Zavedení evropské legislativy o online soukromí dat bude mít důležité důsledky ve způsobu, jakým organizace nakládají s osobními údaji svých uživatelů, pokud jde o webové stránky a aplikace, ať už Android nebo IOS. Tento nový zákon vyvolává otázky pro organizace, které pravidelně nakládají s osobními údaji evropských obyvatel.
Jaký dopad má legislativa na online webové aplikace a provoz?
Obecně řečeno, tento zákon zajišťuje, že jednotlivec má kontrolu nad svými údaji. To znamená, že když organizace požaduje osobní údaje online, musí zákazníkovi sdělit, co se stane s jejich údaji.
Hlavní aspekty tohoto nového právního předpisu jsou následující:
- Snazší přístup k vlastním datům. Uživatel má více informací o tom, jak jsou jeho data využívána. Tyto informace musí být zpřístupněny jasným způsobem.
- Schopnost přesouvat data. Mělo by být jednodušší přenést vaše osobní údaje k jinému poskytovateli služeb.
- Možnost smazat svá data. Pokud si již nepřejete, aby byly vaše údaje používány a existuje pro to platný důvod, musíte své osobní údaje vymazat.
- Zjistěte, kdy byla vaše data napadena. V okamžiku, kdy byla organizace napadena, musíte o této události co nejdříve informovat příslušný úřad. Tímto způsobem mohou uživatelé provádět měření.
Jak tedy implementovat vyhovující aplikaci? GDPR a dává uživateli kontrolu nad jeho osobními údaji? Zde je několik tipů, jak jej aplikovat.
Tipy pro vývoj aplikací v souladu s GDPR
Zjistěte, zda aplikace potřebuje všechna osobní data, která požaduje
Ideální implementace ochrany osobních údajů pro v souladu s GDPR je shromažďovat co nejméně osobních údajů. Osobními údaji můžete myslet na: jméno, datum narození, bydliště atd. To samozřejmě není možné ve všech situacích, protože tyto informace jsou někdy nezbytné. V každé situaci je důležité, aby vedení a vývojáři určili, jaké informace jsou nejnutnější shromažďovat.
Šifrujte všechny osobní údaje
Pokud aplikace potřebuje ukládat citlivé osobní údaje, je důležité tato data správně zašifrovat pomocí silných šifrovacích algoritmů, včetně hašování. V případě úniku dat Ashley Madison byly všechny informace dostupné v prostém textu.
To mělo důležité důsledky pro jeho uživatele. Je třeba výslovně uvést, že všechny osobní údaje jsou šifrované, takže tato data nelze použít v případě napadení webové aplikace. Patří sem také informace o: adrese, telefonních číslech a místě bydliště.
Myslete na OAUTH pro přenos dat
Pomocí protokolu OAuth mohou uživatelé vytvořit účet jednoduše pomocí jiného účtu. Tyto protokoly poskytují jednotné přihlášení a nepomáhají shromažďovat více informací, než je nutné.
Používejte zabezpečenou komunikaci přes HTTPS
Mnoho organizací nepoužívá HTTPS pro své webové stránky, protože se má za to, že to není nutné. Pokud například aplikace nevyžaduje žádný typ ověřování, HTTPS se nemusí zdát nutné. Je však snadné něco přehlédnout. Některé aplikace shromažďují osobní údaje prostřednictvím formuláře „Kontaktujte nás“.
Pokud jsou tyto informace odeslány jako prostý text, budou viditelné na internetu. Také byste se měli ujistit, že SSL certifikáty jsou správně aplikovány a nejsou náchylné k nebezpečím souvisejícím s protokoly SSL.
Dejte uživatelům vědět, jak nakládáte s informacemi „kontaktujte nás“.
Aplikace neshromažďují informace pouze prostřednictvím ověřování nebo předplatného. Údaje se shromažďují také prostřednictvím kontaktních formulářů. Obvykle se jedná o osobní údaje jako: telefonní číslo, místo bydliště a emailová adresa. Informuje uživatele, jak dlouho a jak jsou tato data uložena. Důrazně se doporučuje používat k ukládání těchto informací dobré zabezpečení.
Ujistěte se, že platnost relací a souborů cookie vyprší
na v souladu s GDPR, uživatelé si musí být vědomi toho, jak aplikace používá soubory cookie. Uživatel musí být informován, že aplikace používá cookies, a nabídnuta možnost cookies odmítnout. Ujistěte se, že soubory cookie jsou správně odstraněny, pokud se někdo odhlásí nebo již není aktivní.
Nesledujte uživatele z hlediska business intelligence
Mnoho aplikací elektronického obchodu sleduje uživatele, aby pomocí výsledků vyhledávání a produktů, které kupují, viděli, co hledají. Společnosti jako Netflix a Amazon tyto informace často používají k zobrazení navrhovaných produktů. Protože jsou tyto informace uchovávány pro komerční účely, musí mít uživatel možnost je přijmout nebo ne.
Pokud je následně udělen souhlas s uchováním těchto informací, musí být uživatel informován, jak jsou tyto informace uchovávány a jak dlouho. Všechny osobní údaje musí být samozřejmě zašifrovány.
Informujte uživatele o záznamech
Mnoho aplikací používá k autorizaci přihlášení umístění nebo adresy IP. Tyto informace jsou uloženy pro případ, že by se někdo pokusil toto ověření obejít. Upozorní uživatele, že tyto informace budou uloženy a jak dlouho. Neukládejte citlivé informace do protokolů, jako heslo.
Bezpečnostní otázky
Mnoho aplikací používá bezpečnostní otázky k potvrzení identity uživatele. Zkuste se ujistit, že tyto informace neobsahují žádné osobní údaje, jako je jméno matky uživatele a dokonce ani oblíbená barva. Kdykoli je to možné, zkuste použít dvoufaktorové ověřování. Pokud to není možné, nechte uživatele klást vlastní otázky a varujte, že obsahuje osobní údaje. Osobní údaje musí být uloženy zašifrované.
Ujasněte si podmínky
Nesnažte se skrýt své smluvní podmínky. Aby byly v souladu s GDPR podle nových právních předpisů EU o ochraně osobních údajů, musí být podmínky k dispozici na vstupní stránce. Kromě toho musí být podmínky jasné a dostupné vždy, když uživatel prohlíží aplikaci.
Uživatelé musí před přístupem k aplikaci souhlasit s podmínkami. To platí zejména při změně všeobecných obchodních podmínek. Samozřejmostí je, že smluvní podmínky jsou k dispozici v jazyce, kterému rozumí každý.
Sdílení dat s ostatními stranami
Pokud vaše organizace sdílí osobní údaje s jinými stranami, mělo by to být uvedeno ve všeobecných podmínkách. To může být prostřednictvím přidružených společností, vládních agentur nebo pluginů třetích stran.
Nastavte jasné pokyny, pokud je vaše aplikace napadena
Jedním z nejdůležitějších aspektů evropská legislativa je, že uživatelé by měli být upozorněni, pokud byla aplikace napadena. Organizace by měly stanovit jasné pokyny k popisu úkolu a kroků, které organizace podnikne. Mějte na paměti, že uživatel je informován včas.
Smažte data uživatelů, kteří službu zastavili
Mnoho webových aplikací jasně neuvádí, co se stane s osobními údaji, když je účet smazán nebo někdo zruší. S novou legislativou musí společnosti vymazat všechny osobní údaje. Mělo by být zřejmé, že někdo může službu přestat používat a poté budou jeho informace vymazány. Organizace, které považují smazaný účet za neaktivní, mohou být v rozporu se zákonem.
Odstraňte zranitelná místa
Jedno z největších rizik pro ochranu soukromí vzniká, protože aplikace je zranitelná. To je vždy riziko, když systém zpracovává citlivé uživatelské informace. Aplikace, která nebyla vyvinuta tak, aby včas odhalila rizika, je pravděpodobnější, že bude hacknuta. Ujistěte se, že vaše organizace má program na zjišťování kybernetických rizik a provádění bezpečnostních testů.