Euroopa seadusandluse kehtestamine võrguandmete privaatsus sellel on olulised tagajärjed sellele, kuidas organisatsioonid töötlevad oma kasutajate isikuandmeid veebisaitide ja rakendusi, olgu see siis Android või IOS. See uus seadus tekitab küsimusi organisatsioonides, mis tegelevad regulaarselt Euroopa elanike isikuandmetega.
Millist mõju avaldavad õigusaktid veebipõhistele veebirakendustele ja -toimingutele?
Üldiselt tagab see seadus üksikisiku kontrolli oma andmete üle. See tähendab, et kui organisatsioon küsib veebis isikuandmeid, peab ta kliendile teatama, mis tema andmetega juhtub.
Selle uue õigusakti peamised aspektid on järgmised:
- Lihtsam juurdepääs oma andmetele. Kasutajal on rohkem teavet selle kohta, kuidas tema andmeid kasutatakse. See teave tuleb teha kättesaadavaks selgel viisil.
- Võimalus andmeid teisaldada. Isikuandmete edastamine teisele teenusepakkujale peaks olema lihtsam.
- Võimalus oma andmed kustutada. Kui te ei soovi enam, et teie andmeid kasutataks ja selleks on mõjuv põhjus, peate oma isikuandmed kustutama.
- Tea, millal teie andmetele on häkitud. Kui organisatsiooni häkitakse, peate sellest sündmusest võimalikult kiiresti teavitama vastavat asutust. Sel viisil saavad kasutajad mõõta.
Niisiis, kuidas rakendada nõuetele vastavat rakendust? GDPR ja annab kasutajale kontrolli oma isikuandmete üle? Siin on mitu näpunäidet selle rakendamiseks.
Näpunäiteid GDPR-iga ühilduvate rakenduste arendamiseks
Tehke kindlaks, kas rakendus vajab kõiki taotletavaid isikuandmeid
Ideaalne privaatsuse rakendus järgima GDPR-i on koguda võimalikult vähe isikuandmeid. Isikuandmetega saad mõelda: nimi, sünniaeg, elukoht jne. Loomulikult ei ole see kõigis olukordades võimalik, kuna see teave on mõnikord vajalik. Igas olukorras on oluline, et juhtkond ja arendajad määraksid kindlaks, millist teavet koguda on kõige vajalikum.
Krüptige kogu isiklik teave
Kui rakendus peab talletama tundlikku isiklikku teavet, on oluline need andmed korralikult krüpteerida, kasutades tugevaid krüpteerimisalgoritme, sealhulgas räsimist. Ashley Madisoni andmetega seotud rikkumise puhul oli kogu teave saadaval lihttekstina.
Sellel on olnud selle kasutajatele olulised tagajärjed. Tuleb selgesõnaliselt öelda, et kõik isikuandmed on krüpteeritud, seega ei saa neid andmeid kasutada juhul, kui veebirakendusse häkitakse. See hõlmab ka järgmist teavet: aadress, telefoninumbrid ja elukoht.
Mõelge andmete edastamiseks OAUTH-ile
OAuthi abil saavad kasutajad luua konto lihtsalt teist kontot kasutades. Need protokollid pakuvad ühekordset sisselogimist ega aita koguda rohkem teavet kui vaja.
Kasutage turvalist sidet HTTPS-i kaudu
Paljud organisatsioonid ei kasuta oma veebisaitidel HTTPS-i, kuna arvatakse, et see pole vajalik. Näiteks kui rakendus ei vaja mingit tüüpi autentimist, ei pruugi HTTPS tunduda vajalik. Samas on lihtne millestki ilma jääda. Mõned rakendused koguvad isikuandmeid vormi "Võtke meiega ühendust" kaudu.
Kui see teave saadetakse selge tekstina, on see Internetis nähtav. Samuti peaksite selles veenduma SSL-sertifikaadid neid rakendatakse õigesti ja need ei ole vastuvõtlikud SSL-protokollidega seotud ohtudele.
Andke kasutajatele teada, kuidas käsitlete „meiega ühendust” teavet
Rakendused ei kogu teavet ainult autentimise või tellimuste kaudu. Andmeid kogutakse ka kontaktvormide kaudu. Tavaliselt on see isiklik teave, näiteks: telefoninumber, elukoht ja e-posti aadress. See teavitab kasutajaid, kui kaua ja kuidas neid andmeid säilitatakse. Selle teabe salvestamiseks on tungivalt soovitatav kasutada head turvalisust.
Veenduge, et seansid ja küpsised aeguksid
et järgima GDPR-i, peavad kasutajad olema teadlikud sellest, kuidas rakendus küpsiseid kasutab. Kasutajat tuleb teavitada, et rakendus kasutab küpsiseid ja pakkuda võimalust küpsistest keelduda. Veenduge, et küpsised oleksid korralikult kustutatud, kui keegi logib välja või pole enam aktiivne.
Ärge jälgige kasutajaid äriteabe saamiseks
Paljud e-kaubanduse rakendused jälgivad kasutajaid, et näha, mida nad otsivad, kasutades otsingutulemusi ja ostetud tooteid. Sellised ettevõtted nagu Netflix ja Amazon kasutavad seda teavet sageli soovitatud toodete kuvamiseks. Kuna seda teavet säilitatakse ärilistel eesmärkidel, peab kasutajal olema võimalus sellega nõustuda või mitte.
Kui hiljem antakse nõusolek selle teabe säilitamiseks, tuleb kasutajat teavitada, kuidas seda teavet säilitatakse ja kui kaua. Loomulikult tuleb kogu isiklik teave krüpteerida.
Teavitage kasutajat kirjetest
Paljud rakendused kasutavad sisselogimise autoriseerimiseks asukohti või IP-aadresse. See teave salvestatakse juhuks, kui keegi proovib autentimisest mööda minna. Teatab kasutajatele, et seda teavet säilitatakse ja kui kaua. Ärge salvestage tundlikku teavet logidesse, nagu parool.
Turvaküsimused
Paljud rakendused kasutavad kasutaja identiteedi kinnitamiseks turvaküsimusi. Proovige veenduda, et see teave ei sisalda isikuandmeid, näiteks kasutaja ema nime ja isegi mitte lemmikvärvi. Kui vähegi võimalik, proovige kasutada kahefaktorilist autentimist. Kui see pole võimalik, laske kasutajal endal küsimusi esitada ja hoiatage, et see sisaldab isikuandmeid. Isikuandmed tuleb salvestada krüpteeritult.
Tehke selged tingimused ja tingimused
Ärge püüdke oma tingimusi varjata. Selleks, et EL-i uute privaatsusseaduste kohaselt oleks GDPR-iga ühilduv, peavad nõuded ja tingimused olema sihtlehel saadaval. Lisaks peavad nõuded ja tingimused olema selged ja kättesaadavad kogu aeg, kui kasutaja rakendust sirvib.
Kasutajad peavad enne rakendusele juurdepääsu lubamist tingimustega nõustuma. See kehtib eriti siis, kui üldtingimusi on muudetud. On ütlematagi selge, et tingimused on saadaval kõigile arusaadavas keeles.
Andmete jagamine teiste osapooltega
Kui teie organisatsioon jagab isikuandmeid teiste osapooltega, peaks see olema kirjas üldtingimustes. See võib toimuda sidusettevõtete, valitsusasutuste või kolmandate osapoolte pistikprogrammide kaudu.
Kui teie rakendust häkitakse, määrake selged juhised
Programmi üks olulisemaid aspekte euroopa õigus on see, et kasutajaid tuleks teavitada, kui rakendust on häkitud. Organisatsioonid peaksid kehtestama selged juhised ülesande ja organisatsiooni astutavate sammude kirjeldamiseks. Pidage meeles, et kasutajat teavitatakse õigeaegselt.
Kustutage teenuse peatanud kasutajate andmed
Paljud veebirakendused ei ütle selgelt, mis juhtub isikliku teabega, kui konto kustutatakse või keegi tühistab. Uue seadusandlusega peavad ettevõtted kustutama kõik isikuandmed. Tuleb mõista, et keegi võib teenuse kasutamise lõpetada ja seejärel tema teave kustutatakse. Organisatsioonid, mis käsitlevad kustutatud kontot passiivsena, võivad olla seadusega vastuolus.
Kõrvaldage haavatavused
Üks suurimaid privaatsusriske tekib seetõttu, et rakendus on haavatav. See on alati risk, kui süsteem käsitleb tundlikku kasutajateavet. Rakendus, mida ei ole välja töötatud riskide õigeaegseks tuvastamiseks, on tõenäolisem, et häkitakse. Veenduge, et teie organisatsioonil oleks programm küberriskide tuvastamiseks ja turvatestide läbiviimiseks.