ფოკუსი 4: მონაცემთა დამუშავება და პირადი პასუხისმგებლობა

რა მოხდება, თუ პროდუქტს ვყიდულობთ ელექტრონული კომერციის საიტიდან და მეორე დღეს მივხვდებით, რომ ჩვენი საკრედიტო ბარათი ამოიწურა? როგორ იმართება ჩვენი პრეფერენციები და, შესაბამისად, ჩვენი მონაცემები, როდესაც ვეთანხმებით ვებსაიტის ან ბლოგის დათვალიერებას? და კიდევ: ვის ვენდობით რეალურად პერსონალურ ინფორმაციას საკონტაქტო ფორმის შევსების შემდეგ? ამ და სხვა კითხვებზე პასუხის გაცემას ამ მეოთხე ე ბოლო გააზრება ეძღვნება ინფორმაციის უსაფრთხოებას ციფრულ ეპოქაში. დიახ, რადგან მონაცემთა დამუშავება მიდის საიტის ადმინისტრატორების პირად პასუხისმგებლობებთან, ანუ იმ ადამიანების, რომლებიც ფლობენ საიტს ან ციფრულ პროექტს. სიტუაცია ყოველთვის ფრაგმენტული იყო, სულ მცირე, რამდენიმე წლის წინ. ეპოქალური ცვლილება მოხდა 2018 წელს, მოსვლასთან ერთად მონაცემთა დაცვის ზოგადი რეგულაცია, აგრეთვე ცნობილი, როგორც GDPR. დავიწყოთ სწორედ ამ წერტილიდან და ვნახოთ, როგორ დავაყენოთ მონაცემთა მართვის პოლიტიკა შრომისმოყვარეულად.

ევროპული GDPR და გამოყენების ფაქტობრივი ფარგლები

შეუძლებელია არასოდეს გსმენია მონაცემთა დაცვის ზოგადი რეგულაციის შესახებ, ოფიციალურად რეგულაცია (EU) n. 2016/679 წწ. უკვე ორი წელია ფუნქციონირებს, GDPR აღნიშნავს ახალი ეპოქის დაწყებას, ამაღლებს მომხმარებლის დაცვის დონეს პერსონალური მონაცემების დამუშავებასთან დაკავშირებით. ვებსაიტები, ბლოგები, ელექტრონული კომერცია და ვირტუალური სივრცეები ზოგადად (ფორუმები, სადესანტო გვერდები, ვიდეო ნაკადის პლატფორმები, საძიებო სისტემები და ა.შ.). ამ უსაზღვრო და ნაწილობრივ ორაზროვან საკანონმდებლო ინსტრუმენტზე რამდენიმე სტრიქონით საუბარი შეუძლებელი მისიაა, ფაქტი ფაქტად რჩება, რომ ჩვენი მოვალეობაა მივაწოდოთ რამდენიმე სასარგებლო მითითება, რათა ნათელი მოჰფინოს ასეთ ვრცელ და რთულ საკითხს. ჯერ მოდით გადავხედოთ GDPR-ის მაჩვენებლებსთუმცა, მოდით შევეცადოთ გავიგოთ, რა არის მისი გამოყენების რეალური ფარგლები.

რომელ ქვეყნებს ეხება GDPR?

ყველა ქვეყანა, სადაც ორგანიზაცია, რომელიც მიმართავს ევროკავშირის მოქალაქეებს ინტერნეტის საშუალებით და ამუშავებს გარკვეულ პერსონალურ მონაცემებს, მოქმედებს, არის ქვეყანა, სადაც GDPR-ს აქვს უფლება მიმართოს. ეს არის დასკვნა მიღწეულია GDRP-ით განსაზღვრული ტერიტორიების გაერთიანებით. აქედან შეიძლება დავასკვნათ, რომ რეგულაციას უნდა დაემორჩილოს პრაქტიკულად ყველა კომპანია და პროფესიონალი, რომლებსაც აქვთ ურთიერთობა ევროკავშირთან, შვეიცარიიდან დაწყებული ამერიკის შეერთებული შტატებით და მრავალი სხვა. ამის შესახებ მეტი ინფორმაციისთვის გირჩევთ წაიკითხოთ ეს სრული სახელმძღვანელო GDPR-ისთვის.

თუ დავუშვებთ, რომ GDPR-ს აქვს იურიდიული მნიშვნელობა შვეიცარიაში, ისევე როგორც დანარჩენ ევროპაში, მოდით ვნახოთ წერტილი-პუნქტ i მთავარი ასპექტები, რომლებიც უნდა გვახსოვდეს რეგულაციის სწორად ინტერპრეტაცია და მისი შესაბამისად გამოყენება.

• თითოეულმა მომხმარებელმა, რომელიც სტუმრობს თქვენს საიტს, უნდა დაადასტუროს თანხმობა მონაცემთა დამუშავებაზე. თანხმობა უნდა იყოს თავისუფალი, კონკრეტული, ინფორმირებული და გაუქმებადი ნებისმიერ დროს
• თანხმობის არარსებობის შემთხვევაში, ვარაუდობენ, რომ მონაცემები არ იქნება შეგროვებული ან საიტზე ვიზიტის შეზღუდვა
• თანხმობა უნდა იყოს დაარქივებული და დამახსოვრება, რათა მათ ყოველთვის მოიძიონ ნებისმიერი აგენტი და სახელმწიფო ორგანო
• თანხმობის რეესტრი უნდა შეიცავდეს არსებითი ინფორმაციის სერიას, როგორიცაა თანხმობის მიცემის მომენტი
• თანხმობა არ არის ერთადერთი შესაძლო სამართლებრივი საფუძველი, არამედ GDPR-ით გათვალისწინებული 6-დან ერთ-ერთი. თუმცა, ბევრ სიტუაციაში და მრავალი ბიზნესისთვის, კონსენსუსი რჩება უმარტივეს გზად

ელექტრონული კონფიდენციალურობის დირექტივა (ქუქიების კანონი)

GDPR არ არის ერთადერთი მითითება, რომელიც უნდა დაიცვან. დირექტივა 2009/136/EC (ასევე ცნობილი როგორც ელექტრონული კონფიდენციალურობის დირექტივა) არის მეორე ფუნდამენტური ინსტრუმენტი პერსონალური მონაცემების სწორი მართვისთვის. კონკრეტული კანონმდებლობა მესამე მხარის ქუქიების გამოყენების წესები თქვენს საკუთარ ვირტუალურ სივრცეში, უფრო სწორად, მოთხოვნები, რომლებიც საშუალებას იძლევა გააქტიურდეს ქუქი ფაილები ახალი მომხმარებლის პირველი ვიზიტისას. ისევ და ისევ, პრინციპი ემყარება მაქსიმალურ დაცვას, რაც მომხმარებელს სთავაზობს სრულ ვარიანტს, უარი თქვას ქუქიების მონაცემებზე წვდომაზე მარტივი დაწკაპუნებით. როგორც ბოლო აბზაცში დავინახავთ, ვებსაიტის ადმინისტრატორმა და შესაბამისად მენეჯერმა მომხმარებელს უნდა მიაწოდოს სისტემა, როგორც წესი, ბანერი, რომ მიიღეთ ან უარყოთ ქუქი-ფაილების წვდომა.

ზოგიერთი ქუქი-ფაილი გათავისუფლებულია ამ ტიპის თანხმობისგან, მაგრამ ძალიან სავარაუდოა, რომ ბიზნეს გამოფენის საიტზე მასპინძლობს მინიმუმ ერთი ციფრული ჟეტონი ან ქუქი. კონფიდენციალურობის პოლიტიკა უნდა იყოს მოხსენებული კონკრეტულ დოკუმენტში და ეს ასევე ეხება ქუქიების პოლიტიკას. ამ დროისთვის ელექტრონული კონფიდენციალურობის დირექტივა, ან ქუქიების კანონი, განხილვის პროცესშია, რადგან კანონმდებლების განზრახვები მიზნად ისახავს გადასვლას რა იქნება ელექტრონული კონფიდენციალურობის რეგულაციაზე, რომელიც მოქმედებს GDPR-თან შეთანხმებით. თუმცა დიდი ალბათობით, მნიშვნელოვანი ცვლილებები არ იქნება დებულებებში, რის გამოც კარგია ახლავე ადაპტირება და მომზადებული ჩამოსვლა იმ რეგულაციის დასამტკიცებლად, რომელიც განზრახული იქნება რამდენიმე წელიწადში ოფიციალური გახდეს.

კალიფორნიის მომხმარებელთა კონფიდენციალურობის აქტი (CCPA)

კალიფორნიის მომხმარებელთა კონფიდენციალურობის აქტი ძალაში შევიდა 1 წლის 2020 ივლისს, დაცვის ერთ-ერთი ყველაზე სტრუქტურირებული ფორმა, რომელიც ამჟამად დამტკიცებულია შეერთებულ შტატებში, ისევე როგორც საბაზისო გაიდლაინი აშშ-ს თითოეული შტატისთვის კალიფორნიის გარეთ. როგორც ევროპის GDPR-ის შემთხვევაში, CCPA-ს ასევე აქვს უზარმაზარი შედეგები აშშ-სთვის, როგორიცაა საკუთარი ქვეყნის საზღვრებს გარეთ გასვლა. მიუხედავად იმისა, რომ არც ისე შემზღუდველია, CCPA-ს ასევე შეუძლია რეალური გავლენა მოახდინოს თქვენს ბიზნესზე, რომელიც დაფუძნებულია შვეიცარიაში ან ნებისმიერ სხვა ქვეყანაში. პირობები, რომლებიც უნდა აკმაყოფილებდეთ, გარდა კალიფორნიის მოქალაქეების მიმართვისა, მოიცავს:

• აქვთ წლიური მთლიანი გაყიდვები 25 მილიონ დოლარზე მეტი; ან
• მისი ბრუნვის მინიმუმ 50% პერსონალური მონაცემების გაყიდვაზე მოდის

ან

• იყიდეთ, მიიღეთ, გაყიდეთ ან გააზიარეთ 50.000 ან მეტი მომხმარებლის პირადი ინფორმაცია ყოველწლიურად კომერციული მიზნებისთვის.

რთული? ზუსტად არა. ვინაიდან IP მისამართები პერსონალური მონაცემებია, სავარაუდოა, რომ ნებისმიერი ვებსაიტი წელიწადში მიიღეთ კალიფორნიიდან 50.000+ უნიკალური ვიზიტორები არიან CCPA-ს ფარგლებში. ეს მხოლოდ ერთი მაგალითია იმისა, თუ როგორ გლობალიზაციამ, ასევე და უპირველეს ყოვლისა ინფორმაციულმა ტექნოლოგიამ, შექმნა კავშირები და ურთიერთდამოკიდებულება ეროვნულ კანონმდებლობას შორის.

როგორ შევასრულოთ მონაცემთა დირექტივები

აქამდე დაწერილის ფონზე, ეროვნულ, ევროპულ და საერთაშორისო დირექტივებთან ადაპტაცია, რა თქმა უნდა, არ არის ხელმისაწვდომი ამოცანა შესაბამისი ინსტრუმენტების გამოყენების გარეშე. შემთხვევითი არ არის, რომ ისინი განვითარდა ბოლო წლებში მთელი პლატფორმები, რომლებიც შექმნილია ვალდებულებების მართვისთვის GDPR-ის (და არა მხოლოდ) სწრაფი, პრაქტიკული და ნაწილობრივ ავტომატური მიდგომით. ვებსაიტის ადმინისტრატორს, ანუ ორგანიზაციის მფლობელს, ვებ მასტერს ან სააგენტოს, რომელიც მიყვება პროექტს, უბრალოდ უნდა დარეგისტრირდეს ამ პლატფორმებზე და შეავსოს სისტემის მიერ მოთხოვნილი მონაცემები (მონაცემთა მფლობელი, საიტის url და ა.შ.). ამ ეტაპზე პროგრამული უზრუნველყოფა და მასთან დაკავშირებული დანამატი აჩვენებს მომხმარებლებს ბანერს, რომელიც აჯამებს პირობებს მონაცემთა თვალყურის დევნება და ქუქიების გააქტიურება.

იგივე პლატფორმებს, ყოველ შემთხვევაში, ყველაზე ცნობილს, შეუძლიათ შექმნან კონფიდენციალურობის პოლიტიკის დოკუმენტები, ქუქი-ფაილების პოლიტიკა და ნებისმიერი პირობები და პირობები, წინასწარ ფორმატირებული ტექსტით, რომელიც თქვენ უბრალოდ უნდა შეავსოთ და დააკონფიგურიროთ საჭიროებისამებრ. ყველაზე წარმატებული პლატფორმების სახელებს შორის განსაკუთრებული თანმიმდევრობით აღვნიშნავთ იტალიურ იუბენდას, ამერიკულ Quantcast-ს ან დანიურ Cookiebot-ს, რომელთაგან თითოეული სპეციალიზირებულია რეგულირებაში ან რეგულაციებში. მოწოდებული გადაწყვეტილებები უფასოა მაგრამ ამ შემთხვევაში მათ აქვთ შეზღუდული ფუნქციონირება. ამიტომ ჩვენ Innovando-ში გირჩევთ აირჩიოთ გეგმა, რომელიც საუკეთესოდ შეესაბამება ორგანიზაციის მონაცემთა შეგროვების ზომას და ეფექტურ მეთოდებს, რითაც თავიდან აიცილებთ დანაშაულის ჰიპოთეზას. თქვენ არ ერევით მომხმარებლის მონაცემებს, მით უმეტეს, რომ ჯარიმები, შეუსრულებლობის შემთხვევაში, ისინი შეიძლება იყოს ძალიან, ძალიან მარილიანი.

ვიმედოვნებთ, რომ მოგაწოდეთ თქვენთვის საჭირო ყველა ინფორმაცია. თუ არა, გთხოვთ დაგვიკავშირდეთ ვალდებულების გარეშე ა უფასო და პერსონალიზებული რჩევა მონაცემთა დაცვაზე.