Sự xuất hiện của Quy định bảo vệ dữ liệu chung

GDPR là gì và ý nghĩa của việc bảo vệ dữ liệu cá nhân cho các trang web và trang web thương mại điện tử

Mục đích của Quy định bảo vệ dữ liệu chung

Để hiểu rõ hơn về tính hữu ích của luật này được Liên minh Châu Âu thông qua, điều cần thiết là liệt kê các mục đích của GDPR. Với quy định mới này, trước hết người dùng phải nhận thức rõ hơn về số phận của dữ liệu cá nhân của họ và trước hết phải cung cấp sự đồng ý rõ ràng. Sau đó, dữ liệu tương tự phải được sử dụng hết sức tiết kiệm, đặt ra các quy tắc nghiêm ngặt để cho phép chúng được xử lý bên ngoài Cộng đồng Châu Âu và cuối cùng phải có hình phạt nghiêm khắc đối với những người vi phạm các quy định của Quy định chung về bảo vệ dữ liệu. Đây là những điểm mà quy định mới về quyền riêng tư này dựa vào, nhưng ngay sau khi ban hành, Quy định chung về bảo vệ dữ liệu đã bộc lộ một số sai sót.

“Tỉ số” của các quốc gia thành viên và vũng lầy Italia

Quy định chung về bảo vệ dữ liệu đã tự thể hiện mình là một hệ thống quy tắc đảm bảo một cuộc đàn áp quan trọng nhân danh quyền riêng tư. Tuy nhiên, tại thời điểm ban hành luật, EU đã để lại cho các quốc gia thành viên khả năng có thể "giải thích" các quy định có trong tài liệu mới này. Điều này có nghĩa là sự cứng nhắc được hứa hẹn nhiều đã biến mất trước khi nó bắt đầu và chẳng hạn như người dùng tiếng Pháp và tiếng Tây Ban Nha có thể thấy dữ liệu cá nhân của họ được xử lý khác với người dùng tiếng Bồ Đào Nha hoặc tiếng Đức. Trường hợp của Ý thậm chí còn đặc biệt hơn: cho đến nay, Chính phủ của chúng tôi vẫn chưa ban hành nghị định pháp lý liên quan đến Quy định chung về bảo vệ dữ liệu, do đó quy định của Châu Âu vẫn có hiệu lực ở nước ta. Bản thân điều này cũng có thể có những mặt tích cực, nếu không có nghị định lập pháp thì không thể truy tố và trừng phạt những người vi phạm các quy định của tài liệu mới này về quyền riêng tư.

"Dữ liệu cá nhân" nghĩa là gì?

Thuật ngữ "dữ liệu cá nhân" được sử dụng (và bị lạm dụng) trong nhiều lĩnh vực khác nhau của cuộc sống hàng ngày, nhưng đó là một khái niệm sai lầm đối với tất cả những người không phải là chuyên gia. Đồng thời, do chúng ta đang nói về việc bảo vệ dữ liệu nhạy cảm và các quy tắc chống vi phạm quyền riêng tư, điều cần thiết là phải hiểu rõ về "dữ liệu cá nhân". Tất cả những thông tin đó cho phép một người được xác định rõ ràng với những người khác là cái gọi là "dữ liệu cá nhân": do đó, tên, họ, mã số thuế, ngày sinh, địa chỉ, số điện thoại, v.v. Tuy nhiên, khi chúng ta nói về quyền riêng tư trên các cổng web, có các yếu tố khác xác định duy nhất một chủ đề, ngay cả khi chúng liên quan nhiều hơn đến các thiết bị sử dụng cùng mục đích: địa chỉ IP, địa chỉ e-mail, cookie, v.v. cũng được coi là dữ liệu cá nhân.

Theo định nghĩa này, một câu hỏi được đặt ra: nhưng khi nào người dùng quyết định giao phó dữ liệu nhạy cảm của họ cho một trang web? Trong phần lớn các trường hợp, hoạt động này diễn ra trong giai đoạn đăng ký trên cổng thông tin, cho dù nó nhằm mục đích tạo một khu vực dành riêng hay thậm chí chỉ để đăng ký nhận bản tin. Cụ thể, sau đó, nhiều các trang thương mại điện tử họ cũng có quyền truy cập vào các loại dữ liệu khác có thể được định nghĩa là "nhạy cảm": trước hết là những dữ liệu có tính chất tài chính (mã ngân hàng, IBAN và thuế), rõ ràng là cần thiết để có thể thực hiện các giao dịch trực tuyến. Ít được xem xét hơn nhưng vẫn có thể quy cho danh mục dữ liệu cá nhân cũng là thói quen tiêu dùng: bạn sử dụng mạng xã hội nào? Đồ uống yêu thích của bạn là gì? Mặt hàng cuối cùng bạn mua trực tuyến là gì? Những câu hỏi có vẻ tầm thường này có xu hướng tạo ra một hồ sơ người tiêu dùng, để người dùng chỉ được cung cấp những hàng hóa và dịch vụ thực sự có thể khơi dậy sự tò mò của anh ta. Việc sử dụng dữ liệu này cho mục đích thương mại cũng phải được giải thích rõ ràng cho người dùng, luôn tuân theo các quy định của Quy định bảo vệ dữ liệu chung.

Phải làm gì với Quy định bảo vệ dữ liệu chung mới

Làm sâu sắc thêm các khía cạnh lý thuyết đằng sau bảo vệ dữ liệu cá nhân điều đó là cần thiết, nhưng về cơ bản, tất cả những người quản lý cổng web và trang web thương mại điện tử đều muốn hiểu các hoạt động mới sẽ được thực hiện liên quan đến luật mới về quyền riêng tư này là gì.

Biểu mẫu liên hệ kết hợp với Chính sách bảo mật

Như chúng tôi đã viết trước đây, người dùng phải biết rằng dữ liệu cá nhân của họ có thể được thu thập và xử lý cho các mục đích nhất định. Và do đó, điều cần thiết là người dùng, khi đăng ký trên các trang web thương mại điện tử hoặc truy cập một cổng Internet, phải thực hiện sự đồng ý của mình một cách rõ ràng. Chính vì lý do này mà Quy định chung về bảo vệ dữ liệu bắt buộc tất cả trang web để có một Chính sách bảo vệ thông tin cá nhân của người tiêu dùnghoặc một tài liệu trong đó người dùng được giải thích loại dữ liệu nào được thu thập, đối tượng thu thập chúng là ai và tại sao họ làm điều này, nhưng trên hết, nó phải làm rõ liệu những dữ liệu này có được chuyển cho bên thứ ba hay không và chúng được lưu giữ trong cơ sở dữ liệu cổng thông tin trong bao lâu. Do tài liệu như vậy thường đặc biệt dài và nhàm chán, đồng thời người dùng web (bất chấp sự an toàn cá nhân của họ) có xu hướng tránh các trang web có văn bản dài để đọc, nên Chính sách quyền riêng tư phải được kết hợp với các biểu mẫu mà người dùng nhập dữ liệu cá nhân của mình. Vì lý do này, chẳng hạn như khi một người đăng ký nhận bản tin trên trang web, ngoài việc nhập tên, họ và địa chỉ email của mình, người dùng phải "đánh dấu" vào ô liên quan đến việc ủy ​​quyền xử lý dữ liệu cá nhân.

Ghi dữ liệu và Google Analytics

Luật mới này, trong số những điều khác, ngoài việc điều chỉnh việc bảo vệ dữ liệu cá nhân còn bắt buộc người quản lý các trang web thương mại điện tử và cổng thông tin điện tử phải đăng ký và lưu giữ các tham chiếu nhạy cảm của người dùng. Không chỉ vậy, ngay cả ngày mà người dùng đồng ý xử lý dữ liệu cá nhân của mình cũng phải dễ dàng xác minh được. Do đó, các trang web cần phải có cơ sở dữ liệu thực để sử dụng bất cứ lúc nào, cơ sở dữ liệu này phải được kết hợp với công cụ ghi dữ liệu. Cái sau là một phần mềm ghi lại địa chỉ IP của thiết bị mà người dùng truy cập vào cổng thông tin và bằng cách này, có thể xác minh nguồn gốc, ngày và giờ của sự đồng ý được đưa ra bất cứ lúc nào.

Ví dụ: tất cả các cổng mà người dùng có "khu vực dành riêng" của riêng họ phải sử dụng các công cụ ghi dữ liệu, nơi họ không chỉ có thể kiểm tra dữ liệu nhạy cảm của mình bất kỳ lúc nào mà còn có thể sửa đổi và/hoặc xóa chúng nếu cần. Một trong những công cụ ghi dữ liệu nổi tiếng nhất trên thế giới là Google Analytics, phần mềm của công ty cùng tên Mountain View mà người dùng sử dụng để kiểm tra hiệu suất trang web của họ. Google Analytics ghi lại từng địa chỉ IP của người dùng, các trang đã truy cập, thời gian sử dụng và nhiều dữ liệu khác. Người quản lý các trang web sử dụng phần mềm này, luôn tuân thủ các quy định của Quy định chung về bảo vệ dữ liệu, phải nêu rõ việc sử dụng các chương trình như Google Analytics trong cổng thông tin của họ.

Đây là nhân viên bảo vệ dữ liệu

Các quy tắc mới cho bảo mật dữ liệu cá nhân cung cấp cho một nhân vật chuyên nghiệp cụ thể, người phải chịu trách nhiệm quản lý và bảo vệ những gì người dùng giao phó cho cổng thông tin điện tử. Con số này được biết đến với tên của Nhân viên bảo vệ dữ liệu hoặc Cán bộ bảo vệ dữ liệu (viết tắt DPO). Người quản lý bảo vệ dữ liệu trước hết phải có kiến ​​thức sâu rộng không chỉ về Quy định bảo vệ dữ liệu chung mà còn về tất cả các quy định khác có hiệu lực về quyền riêng tư, dù là trong quá khứ, hiện tại hay tương lai. Sau đó, anh ta phải là một nhân vật hoàn toàn độc lập đối với quyền sở hữu trang web, người không nhận đơn đặt hàng từ bất kỳ ai và phải nói chuyện trực tiếp với ban lãnh đạo cao nhất về sơ đồ tổ chức của công ty. Đồng thời, cuối cùng, nó phải có khả năng sử dụng các nguồn tài chính và nhân lực cho phép nó thực hiện những gì được thiết lập theo các quy định mới để bảo mật dữ liệu cá nhân theo cách tốt nhất có thể. Trên thực tế, thậm chí đằng sau con số của DPO còn nhiều bất cập và khía cạnh cần làm rõ. Trước hết, một vấn đề liên quan đến các kỹ năng của Nhân viên bảo vệ dữ liệu: trên thực tế, nhân vật này không chỉ có các kỹ năng phù hợp về các quy định về quyền riêng tư mà còn phải có năng lực trong các vấn đề được đề cập bởi cổng thông tin điện tử, đặc biệt nếu chúng có tầm quan trọng nhất định (nghĩ về các cổng thông tin liên quan đến các chủ đề khoa học y tế). Không cần phải nói rằng việc tìm kiếm tất cả các kỹ năng này trong một nhân vật duy nhất thường rất khó, nếu không muốn nói là không thể.

Nguy cơ vi phạm Quy định bảo vệ dữ liệu chung là gì?

Như chúng tôi cũng đã đề cập ở trên, khung xử phạt liên quan đến luật mới về quyền riêng tư này vẫn chưa hoàn thiện, đặc biệt là ở Ý, nơi không có một nghị định pháp lý cụ thể nào khiến những người phạm tội, ít nhất là trên giấy tờ, không phải chịu trách nhiệm truy tố. Tuy nhiên, muốn đưa ra một bản tóm tắt rất ngắn gọn về các hình phạt phải chịu đối với những người không đặt bảo mật dữ liệu cá nhân của người dùng lên hàng đầu, chúng tôi có thể chia chúng thành hai lĩnh vực vĩ ​​mô: