Após o anúncio e próximo introdução dos locais regulamentos PIBR Internet em todo o mundo precisará ser atualizado. Os proprietários terão de implementar todos os requisitos, a fim de salvaguardar a privacidade de seus visitantes e clientes, conforme descrito na lei. Nosso artigo mostra todas as alterações necessárias em detalhes.
Efeitos iminente de Regulamentos dos GPDR
As próximas efeitos regulamentos PIBR que estão relacionados com a proteção da privacidade do consumidor exigir grandes mudanças site para todas as empresas de Internet que processam informações sensíveis. Eles foram aprovados pela União Europeia e em comparação com as leis anteriores que afetará todas as empresas, mesmo aqueles fora da União, que dados privados processo. Os proprietários de sites precisará implementar novos elementos e cuidadosamente redesenhar seus sites em todos os casos em que os dados são processados. Em comparação com as leis anteriores que foram directivas e eram não-obrigatório e não-ligação na sua forma original, as políticas PIBR são normas à escala da UE que vão ser aplicadas em seus conteúdos completos. De acordo com especialistas, essas são algumas das maiores mudanças nesta área na última década. A lista de mudanças necessárias é muito extensa e os administradores do site precisará implementar todos os itens em devido tempo.
PIBR 101: De onde começar
Webmasters deve começar por se tornar ciente das mudanças necessárias e implementar todos os componentes da política PIBR. A principal preocupação de que os regulamenta a Lei é a prestação de contas para os dados de usuários. O requisito para isso vem do fato de que a maioria dos serviços web processar os dados em países fora da União onde a proteção da privacidade não é garantida da mesma forma como é dentro da UE. Um dos mais importantes pazes estão ligados a esta questão - agora cada empresa que processa dados de um cidadão da UE terão de aderir às políticas rigorosas não importa o local do servidor.
É importante notar que os regulamentos é aplicada a seguinte definição de dados privados:
Qualquer informação relacionada a uma pessoa singular ou ‘Data Assunto’, que pode ser usado para identificar direta ou indiretamente a pessoa. |
Os proprietários do Web site terá de respostas claramente mostrar às seguintes perguntas para todos os visitantes:
- Por que o site requer os dados pessoais?
- Seu endereço de email
- Como os dados são obtidos?
- Como os dados estão sendo mantidos?
- Como os serviços de Internet irão protegê-lo?
- É compartilhado com terceiros e em que condições?
Além dessas mudanças, os proprietários do site terão de reorganizar e implementar um novo mecanismo tecnológico para todas as atividades de processamento de dados quando se trata de informação aos cidadãos da UE. Nota: Os regulamentos também afetam as instituições governamentais.
Regulamentos do GDPR e suas disposições básicas
Um princípio importante que define as bases para as atividades de processamento de dados é o prova de adesão. As organizações (e seus sites) precisam mostrar claramente que têm base legal para processar dados confidenciais. No momento, praticamente todos os serviços de Internet são construídos sobre as bases de consentimento por padrão - estabelecem a condição de que, após a utilização dos serviços relevantes, os visitantes dêem o seu consentimento automaticamente. Os regulamentos do GDPR descrevem cinco bases legais diferentes para o processamento de informações confidenciais do usuário:
- Um contrato legalmente vinculativo com os visitantes individuais.
- Conformidade com as obrigações legais.
- Interesses vitais, conforme definido pelas várias obrigações.
- O desempenho de tarefas públicas.
- Interesses legítimos.
Um dos conselhos mais importantes a seguir é conscientizar todo o pessoal de um serviço de Internet sobre as mudanças que ocorrerão.. As pessoas que estão de alguma forma relacionadas ao processamento de dados precisam implementar na íntegra os regulamentos do GDPR. Quando se trata de serviços maiores, seria importante realizar um auditoria de informação completa. Os especialistas observam que isso é necessário para examinar como os dados são coletados e se são armazenados nas condições certas, conforme descrito nas disposições.
Todos os procedimentos precisam ser alterados para proteger todos os direitos do usuário que são garantidos pelas alterações do GDPR. Os procedimentos para a exclusão de dados pessoais mediante solicitação devem ser obrigatórios e disponíveis a qualquer momento.
Além das mudanças em relação aos controles de armazenamento e acesso aos dados de privacidade em si, os administradores do site precisam manter um banco de dados separado do consentimento dos usuários. Isso está relacionado ao fato de que os regulamentos do GDPR exigem que os visitantes e usuários do serviço tenham uma maneira fácil de retirar seu consentimento para o processamento de dados pessoais.. Como consequência, o site precisa ser capaz de automatizar suas opções - ter a capacidade de servir todos os dados processados em um formato padrão legível por máquina e remover todos os vestígios de dados privados mediante solicitação.
Uma parte importante dos novos sites é a implementação de um sistema que verifica a idade dos visitantes e o mecanismo de obtenção do consentimento dos pais ou responsáveis. As novas leis impõem notificação imediata em caso de riscos de dados pessoais provenientes de violações. Os regulamentos GDPR incluem torna obrigatório para os detentores de dados notificar todos os usuários afetados em caso de uma possível violação. Em relação a isso todas as empresas afetadas, sites e serviços de Internet precisam definir um Oficial de proteção de dados quem é a pessoa que delega a implementação e coordenação dos regulamentos do GDPR e assume total responsabilidade pela conformidade e operações corretas dos dados privados.
Efeitos GDPR - Direitos aprimorados de dados privados de usuários
Lembramos aos nossos leitores que as disposições da política para vários tipos diferentes de direitos do usuário que precisam ser garantidos pelos sites em conformidade com o GDPR. O direito de ser informado é o primeiro e mais importante artigo da lista. Isso está relacionado ao fato de que os proprietários de sites e serviços de Internet precisam informar aos visitantes e clientes que eles estão prestes a obter e processar informações do usuário que podem ser confidenciais. Como resultado, os avisos devem ser exibidos de forma proeminente e escritos de uma forma muito clara, forma inteligível e acessível. Os regulamentos garantem que o aviso deve ser redigido de forma a torná-lo compreensível mesmo por crianças ou menores, visto que também estão sob proteção.
Outra consideração importante é que do ponto de vista dos administradores do site. Existem dois tipos básicos de dados: fornecido diretamente aos usuários e os titulares dos dados secundários coletaram as informações. A diferença entre os dois é feita com base no próprio processamento de dados. Os webmasters podem determinar a categoria relevante, observando os mecanismos de coleta de informações. Aqui está uma análise dessas duas categorias e exemplos específicos e como eles se encaixam:
Tipo de dados |
Dados obtidos diretamente de organizações |
Dados obtidos indiretamente de organizações |
Identidade e detalhes de contato do controlador, o representante do controlador e o oficial de proteção de dados responsável. |
√ |
√ |
Finalidade e base legal das operações de processamento de dados. |
√ |
√ |
Interesses legítimos do serviço ou do terceiro responsável pelas atividades de dados. |
√ |
√ |
Categorias de dados pessoais. |
√ |
|
Destinatários ou categorias dos dados obtidos / processados. |
√ |
√ |
Detalhes de transferências para outras partes e mecanismos de proteção. |
√ |
√ |
Período de retenção e critérios. |
√ |
√ |
Armazenamento do consentimento do usuário. |
√ |
√ |
Mecanismo de retirada do consentimento e seu armazenamento. |
√ |
√ |
Mecanismos de reclamações e armazenamento / processamento de tais eventos. |
√ |
√ |
Fonte de dados pessoais e metadados relevantes. |
√ |
|
Provisão de status de processamento de dados pessoais - este campo verifica se os processos são parte de uma obrigação e contém as possíveis consequências de não fornecer o serviço necessário. |
√ |
|
Mecanismos automatizados para tomada de decisão. |
√ |
√ |
o direito de acesso é o segundo direito individual que precisa ser protegido pelos sites. Os proprietários do site são obrigados a manter a vontade do indivíduo e concedê-los acesso aos seus dados de usuário processados gratuitamente em um formato legível por máquina. Os regulamentos do GDPR especificam que os administradores do site podem cobrar um “taxa razoável” taxa razoável quando a solicitação é considerada excessiva ou repetitiva.
o direito à retificação dá aos usuários individuais a capacidade de alterar ou remover dados pessoais fornecidos aos serviços de Internet. Os proprietários de sites precisarão prestar atenção especial a esse fato se estiverem trabalhando com uma empresa ou instalação terceirizada de processamento de dados. Os proprietários do site são responsáveis por informar todos os agentes das alterações feitas.
Um artigo relacionado é o direito de ser esquecido que também está sob proteção. Ele permite que os usuários individuais solicitem a exclusão (e posterior remoção) de seus dados pessoais quando não há razão convincente para seu processamento contínuo. No entanto, isso não é um direito absoluto. Os indivíduos podem fazer isso nas seguintes condições:
- Quando os dados pessoais não são mais necessários em relação à finalidade para a qual foram originalmente coletados / processados.
- Quando o usuário retira seu consentimento.
- Quando o usuário se opõe ao processamento e não há interesse legítimo prevalecente em continuar o processamento.
- Os dados pessoais foram processados ilegalmente.
- Os dados pessoais devem ser apagados para cumprir uma obrigação legal.
- Os dados pessoais são tratados em relação à oferta de serviços da sociedade da informação a uma criança.
Os visitantes da Internet estão garantidos com direito de restringir o processamento de suas informações privadas. Os regulamentos do GDPR contêm um artigo que prescreve a capacidade dos usuários de restringir ou bloquear o processamento de dados. Nesse caso (após o consentimento do usuário ter sido dado) os proprietários do site ainda têm permissão para armazenar os dados, mas eles não podem processá-lo mais.
o direito à portabilidade de dados é um dos aspectos mais importantes introduzidos com os regulamentos do GDPR. Isso significa que os usuários agora recebem o direito de obter e reutilizar seus dados privados para seus próprios fins em diferentes serviços de Internet. Eles devem ter permissão para se mover, copie ou transfira a maior parte dos dados de um ambiente de um ambiente para outro de maneira segura. Os webmasters do site são obrigados a habilitar esse recurso tecnológico e implementá-lo em seus sites. Quando os usuários solicitam os dados, eles precisam obtê-los em um formato legível por máquina - formatos abertos como CSV são dados como o exemplo mais proeminente. As respostas devem ser dentro de um mês. Extensões podem ser feitas se a solicitação for considerada muito complexa ou os administradores do site não puderem lidar com o número de solicitações recebidas.
Os usuários também recebem o direito de objetar ao processamento de seus dados pessoais. Isso é importante para os webmasters, pois inclui todas as formas de Marketing direto que utilizam ações de criação de perfil. Para cumprir esta prescrição, os administradores podem configurar mecanismos que interrompam tais ações automaticamente após a confirmação de uma objeção recebida.
Mecanismos de conformidade com os regulamentos GDPR
Os administradores do site precisarão reorganizar suas opções de assinatura de boletim informativo e preferências de contato para alinhá-los com as mudanças de política. Como resultado das mudanças, a posição padrão não é consentimento por padrão. Os formulários precisarão ser reajustados. Os designers observam que essas mudanças podem não ser percebidas instantaneamente pelos usuários, pois a prática padrão até esta data era consentimento por padrão. Anteriormente, os usuários precisavam desativar ativamente mensagens e boletins informativos patrocinados, os regulamentos do GDPR os farão aceitar opcionalmente.
Além disso, os termos e condições relacionados ao processamento de dados de privacidade deverão ser definidos em um formulário separado. Uma boa maneira de organizar esses dados seria usar um layout de modelo que define campos individuais de aceitação:
- Aceite os Termos de Serviço (PARA% S) condições.
- Verificação de aceitação da política de privacidade.
- Contato & Verificação de aceitação do boletim informativo.
Depois que as vítimas derem seu consentimento e concordarem com a política de privacidade e os termos de uso, elas devem ter uma maneira fácil de gerenciá-los e retirá-los. Uma abordagem excêntrica do usuário seria facilitar a criação de um página de perfil do usuário que podem ser configurados individualmente por eles usando um mecanismo de autenticação (ligação, registro do usuário ou outra opção). Eles podem permitir que os usuários ativem e desativem mensagens de boletim informativo / patrocínio, bem como qualquer consentimento de coleta de dados privados.
Quando se trata de mensagens de marketing e boletins informativos, os usuários individuais também podem ter a oportunidade de alterar a frequência das mensagens recebidas. Os administradores também podem considerar ter duas opções listadas em qualquer opção de cancelamento de assinatura: o motivo do opt-out e um procedimento de confirmação separado.
Os administradores da web também devem saber que todos os formulários e mensagens da web devem identificar claramente os processadores e operadores de dados. Os regulamentos do GDPR prescrevem que todas as partes envolvidas devem ser nomeadas. Todos os documentos de política de privacidade e termos de uso devem estar envolvidos para implementar a terminologia GDPR relevante. A informação deve incluir os motivos pelos quais os dados privados são obtidos e em que condições e precauções de segurança eles serão processados e retidos.
As atualizações de política de privacidade necessárias deverão conter os seguintes itens:
- Uma mensagem de conformidade com o GDPR.
- O tipo de dados e conteúdos que são coletados e armazenados pelo serviço de Internet em detalhes. Os exemplos incluem endereços IP, geolocalização, acessar informação, navegador, biscoitos, duração da visita, interação com o usuário, dados demográficos e etc.
- Os webmasters precisarão especificar quem tem acesso aos dados pessoais.
- Detalhes do oficial de proteção de dados e seus dados de contato.
- A política de privacidade precisa mostrar em detalhes como as solicitações e reclamações podem ser registradas.
- A política também precisa definir como a organização manterá e processará as informações pessoais de maneira segura.
Uma das mudanças mais importantes está relacionada a Sites de comércio eletrônico onde as novas regras irão implementar grandes mudanças de usabilidade e processamento de dados. Quase todos eles usam um gateway de pagamento que é o serviço que realmente processa as transações financeiras. Os proprietários do site precisarão modificar os processos relevantes e remover todos os vestígios de informações pessoais e alinhá-los de acordo com os regulamentos.
A maioria dos serviços de Internet e grandes sites utiliza tecnologia de rastreamento de terceiros e software de análise. Na maioria dos casos, eles funcionam sem o consentimento do usuário. Muitos dos serviços estão sendo atualizados para se tornarem compatíveis com os regulamentos do GDPR. Seu uso é geralmente descrito na política de privacidade e nos documentos de termos de uso dos sites em questão.