数据处理和个人责任

塞滕布雷4,2020
|In 对于网络, 安全和隐私, 精选
|By 安德烈亚斯·阿诺·迈克尔·沃格特

焦点四:数据处理和个人责任

如果我们从电子商务网站购买产品,第二天发现信用卡已用完,会发生什么情况? 当我们同意浏览网站或博客时,我们的偏好以及我们的数据是如何管理的? 再说一次:填写联系表后,我们真正将个人信息委托给谁? 我们将在第四期中尝试回答这些问题和其他问题 最后的洞察力 致力于数字时代的信息安全. 是的,因为数据处理与站点管理员(即拥有站点或数字项目的人)的个人责任密切相关。 这种情况一直是支离破碎的,至少在几年前是这样。 划时代的变革在2018年到来,随着 一般数据保护条例,也称为 《通用数据保护条例》(GDPR). 让我们从这一点开始,看看如何以熟练的方式设置数据管理策略。

欧洲 GDPR 及其实际适用范围

不可能从未听说过一般数据保护条例,正式条例 (EU) n。 2016/679。 实施两年以来,GDPR 标志着一个新时代的开始,通过以下方式提高了个人数据处理方面的用户保护水平 网站、博客、电子商务和虚拟空间 一般而言(论坛、登录页面、视频流平台、搜索引擎等)。 用几句话来谈论这个无限且部分模棱两可的立法文书是一项不可能完成的任务,但事实仍然是,我们有责任提供一些有用的指导方针来阐明这样一个庞大而复杂的问题。 先来看看GDPR的亮点然而,让我们试着了解一下它的实际应用范围是什么。

哪些国家/地区受到 GDPR 的影响?

通过处理某些个人数据通过网络向欧盟公民提供服务的组织所在的每个国家/地区都是 GDPR 有权适用的国家/地区。 这是将 GDRP 指定的区域加在一起得出的结论。 由此可以推断,几乎所有与欧盟有关系的公司和专业人士,从瑞士到美利坚合众国和许多其他国家,都必须遵守该规定。 有关这方面的更多信息,我们建议阅读 这份 GDPR 完整指南.

假设 GDPR 在瑞士和欧洲其他国家都具有法律价值,让我们逐点来看 i 要记住的主要方面 正确解释法规并相应地应用它。

  • 每个访问您网站的用户都必须确认他同意处理数据。 同意必须是自由的、具体的、知情的并且可以随时撤销
  • 在未经同意的情况下,假定不会收集数据或将阻止访问该网站
  • 必须将同意书存档并记住,以便任何代理人和国家当局都能随时找到它们
  • 同意登记册必须包含一系列基本信息,例如给予同意的时间
  • 同意不是唯一可能的法律依据,而是 GDPR 提供的 6 项法律依据之一。 然而,在许多情况下,对于许多企业而言,达成共识仍然是最简单的方法

电子隐私指令(Cookie 法)

GDPR 并不是唯一需要遵守的参考资料。 指令 2009/136/EC(也称为电子隐私指令)是正确管理个人数据的第二个基本工具。 具体立法 第三方cookies的使用规则 在您自己的虚拟空间内,或者更确切地说,允许在新用户首次访问时激活 cookie 的要求。 同样,该原则基于最大限度的保护,为用户提供了通过简单的点击拒绝 cookie 访问其数据的完整选项。 正如我们将在最后一段中看到的,管理员和网站管理员必须为用户提供一个系统,通常是一个横幅,以 接受或拒绝 cookie 的访问.

某些 cookie 不受此类同意的约束,但商业展示网站很可能托管至少一个数字令牌或 cookie。 隐私政策必须在特定文件中报告,这也适用于 cookie 政策。 目前正在讨论电子隐私指令或 cookie 法,因为立法者的意图是过渡到与 GDPR 协同运作的电子隐私条例。 然而,十有八九, 不会有重大变化 在这些规定中,这就是为什么现在最好进行调整并为法规的批准做好准备,该法规注定会在几年内正式生效。

加州消费者隐私法 (CCPA)

加州消费者隐私法于 1 年 2020 月 XNUMX 日生效,这是美国目前批准的最结构化的保护形式之一,也是 美国各州的基准指南 在加利福尼亚州以外。 与欧洲的 GDPR 情况一样,CCPA 对美国也有巨大的影响,例如超越自己国家的边界​​。 CCPA 虽然没有那么严格,但也会对您在瑞士或任何其他国家/地区的业务产生真正的影响。 除了向加州公民致辞外,您必须满足的条件还包括:

  • 年总销售额超过 25 万美元;或
  • 至少 50% 的营业额来自个人数据的销售

  • 每年为商业目的购买、接收、出售或共享 50.000 名或更多消费者的个人信息。

难的? 不完全是。 由于 IP 地址是个人数据,因此任何网站都可能 一年内从加州获得 50.000+ 唯一身份访问者在 CCPA 的范围内。 这只是全球化以及最重要的信息技术如何在国家立法之间建立联系和相互依存关系的一个例子。

如何遵守数据指令

根据迄今为止所写的内容,如果不使用合适的工具,适应国家、欧洲和国际指令肯定不是一项容易完成的任务。 它们在近几年得到发展并非巧合 旨在管理义务的整个平台 通过快速、实用和部分自动的方法(不仅限于)遵守 GDPR。 网站管理员,即组织的所有者、网站管理员或跟踪项目的机构,只需在这些平台上注册并填写系统所需的数据(数据所有者、站点的 url 等) . 此时软件和相关插件将向用户显示总结条款和条件的横幅 数据跟踪和 cookie 激活.

相同的平台,至少是最著名的平台,能够生成隐私政策文件、cookie 政策和任何条款和条件,以及您只需根据需要填写和自定义的预格式化文本。 在我们提到的最成功平台的名称中,意大利的 Iubenda、美国的 Quantcast 或丹麦的 Cookiebot 排名不分先后,每个平台都专注于一项或一组法规。 提供的解决方案是免费的 但在这种情况下,它们的功能有限。 因此,在 Innovando,我们建议选择最符合组织数据收集规模和有效方法的计划,从而避免任何犯罪假设。 您不会乱用用户数据,尤其是在不合规的情况下会受到处罚, 它们可能非常非常咸.

我们希望我们已经为您提供了您需要的所有信息。 如果没有,请联系我们,无需承担任何义务 免费和个性化的建议 关于数据保护。