Közlemény: Az EU GDPR elhozza a digitális feudalizmus korszakának végét

Hírek
19 március 2018 Ingrid Almási
Share Tweet Share Pin
A teljes digitális világ a nagy változások küszöbén áll.

2018. május 25-től kezdődően az EU adatvédelmi szabályainak legfontosabb frissítései hatályba lépnek, vagyis mindenki, aki ügyfelekkel dolgozik, és arra kéri őket, hogy bizonyos termékek, szolgáltatások vagy tevékenységek ellenében valamilyen személyes információt osszanak meg, azoknak fel kell készülniük az új digitális adatvédelmi előírásokra. Ezek a szabályok hatályba lépnek...

A modern webes közösség rendkívül kiszolgáltatottá vált. Néha úgy tűnik, hogy a Google és a Facebook többet tud rólunk, kedvenc dolgainkról és viselkedésünkről, mint a családunk és barátaink. Minden alkalommal, amikor új alkalmazást telepítünk intelligens eszközökre, felkérést kapunk arra, hogy hozzáférhessenek a tartózkodási helyünkhöz / galériánkhoz / kapcsolatainkhoz, stb.

Amikor bejelentkezünk a közösségi média platformokra, vagy feliratkozunk egy weboldalra, a személyes adatainkat kérik. És mi történik ezen adatokkal, miután rákattintunk a regisztrációs gombra és elfogadjuk az adatvédelmi feltételeket? Egyébként, meddig olvasod el ezeket a végtelen hosszú szövegeket?

Soha nem tudhatod, hogy a személyes adataidat mikor lopják vagy adják el. A digitális feudalizmus megszüntetése és a felhasználók személyes adatainak védelme érdekében az EU az adatvédelemre vonatkozó erősebb szabályokat bocsát ki.

Amit ebben a posztban meg fogunk vitatni, az az általános adatvédelmi rendelet, amely május 25-én lép hatályba.

graphics

A GDPR olyan törvények halmaza, amelyeket az Európai Unió fogad el, de hatással van mindenkire, aki az EU-n kívül is van. A rendeletek sorozata a digitális adatok és azok, az online világban való kezelésével foglalkozik. Ha te egy webes fejlesztő , tervező, vagy akár olyan személy vagy, aki internetes sablonok készítésével foglalkozik, akkor helyezd kényelembe magad és olvass tovább. Az alábbi információk csak neked szólnak.

Tartalomjegyzék

Mi a GDPR?

Ez a rendelet meghatározza a természetes személyek védelmére vonatkozó szabályokat a személyes adatok feldolgozása és a személyes adatok szabad mozgására vonatkozó szabályok tekintetében.
Ez a rendelet védi a természetes személyek alapvető jogait és szabadságát, különösen a személyes adatok védelméhez való jogát.
A személyes adatok Unión belüli szabad mozgását a személyes adatok feldolgozása tekintetében nem lehet korlátozni és nem lehet tiltani a természetes személyek védelmével kapcsolatos okokból.

1 cikkely: Téma és célok

Az EU adatvédelme és a személyes adatok vizsgálata két fő részből áll:

  1. A GDPR az 1995-ben bemutatott Adatvédelmi eszköz korszerűsített változata. Az utóbbi mindegyik elvét az Általános adatvédelmi rendelet szabályozza, kiegészítve olyan új követelményekkel, amelyek tükrözik a modern digitális korszak változásait .
  2. A második rész a 2002. évi átdolgozott ePrivacy adatvédelmi irányelv (ePrivacy Directive), amelyet főként cookie-törvényként ismerünk. Eredetileg az ePD-t május 25-én, a GDPR mellett tervezték hatályba léptetni. Azonban még mindig a tárgyalások szakaszában van. A dokumentum várhatóan késő ősszel – koratélen véglegesíthető 2018-ban.

Az ePD kiadásának késedelme jól jöhet azoknak a fejlesztőknek, akik fel szeretnének készülni az ePD közelgő változásaira, ha eljön az ideje.

Területi hatáskör

Bár uniós szabályozásról beszélünk, nem kell feltétlenül az Európai Unióban tartózkodnod ahhoz, hogy megfelelő változtatásokat hozz az ügyfeleid digitális adatvédelemével kapcsolatban.

  1. Ez a rendelet a személyes adatoknak az Unióban működő adatkezelő vagy feldolgozó létesítmény tevékenységével összefüggésben történő feldolgozására vonatkozik, tekintet nélkül arra, hogy a feldolgozás az Unióban történik-e vagy sem.
  2. Ez a rendelet azon érintettek személyes adatainak feldolgozására vonatkozik, akik az Unióban székhellyel nem rendelkező kezelő vagy feldolgozó által az Unióban találhatóak, ahol a feldolgozási tevékenységek a következőkhöz kapcsolódnak:
    • áruk vagy szolgáltatások nyújtása, függetlenül attól, hogy az adatalanynak kell-e fizetnie az ilyen érintettek számára az Unióban; vagy
    • viselkedésük nyomon követése, amíg ez az Unión belül történik.
  3. Ez a rendelet a személyes adatoknak az Unióban nem letelepedett adatkezelő általi feldolgozására vonatkozik, de olyan helyen, ahol a nemzetközi jog értelmében a tagállamok joga alkalmazandó.

3. cikkely: Területi hatáskör

Ez azt jelenti, hogy ha üzleti tevékenységet folytatsz Európában vagy egyszerűen az európai felhasználókról gyűjtesz adatokat, akkor a megújult jogszabályoknak megfelelően meg kell őrizned személyes adataikat. A szabályok minden vállalkozásra vonatkoznak, tekintet nélkül méretükre, helyükre és pénzügyi forgalmukra. Ha egy vállalkozás nem hajlandó elfogadni a változásokat, akkor nem szabad az EU ügyfeleivel dolgoznia.

Személyes adatok és személyiségazonosító információ

gdpr rules

Az európai "személyes adatok" kifejezés különbözik az Egyesült Államokban alkalmazott, "személyiségazonosító információk" kifejezéstől. Itt van az oka, miért.

Az európai szabályozás szerint a személyes adatok alatt az azonosított vagy azonosítható természetes személyre vonatkozó adatokat értjük. Ez lehet szó szerint minden - egy darab adat vagy több adatpont, amelyek együttesen hoznak létre profilt egy személyről. Az EU-ban a személyes adatok az érzékeny személyes adatok "al-kategóriáját" is tartalmazzák, amely a következőket jelenti:

  • Faji vagy etnikai származás.
  • Politikai meggyőződés.
  • Vallási vagy filozófiai hiedelmek.
  • Szakszervezeti tagság.
  • Egészségügyi adatok.
  • Szexuális élet vagy szexuális irányultság stb.

Az érzékeny személyes adatokat jobban kell védeni, mint az általános személyes adatokat. Az érzékeny személyes adatok kiszivárgása komolyabb következményekkel jár.

A GDPR kiterjeszti a "személyes adatok" fogalmát, amely magában foglalja:

  • Genetikai adatok
  • Biometrikus adatok (például az arcfelismerés vagy ujjlenyomat-bejelentkezések)
  • Helyadatok
  • Álnevesített adatok
  • Online azonosítók

Az online azonosítók olyan kifejezéseket tartalmaznak, mint például az IP-címek, a cookie-k, a felhasználói fiók azonosítói, a mobileszközök azonosítója és a rendszer által generált egyéb formák, amelyek különösen fontosak a webes tervezők és a fejlesztők számára.

Az amerikai "személyazonosításra alkalmas információ" az EU GDPR-jéhez képest korlátozottabb jellemzőket tartalmaz.

Ez utóbbival ellentétben a személyazonosításra alkalmas információ nem veszi figyelembe a személyes adatokat kontextusként, ami növeli az adatszivárgás kockázatát.

Kezelő kontra Feldolgozó

Amikor valaki rendelkezik személyes adatokkal, az EU GDPR két fő oldalt határoz meg - adatkezelők és adatfeldolgozók.

  • Az adatkezelő olyan személy vagy szervezet, amely eldönti, hogy milyen adatokat kell gyűjteni és hogyan használják fel.
  • Adatfeldolgozóként egy személy vagy szervezet feldolgozza az adatokat a kezelő helyett.

Mint webdesigner vagy webfejlesztő, mindkét szerepet betöltheted.

Feldolgozóként nem kezdeményezhet másik feldolgozást a kezelő előzetes írásos engedélye nélkül. Az adatkezelő és az adatfeldolgozó közötti kapcsolatokat írásos megállapodás szabályozza, amely szerint az adatfeldolgozónak:

  • a személyes adatokat csak az adatkezelő dokumentált utasításai alapján kezeli, beleértve a személyes adatok harmadik országba vagy nemzetközi szervezetre történő átruházását is, hacsak ezt az uniós vagy tagállami jogszabályok nem írják elő, amelyek a feldolgozóra vonatkoznak;
  • biztosítja, hogy a személyes adatok feldolgozására felhatalmazott személyek titoktartásra legyenek kötelezve, vagy megfelelő törvényes titoktartási kötelezettséget viseljenek;
  • figyelembe véve az adatfeldolgozás jellegét, segíti az adatkezelőt megfelelő technikai és szervezési intézkedésekkel, amennyiben ez lehetséges, az adatkezelőnek az adatalany jogainak gyakorlására irányuló kérelmek megválaszolására vonatkozó kötelezettségének teljesítését;
  • az adatkezelő választása alapján a feldolgozáshoz kapcsolódó szolgáltatások végzésének befejezése után törli vagy visszaadja az összes személyes adatot, és törli a meglévő másolatokat, kivéve, ha az uniós vagy tagállami jogszabályok a személyes adatok tárolását igénylik;
  • az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségeknek való megfelelés igazolásához szükséges, és lehetővé teszi és hozzájárul a kezelő vagy a kezelő által megbízott másik számvevő által végzett ellenőrzésekhez.

28. cikkely: Feldolgozó

Hogyan fejlesszük ki a GDPR-t?

Mindezek mellett a logikus kérdés az, hogy miként kell a webtervezőknek és a fejlesztőknek az ügyfelekkel együtt dolgozniuk május 25-e után?
Az EU GDPR-je befolyásolja a te online munkádat. Ez magában foglalja mind az üzleti tervezést, mind pedig a legfontosabb üzleti folyamatokat. Pontosabban, érinti az UX, a marketing, a projektmenedzsment fogalmakat és magát a webfejlesztést.
Amikor elkezdesz dolgozni a GDPR-nek, az első és az alapvető dokumentum, amelyről gondoskodnod kell, az az adatvédelmi hatásvizsgálat, vagyis egy írásos dokumentum, amelyet mindenki számára hozzáférhetővé kell tenni a projektben. Ez a hely, ahol meghatározod a vitát, az ellenőrzést, és meghatározod az adatvédelemben rejlő adatvédelmi kockázatokat.
Amikor a GDPR-rel dolgozol, akkor írásbeli dokumentációval kell rendelkezned, ahol az ügyfelek és a webes tervezők megtalálhatják azokat a szabályokat, feltételeket és követelményeket, amelyek szerint kell magatartást gyakorolniuk.

A PIA-nak (Adatvédelmi hatásvizsgálat, azaz Privacy Impact Assesment) ezt világossá kell tennie:

  • Hogyan és milyen személyes adatok kerülnek feldolgozásra és megőrzésre?
  • Hol és hogyan tárolják az adatokat?
  • Mennyi ideig tárolják a személyes adatokat?
  • Az adatgyűjtés és feldolgozás meghatározott, egyértelmű és törvényes?
  • Mi az adatfeldolgozásra vonatkozó hozzájárulás alapja?
  • Ha nem a hozzájáruláson alapul, mi az adatfeldolgozás jogalapja?
  • Az adatok minimalizálásra kerülnek a kifejezetten szükségesekhez?
  • Az adatok pontosak és naprakészek?
  • Hogyan tájékoztatják a felhasználókat az adatfeldolgozásról?
  • Milyen ellenőrzéseket végeznek a felhasználók az adatgyűjtéssel és -megtartással kapcsolatban?
  • Az adatok:
    • titkosítva?
    • anonimizált vagy álnevesített?
    • alátámasztva?
  • Mik a technikai és biztonsági intézkedések a befogadóhelyen?
  • Ki férhet hozzá az adatokhoz?
  • Milyen adatvédelmi képzést kapnak ezek az egyének?
  • Milyen biztonsági intézkedésekkel dolgoznak ezek az egyének?
  • Milyen adatszegési értesítési és riasztási eljárások vannak érvényben?
  • Milyen eljárásokat alkalmaznak a kormány kéréseire?
  • Az adatalany hogyan gyakorolja:
    • hozzáférési jogok?
    • az adatok hordozhatóságához való jog?
    • a törléshez és az elfelejtéshez való jogot?
    • jogok a korlátozásra és kifogásolásra?
  • Az összes adatfeldolgozó, beleértve az alvállalkozókat is, szerződésben foglalt kötelezettségei?
    Ha az adatok az Európai Unión kívülre kerülnek, milyen védelmi intézkedések és biztosítékok vannak?
    Milyen kockázatok vannak az adatalanyokra, ha az adatokkal:
    • visszaélnek, azokat rosszul használják vagy megsértik?
    • módosítják?
    • elvesztik?
  • Melyek a kockázatok fő forrása?
    Milyen lépéseket tettek e kockázatok mérséklésére?

A GDPR-rel való munka nem csak a kódra és a tervezésre vonatkozik. Azt is sugallja, hogy mindenki, aki részt vesz az adott projektben, tisztában van a szakma jogi hátterével, és ismeri a regionális / helyi / nemzeti adatvédelmi törvényeket.

Egy tökéletes forgatókönyv szerint a vállalatoknak oktatniuk kéne a csapataikat. És dokumentált bizonyítéknak kéne lennie arra vonatkozóan, hogy a webes tervező vagy webfejlesztő átment a megfelelő képzésen.

Hogya kell tervezni

web design GIF

A tervezési követelmények a GDPR-orientált projektek szerves részét képezik.

Két fókuszpont alapelv van, amelyeket ebben a szakaszban szem előtt kell tartanunk: a névtelenítés és a minimalizálás, mindkét oldalon. Ne csatlakoztass személyes adatokat más készletekkel egyetlen helyen tárolva.

A GDPR szerint meg kell adnod az adatmegőrzési és törlési ütemtervet. Mégis, nem kell mindent törölnöd, miután befejezted a munkát a projekten. Engedélyezheted az adó- és jövedelemellenőrzés beszerzésének megtartását. Ha ilyen adatokra már nincs szükség, győződj meg róla, hogy eltávolítottad az archívumodból és a harmadik féltől származó szolgáltatókról, például a felhőből.

Ezenkívül rejtsd el a személyes adatokat a váratlan felhasználói támadásoktól. Titkosítsd azokat.

Hogyan kell kódolni?

web development GIF

Annak érdekében, hogy a GDPR követelményei szerint kódolhass, győződj meg róla, hogy mindenki, aki részt vesz a projektben, meghatározott kódkönyvtárakat, eszközöket és kereteket használ, amelyek mindegyike dokumentált a kódolásra és tesztelésre vonatkozó jóváhagyott szabványok és módszerek listán. A kód létrehozásakor használható eszközök és technikák nincsenek meghatározva a GDPR-ben.

Az a fontos, hogy meg kell határoznod az olyan eszközöket, amelyeket az írásos dokumentumban fogsz használni a munkád során. A lista később módosítható. Csak győződj meg róla, hogy a projekt minden tagja tájékoztatást kap, és a megfelelő változtatásokat dokumentálják.

Magától értetődő, hogy a munkához választott kódolási eszközöknek biztonságosaknak kell lenniük, és biztosítottnak megbízható harmadik fél könyvtárak által.

Az adatvédelmi tesztek futtatása

test GIF

A GDPR-rel való munka azt jelenti, hogy a digitális projektekhez hozzátartozik az adatvédelem és a tesztelés. A titoktartási teszteknek tudniuk kell megjósolni és előre látni a lehetséges hacker támadásokat, a jogosulatlan adatelérést és az általános biztonsági sebezhetőséget.

Amikor az adatvédelem teszteléséről van szó, nagyon kreatívnak kell lenned. A felhasználói jelszavak elég biztonságosak? A cookie-kban tárolva vannak a bejelentkezési adatok? Lehetséges az adatokhoz való hozzáférés, ha hiba lép fel? Figyelembe vetted a külső figyelmeztetéseket az adatvédelmi tesztelések futtatása közben? És ami a legfontosabb, dokumentáltad? Minden tesztelési erőfeszítésed haszontalan lesz, hacsak nem létezik egy élő dokumentum, amely megerősíti a te lépéseidet.

Végszó

A GDPR-rel való munkavégzéshez pontosabban meg kell határoznod a személyes adatokhoz való hozzáférésre és a személyes adatok használatára vonatkozó feltételeket. Figyelembe kell venned a lehetséges problémákat, amelyekkel szembesülhetsz, és mindegyik lépésedet egyértelműen dokumentálnod kell.
Légy átláthatóbb az ügyfelek számára. Fordítsd le az adatvédelmi kifejezéseket köznyelvre. Egyébként a "kevesebb több" szabály tökéletesen illeszkedik a projekted szerződési feltételeinek oldalához. Ne pazarolj több órát a felhasználók életéből, hogy megérthessék az üzenetedet. Emeld ki a lényegi elemeket, és tedd azokat könnyen követhetővé. Ez növeli annak lehetőségét, hogy a felhasználók el is fogják olvasni azt, amit írtál, nem pedig egyszerűen lefelé görgetve az "elfogadom" gombra kattintanak.

KódolásWebdesignwebfejlesztés
Ingrid Almási
Ingrid Almási

Csodálatos dolognak tartom az írást, mellyel új világokat, különleges embereket teremthetünk. Akikért az olvasó izgulhat, szeretheti vagy gyűlölheti őket. Vagyis annak a fantáziáját szereti, aki megalkotta a művet. Ha csak egy írásom elgondolkodtat, elszomorít vagy megnevettet valakit, már megérte tollat ragadnom.

Kapcsolódó hozzászólások

Webfejlesztés

Hogyan szabd testre blogod dizájnját

23 augusztus 2019 974
Webfejlesztés

Legjobb WordPress eCommerce SEO praktikák 2019

16 augusztus 2019 1K
Cikkek

Legjobb Divat Shopify témák 2019

18 július 2019 772