეს ერთი კონფიდენციალურობის წესები, ან დოკუმენტაცია, რომელშიც მომხმარებლები განმარტავენ, თუ რა ტიპის მონაცემები გროვდება, ვინ არის სუბიექტი, ვინ აგროვებს მათ და რატომ აკეთებს ამას, მაგრამ უპირველეს ყოვლისა უნდა განმარტოს, გადაეცემა თუ არა ისინი მესამე პირებს და რამდენ ხანს ინახება ისინი პორტალის მონაცემთა ბაზაში. იმის გათვალისწინებით, რომ ასეთი დოკუმენტი ყველაზე ხშირად განსაკუთრებით გრძელი და მოსაწყენია და ვებ-მომხმარებლები (მიუხედავად მათი პირადი უსაფრთხოების) ერიდებიან ინტერნეტ საიტებს, სადაც გრძელი ტექსტებია წასაკითხი, დადგინდა, რომ კონფიდენციალურობის პოლიტიკა უნდა გაერთიანდეს იმ ფორმებთან, რომლებშიც მომხმარებელი ფიზიკურად შეაქვს მის პერსონალურ მონაცემებს. სწორედ ამ მიზეზით, როდესაც, მაგალითად, იწერება ვებსაიტის საინფორმაციო ბიულეტენი, გარდა სახელის, გვარისა და ელექტრონული ფოსტის მისამართის შეყვანისა, მომხმარებელმა უნდა „მონიშნოს“ ველი, რომელიც ეხება პერსონალური მონაცემების დამუშავების ავტორიზაციას.

მონაცემთა აღრიცხვა და Google Analytics

ეს ახალი კანონმდებლობა, სხვა საკითხებთან ერთად, გარდა იმისა, რომ არეგულირებს პერსონალური მონაცემების დაცვას, ასევე ავალდებულებს ელექტრონული კომერციის საიტების და ვებ პორტალების მენეჯერებს დარეგისტრირდნენ და შეინახონ მომხმარებლის მგრძნობიარე მითითებები. არა მხოლოდ ეს, თარიღიც კი, როდესაც მომხმარებელმა თანხმობა განაცხადა მისი პერსონალური მონაცემების დამუშავებაზე, უნდა იყოს ადვილად გადამოწმებული. აქედან გამომდინარე, საჭიროა ვებსაიტებს ჰქონდეთ რეალური მონაცემთა ბაზა ნებისმიერ დროს, რომელიც უნდა იყოს შერწყმული მონაცემთა აღრიცხვის ინსტრუმენტთან. ეს უკანასკნელი არის პროგრამული უზრუნველყოფა, რომელიც აფიქსირებს იმ მოწყობილობის IP მისამართს, რომლითაც მომხმარებელი წვდება პორტალს და ამ გზით შესაძლებელია ნებისმიერ დროს გადაამოწმოს მიცემული თანხმობის წარმოშობა, თარიღი და დრო.

მაგალითად, ყველა იმ პორტალმა, რომლებშიც მომხმარებლებს აქვთ საკუთარი „რეზერვირებული ზონა“, უნდა მიმართონ მონაცემთა აღრიცხვის ინსტრუმენტებს, სადაც მათ შეუძლიათ არა მხოლოდ შეამოწმონ თავიანთი სენსიტიური მონაცემები ნებისმიერ დროს, არამედ საჭიროების შემთხვევაში შეცვალონ და/ან წაშალონ ისინი. მსოფლიოში მონაცემთა აღრიცხვის ერთ-ერთი ყველაზე ცნობილი ინსტრუმენტია Google Analytics, პროგრამული უზრუნველყოფა Mountain View კომპანიის ამავე სახელწოდებისგან, რომელსაც მომხმარებლები იყენებენ თავიანთი ვებსაიტის მუშაობის შესამოწმებლად. Google Analytics აღრიცხავს თითოეული მომხმარებლის IP მისამართს, მონახულებულ გვერდებს, დახარჯულ დროს და ბევრ სხვა მონაცემს. ვებსაიტების მენეჯერებმა, რომლებიც იყენებენ ამ პროგრამულ უზრუნველყოფას, ყოველთვის მონაცემთა დაცვის ზოგადი რეგულაციის დებულებების შესაბამისად, მკაფიოდ უნდა გამოიყენონ ისეთი პროგრამები, როგორიცაა Google Analytics თავიანთ პორტალში.

აქ მოდის მონაცემთა დაცვის ოფიცერი

ახალი წესები პერსონალური მონაცემების უსაფრთხოება უზრუნველყოს კონკრეტული პროფესიონალი ფიგურა, რომელმაც უნდა აიღოს პასუხისმგებლობა იმის მართვასა და დაცვაზე, რასაც მომხმარებლები ანდობენ ვებ პორტალებს. ეს მაჩვენებელი ცნობილია მონაცემთა დაცვის ოფიცრის ან მონაცემთა დაცვის ოფიცერი (შემოკლებით DPO). მონაცემთა დაცვის მენეჯერს, უპირველეს ყოვლისა, უნდა ჰქონდეს ღრმა ცოდნა არა მხოლოდ მონაცემთა დაცვის ზოგადი რეგულაციის, არამედ კონფიდენციალურობის შესახებ მოქმედი ყველა სხვა რეგულაციის შესახებ, იქნება ეს წარსული, აწმყო თუ მომავალი. შემდეგ ის უნდა იყოს აბსოლუტურად დამოუკიდებელი ფიგურა ვებსაიტის მფლობელობაში, რომელიც არ იღებს შეკვეთებს არავისგან და რომელიც უშუალოდ უნდა ისაუბროს კომპანიის ორგანიზაციული სქემის უმაღლეს მენეჯმენტთან. ამავდროულად, საბოლოოდ, მას უნდა შეეძლოს გამოიყენოს ფინანსური და ადამიანური რესურსები, რომლებიც საშუალებას მისცემს მას მაქსიმალურად განახორციელოს ის, რაც პერსონალური მონაცემების უსაფრთხოების ახალი რეგულაციებით არის დადგენილი. სინამდვილეში, თუნდაც ფიგურის უკან DPO რამდენიმე ხარვეზი და ასპექტია გასარკვევი. ერთი უპირველეს ყოვლისა ეხება მონაცემთა დაცვის ოფიცრის უნარებს: რეალურად ამ ფიგურას არა მხოლოდ უნდა ჰქონდეს სწორი უნარ-ჩვევები კონფიდენციალურობის რეგულაციებთან დაკავშირებით, არამედ კომპეტენტური უნდა იყოს ვებ პორტალით გაშუქებულ საკითხებში, განსაკუთრებით, თუ ისინი გარკვეული მნიშვნელობისაა (იფიქრეთ პორტალებზე, რომლებიც ეხება სამედიცინო-სამეცნიერო თემებს). ცხადია, რომ ყველა ამ უნარის პოვნა ერთ ფიგურაში ყველაზე ხშირად რთულია, თუ არა შეუძლებელი.

რა არის მონაცემთა დაცვის ზოგადი რეგულაციის დარღვევის რისკი?

როგორც ზემოთ უკვე აღვნიშნეთ, კონფიდენციალურობის ამ ახალ კანონმდებლობასთან დაკავშირებული სანქციების ჩარჩო ჯერ კიდევ არასრულია, განსაკუთრებით აქ, იტალიაში, სადაც კონკრეტული საკანონმდებლო დადგენილების არარსებობა დამნაშავეებს, ყოველ შემთხვევაში, ქაღალდზე, პასუხისმგებლობას არ ექვემდებარება დევნას. თუმცა, გვსურს მოკლედ მოგაწოდოთ ჯარიმები, რომლებიც დაკისრებულია მათ მიერ, ვინც პირველ რიგში არ აყენებს მომხმარებელთა პერსონალური მონაცემების უსაფრთხოებას, ჩვენ შეგვიძლია დავყოთ ისინი ორ მაკრო სფეროდ: