2018. május 25-től kezdődően az EU adatvédelmi szabályainak legfontosabb frissítései hatályba lépnek, vagyis mindenki, aki ügyfelekkel dolgozik, és arra kéri őket, hogy bizonyos termékek, szolgáltatások vagy tevékenységek ellenében valamilyen személyes információt osszanak meg, azoknak fel kell készülniük az új digitális adatvédelmi előírásokra. Ezek a szabályok hatályba lépnek...
A modern webes közösség rendkívül kiszolgáltatottá vált. Néha úgy tűnik, hogy a Google és a Facebook többet tud rólunk, kedvenc dolgainkról és viselkedésünkről, mint a családunk és barátaink. Minden alkalommal, amikor új alkalmazást telepítünk intelligens eszközökre, felkérést kapunk arra, hogy hozzáférhessenek a tartózkodási helyünkhöz / galériánkhoz / kapcsolatainkhoz, stb.
Amikor bejelentkezünk a közösségi média platformokra, vagy feliratkozunk egy weboldalra, a személyes adatainkat kérik. És mi történik ezen adatokkal, miután rákattintunk a regisztrációs gombra és elfogadjuk az adatvédelmi feltételeket? Egyébként, meddig olvasod el ezeket a végtelen hosszú szövegeket?
Soha nem tudhatod, hogy a személyes adataidat mikor lopják vagy adják el. A digitális feudalizmus megszüntetése és a felhasználók személyes adatainak védelme érdekében az EU az adatvédelemre vonatkozó erősebb szabályokat bocsát ki.
Amit ebben a posztban meg fogunk vitatni, az az általános adatvédelmi rendelet, amely május 25-én lép hatályba.
A GDPR olyan törvények halmaza, amelyeket az Európai Unió fogad el, de hatással van mindenkire, aki az EU-n kívül is van. A rendeletek sorozata a digitális adatok és azok, az online világban való kezelésével foglalkozik. Ha te egy webes fejlesztő , tervező, vagy akár olyan személy vagy, aki internetes sablonok készítésével foglalkozik, akkor helyezd kényelembe magad és olvass tovább. Az alábbi információk csak neked szólnak.
Ez a rendelet meghatározza a természetes személyek védelmére vonatkozó szabályokat a személyes adatok feldolgozása és a személyes adatok szabad mozgására vonatkozó szabályok tekintetében.
Ez a rendelet védi a természetes személyek alapvető jogait és szabadságát, különösen a személyes adatok védelméhez való jogát.
A személyes adatok Unión belüli szabad mozgását a személyes adatok feldolgozása tekintetében nem lehet korlátozni és nem lehet tiltani a természetes személyek védelmével kapcsolatos okokból.
Az EU adatvédelme és a személyes adatok vizsgálata két fő részből áll:
Az ePD kiadásának késedelme jól jöhet azoknak a fejlesztőknek, akik fel szeretnének készülni az ePD közelgő változásaira, ha eljön az ideje.
Bár uniós szabályozásról beszélünk, nem kell feltétlenül az Európai Unióban tartózkodnod ahhoz, hogy megfelelő változtatásokat hozz az ügyfeleid digitális adatvédelemével kapcsolatban.
- Ez a rendelet a személyes adatoknak az Unióban működő adatkezelő vagy feldolgozó létesítmény tevékenységével összefüggésben történő feldolgozására vonatkozik, tekintet nélkül arra, hogy a feldolgozás az Unióban történik-e vagy sem.
- Ez a rendelet azon érintettek személyes adatainak feldolgozására vonatkozik, akik az Unióban székhellyel nem rendelkező kezelő vagy feldolgozó által az Unióban találhatóak, ahol a feldolgozási tevékenységek a következőkhöz kapcsolódnak:
- áruk vagy szolgáltatások nyújtása, függetlenül attól, hogy az adatalanynak kell-e fizetnie az ilyen érintettek számára az Unióban; vagy
- viselkedésük nyomon követése, amíg ez az Unión belül történik.
- Ez a rendelet a személyes adatoknak az Unióban nem letelepedett adatkezelő általi feldolgozására vonatkozik, de olyan helyen, ahol a nemzetközi jog értelmében a tagállamok joga alkalmazandó.
Ez azt jelenti, hogy ha üzleti tevékenységet folytatsz Európában vagy egyszerűen az európai felhasználókról gyűjtesz adatokat, akkor a megújult jogszabályoknak megfelelően meg kell őrizned személyes adataikat. A szabályok minden vállalkozásra vonatkoznak, tekintet nélkül méretükre, helyükre és pénzügyi forgalmukra. Ha egy vállalkozás nem hajlandó elfogadni a változásokat, akkor nem szabad az EU ügyfeleivel dolgoznia.
Az európai "személyes adatok" kifejezés különbözik az Egyesült Államokban alkalmazott, "személyiségazonosító információk" kifejezéstől. Itt van az oka, miért.
Az európai szabályozás szerint a személyes adatok alatt az azonosított vagy azonosítható természetes személyre vonatkozó adatokat értjük. Ez lehet szó szerint minden - egy darab adat vagy több adatpont, amelyek együttesen hoznak létre profilt egy személyről. Az EU-ban a személyes adatok az érzékeny személyes adatok "al-kategóriáját" is tartalmazzák, amely a következőket jelenti:
Az érzékeny személyes adatokat jobban kell védeni, mint az általános személyes adatokat. Az érzékeny személyes adatok kiszivárgása komolyabb következményekkel jár.
A GDPR kiterjeszti a "személyes adatok" fogalmát, amely magában foglalja:
Az online azonosítók olyan kifejezéseket tartalmaznak, mint például az IP-címek, a cookie-k, a felhasználói fiók azonosítói, a mobileszközök azonosítója és a rendszer által generált egyéb formák, amelyek különösen fontosak a webes tervezők és a fejlesztők számára.
Az amerikai "személyazonosításra alkalmas információ" az EU GDPR-jéhez képest korlátozottabb jellemzőket tartalmaz.
Ez utóbbival ellentétben a személyazonosításra alkalmas információ nem veszi figyelembe a személyes adatokat kontextusként, ami növeli az adatszivárgás kockázatát.
Amikor valaki rendelkezik személyes adatokkal, az EU GDPR két fő oldalt határoz meg - adatkezelők és adatfeldolgozók.
Mint webdesigner vagy webfejlesztő, mindkét szerepet betöltheted.
Feldolgozóként nem kezdeményezhet másik feldolgozást a kezelő előzetes írásos engedélye nélkül. Az adatkezelő és az adatfeldolgozó közötti kapcsolatokat írásos megállapodás szabályozza, amely szerint az adatfeldolgozónak:
- a személyes adatokat csak az adatkezelő dokumentált utasításai alapján kezeli, beleértve a személyes adatok harmadik országba vagy nemzetközi szervezetre történő átruházását is, hacsak ezt az uniós vagy tagállami jogszabályok nem írják elő, amelyek a feldolgozóra vonatkoznak;
- biztosítja, hogy a személyes adatok feldolgozására felhatalmazott személyek titoktartásra legyenek kötelezve, vagy megfelelő törvényes titoktartási kötelezettséget viseljenek;
- figyelembe véve az adatfeldolgozás jellegét, segíti az adatkezelőt megfelelő technikai és szervezési intézkedésekkel, amennyiben ez lehetséges, az adatkezelőnek az adatalany jogainak gyakorlására irányuló kérelmek megválaszolására vonatkozó kötelezettségének teljesítését;
- az adatkezelő választása alapján a feldolgozáshoz kapcsolódó szolgáltatások végzésének befejezése után törli vagy visszaadja az összes személyes adatot, és törli a meglévő másolatokat, kivéve, ha az uniós vagy tagállami jogszabályok a személyes adatok tárolását igénylik;
- az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségeknek való megfelelés igazolásához szükséges, és lehetővé teszi és hozzájárul a kezelő vagy a kezelő által megbízott másik számvevő által végzett ellenőrzésekhez.
Mindezek mellett a logikus kérdés az, hogy miként kell a webtervezőknek és a fejlesztőknek az ügyfelekkel együtt dolgozniuk május 25-e után?
Az EU GDPR-je befolyásolja a te online munkádat. Ez magában foglalja mind az üzleti tervezést, mind pedig a legfontosabb üzleti folyamatokat. Pontosabban, érinti az UX, a marketing, a projektmenedzsment fogalmakat és magát a webfejlesztést.
Amikor elkezdesz dolgozni a GDPR-nek, az első és az alapvető dokumentum, amelyről gondoskodnod kell, az az adatvédelmi hatásvizsgálat, vagyis egy írásos dokumentum, amelyet mindenki számára hozzáférhetővé kell tenni a projektben. Ez a hely, ahol meghatározod a vitát, az ellenőrzést, és meghatározod az adatvédelemben rejlő adatvédelmi kockázatokat.
Amikor a GDPR-rel dolgozol, akkor írásbeli dokumentációval kell rendelkezned, ahol az ügyfelek és a webes tervezők megtalálhatják azokat a szabályokat, feltételeket és követelményeket, amelyek szerint kell magatartást gyakorolniuk.
A PIA-nak (Adatvédelmi hatásvizsgálat, azaz Privacy Impact Assesment) ezt világossá kell tennie:
A GDPR-rel való munka nem csak a kódra és a tervezésre vonatkozik. Azt is sugallja, hogy mindenki, aki részt vesz az adott projektben, tisztában van a szakma jogi hátterével, és ismeri a regionális / helyi / nemzeti adatvédelmi törvényeket.
Egy tökéletes forgatókönyv szerint a vállalatoknak oktatniuk kéne a csapataikat. És dokumentált bizonyítéknak kéne lennie arra vonatkozóan, hogy a webes tervező vagy webfejlesztő átment a megfelelő képzésen.
A tervezési követelmények a GDPR-orientált projektek szerves részét képezik.
Két fókuszpont alapelv van, amelyeket ebben a szakaszban szem előtt kell tartanunk: a névtelenítés és a minimalizálás, mindkét oldalon. Ne csatlakoztass személyes adatokat más készletekkel egyetlen helyen tárolva.
A GDPR szerint meg kell adnod az adatmegőrzési és törlési ütemtervet. Mégis, nem kell mindent törölnöd, miután befejezted a munkát a projekten. Engedélyezheted az adó- és jövedelemellenőrzés beszerzésének megtartását. Ha ilyen adatokra már nincs szükség, győződj meg róla, hogy eltávolítottad az archívumodból és a harmadik féltől származó szolgáltatókról, például a felhőből.
Ezenkívül rejtsd el a személyes adatokat a váratlan felhasználói támadásoktól. Titkosítsd azokat.
Annak érdekében, hogy a GDPR követelményei szerint kódolhass, győződj meg róla, hogy mindenki, aki részt vesz a projektben, meghatározott kódkönyvtárakat, eszközöket és kereteket használ, amelyek mindegyike dokumentált a kódolásra és tesztelésre vonatkozó jóváhagyott szabványok és módszerek listán. A kód létrehozásakor használható eszközök és technikák nincsenek meghatározva a GDPR-ben.
Az a fontos, hogy meg kell határoznod az olyan eszközöket, amelyeket az írásos dokumentumban fogsz használni a munkád során. A lista később módosítható. Csak győződj meg róla, hogy a projekt minden tagja tájékoztatást kap, és a megfelelő változtatásokat dokumentálják.
Magától értetődő, hogy a munkához választott kódolási eszközöknek biztonságosaknak kell lenniük, és biztosítottnak megbízható harmadik fél könyvtárak által.
A GDPR-rel való munka azt jelenti, hogy a digitális projektekhez hozzátartozik az adatvédelem és a tesztelés. A titoktartási teszteknek tudniuk kell megjósolni és előre látni a lehetséges hacker támadásokat, a jogosulatlan adatelérést és az általános biztonsági sebezhetőséget.
Amikor az adatvédelem teszteléséről van szó, nagyon kreatívnak kell lenned. A felhasználói jelszavak elég biztonságosak? A cookie-kban tárolva vannak a bejelentkezési adatok? Lehetséges az adatokhoz való hozzáférés, ha hiba lép fel? Figyelembe vetted a külső figyelmeztetéseket az adatvédelmi tesztelések futtatása közben? És ami a legfontosabb, dokumentáltad? Minden tesztelési erőfeszítésed haszontalan lesz, hacsak nem létezik egy élő dokumentum, amely megerősíti a te lépéseidet.
A GDPR-rel való munkavégzéshez pontosabban meg kell határoznod a személyes adatokhoz való hozzáférésre és a személyes adatok használatára vonatkozó feltételeket. Figyelembe kell venned a lehetséges problémákat, amelyekkel szembesülhetsz, és mindegyik lépésedet egyértelműen dokumentálnod kell.
Légy átláthatóbb az ügyfelek számára. Fordítsd le az adatvédelmi kifejezéseket köznyelvre. Egyébként a "kevesebb több" szabály tökéletesen illeszkedik a projekted szerződési feltételeinek oldalához. Ne pazarolj több órát a felhasználók életéből, hogy megérthessék az üzenetedet. Emeld ki a lényegi elemeket, és tedd azokat könnyen követhetővé. Ez növeli annak lehetőségét, hogy a felhasználók el is fogják olvasni azt, amit írtál, nem pedig egyszerűen lefelé görgetve az "elfogadom" gombra kattintanak.