Kaj je splošna uredba o varstvu podatkov (GDPR)?
Splošna uredba o varstvu podatkov (GDPR) je pravni okvir, ki določa smernice za zbiranje in obdelavo osebnih podatkov posameznikov, ki živijo v Evropski uniji (EU). Ker se uredba uporablja ne glede na to, kje imajo spletna mesta, jo moramo upoštevati vsa spletna mesta, ki privabljajo evropske obiskovalce, tudi če ne tržijo posebej blaga ali storitev za prebivalce EU.
GDPR določa, da se obiskovalcem EU omogoči več razkritij podatkov. Spletno mesto mora prav tako sprejeti ukrepe za olajšanje takšnih pravic potrošnikov v EU kot pravočasno obveščanje v primeru kršitve osebnih podatkov. Uredba, ki je bila sprejeta aprila 2016, je začela veljati maja 2018, po dvoletnem prehodnem obdobju.
Zahteve GDPR za storitve za stranke
V skladu s pravili morajo biti obiskovalci obveščeni o podatkih, ki jih spletno mesto zbira od njih, in izrecno soglašati s tem zbiranjem informacij s klikom na gumb Strinjam se ali drugim dejanjem. (Ta zahteva v veliki meri pojasnjuje vseprisotno razkritje, da spletna mesta zbirajo "piškotke" - majhne datoteke, ki vsebujejo osebne podatke, kot so nastavitve in nastavitve spletnega mesta.)
Spletna mesta morajo obiskovalce pravočasno obvestiti tudi, če je kateri koli njihov osebni podatek, ki ga hrani spletno mesto, kršen. Te zahteve EU so lahko strožje od tistih, ki se zahtevajo v pristojnosti, v kateri je spletno mesto.
Obvezna je tudi ocena varnosti podatkov na spletnem mestu in ali je treba najeti posebnega uradnika za varstvo podatkov (DPO) ali lahko to funkcijo izvaja obstoječi uslužbenec.
Informacije o vzpostavitvi stika z DPO in drugimi ustreznimi uslužbenci morajo biti dostopne, tako da lahko obiskovalci uveljavljajo svoje pravice do podatkov EU, ki med drugim vključujejo tudi možnost izbrisa njihove prisotnosti na spletnem mestu. (Seveda mora spletno mesto dodati tudi osebje in druge vire, da lahko izvajajo takšne zahteve.)
Druga pravila in mandati Splošne uredbe o varstvu podatkov (GDPR)
GDPR kot dodatno zaščito potrošnikov zahteva tudi, da se vsi osebno prepoznavni podatki (PII), ki jih spletna mesta zbirajo, bodisi anonimizirajo (postanejo anonimni, kot nakazuje izraz), bodisi psevdonimizirani (pri čemer se identiteta potrošnika nadomesti z psevdonimom). Psevdonimizacija podatkov podjetjem omogoča obsežnejšo analizo podatkov, na primer ocenjevanje povprečnih deležev dolga svojih strank v določeni regiji - izračun, ki sicer ne presega prvotnih namenov, zbranih za oceno kreditne sposobnosti za posojilo.
GDPR vpliva na podatke, ki niso zbrani od kupcev. Morda najpomembneje, da uredba velja za kadrovske evidence zaposlenih.
Spori, povezani z GDPR
GDPR je v nekaterih četrtinah pritegnil kritike. Zahteva po imenovanju imetnikov uradne zaščite ali preprosto ocena njihove potrebe po nekaterih trdi, nekaterim podjetjem nalaga neupravičeno upravno breme. Nekateri se tudi pritožujejo, da so smernice preveč nejasne, kako najbolje ravnati s podatki o zaposlenih.
Poleg tega podatkov ni mogoče prenesti v drugo državo zunaj EU, razen če podjetje, ki sprejema, zagotavlja enako stopnjo zaščite, kot jo zahteva EU. To je privedlo do pritožb zaradi dragih motenj poslovnih praks.
Obstaja tudi zaskrbljenost, da se bodo stroški, povezani z GDPR, sčasoma povečevali, deloma zaradi naraščajoče potrebe po izobraževanju strank in zaposlenih o grožnjah in pravnih sredstvih varstva podatkov. Prepriča se tudi, kako agencije za varstvo podatkov po vsej EU in zunaj nje lahko uskladijo svoje izvajanje in razlago predpisov ter tako zagotovijo enake konkurenčne pogoje, ko bo GDPR zaživel.
