Europos teisės aktų įvedimas dėl duomenų privatumas internete turės svarbių pasekmių tam, kaip organizacijos elgiasi su savo vartotojų asmens duomenimis interneto svetainėse ir „Android“ ar „iOS“ programos. Šis naujas įstatymas kelia klausimų organizacijoms, kurios reguliariai tvarko Europos gyventojų asmens duomenis.
Kokią įtaką teisės aktai turi internetinėms žiniatinklio programoms ir operacijoms?
Apskritai šis įstatymas užtikrina, kad asmuo galėtų kontroliuoti savo duomenis. Tai reiškia, kad kai organizacija prašo asmeninės informacijos internete, ji turi pasakyti klientui, kas atsitiks su jo duomenimis.
Pagrindiniai šio naujojo įstatymo aspektai yra šie:
- Lengvesnė prieiga prie savo duomenų. Vartotojas turi daugiau informacijos apie tai, kaip naudojami jo duomenys. Ši informacija turi būti pateikta aiškiai.
- Galimybė perkelti duomenis. Turėtų būti lengviau perkelti savo asmens duomenis kitam paslaugų teikėjui.
- Galimybė ištrinti savo duomenis. Jei nebenorite, kad jūsų duomenys būtų naudojami ir tam yra rimta priežastis, turite ištrinti savo asmens duomenis.
- Žinokite, kada į jūsų duomenis buvo įsilaužta. Kai į organizaciją buvo įsilaužta, turite kuo greičiau informuoti atitinkamą instituciją apie šį įvykį. Tokiu būdu vartotojai gali atlikti matavimus.
Taigi, kaip įdiegti suderinamą programą? GDPR ir suteikia vartotojui galimybę valdyti savo asmeninius duomenis? Štai keletas patarimų, kaip jį pritaikyti.
Patarimai, kaip kurti su GDPR suderinamas programas
Nustatykite, ar programai reikia visų asmeninių duomenų, kurių ji prašo
Idealus privatumo įgyvendinimas atitikti GDPR yra rinkti kuo mažiau asmens duomenų. Su asmens duomenimis galite galvoti: vardą, pavardę, gimimo datą, gyvenamąją vietą ir kt. Žinoma, tai įmanoma ne visose situacijose, nes kartais ši informacija yra būtina. Bet kokioje situacijoje svarbu, kad vadovybė ir kūrėjai nustatytų, kokią informaciją reikia rinkti.
Užšifruoti visą asmeninę informaciją
Jei programai reikia saugoti neskelbtiną asmeninę informaciją, svarbu tinkamai užšifruoti šiuos duomenis naudojant stiprius šifravimo algoritmus, įskaitant maišą. Ashley Madison duomenų pažeidimo atveju visa informacija buvo pateikta paprastu tekstu.
Tai turėjo svarbių pasekmių jos vartotojams. Turi būti aiškiai nurodyta, kad visi asmeniniai duomenys yra užšifruoti, todėl šie duomenys negali būti naudojami, jei į žiniatinklio programą būtų įsilaužta. Tai taip pat apima: adresą, telefono numerius ir gyvenamąją vietą.
Pagalvokite apie OAUTH, kad perkeltumėte duomenis
Naudodami OAuth, vartotojai gali susikurti paskyrą tiesiog naudodami kitą paskyrą. Šie protokolai suteikia vienkartinį prisijungimą ir nepadeda surinkti daugiau informacijos nei reikia.
Naudokite saugų ryšį per HTTPS
Daugelis organizacijų nenaudoja HTTPS savo svetainėse, nes mano, kad tai nėra būtina. Pavyzdžiui, jei programai nereikia jokio tipo autentifikavimo, HTTPS gali atrodyti nereikalingas. Tačiau lengva ką nors praleisti. Kai kurios programos renka asmeninę informaciją naudodami formą „Susisiekite su mumis“.
Jei ši informacija siunčiama aiškiu tekstu, ji bus matoma internete. Be to, turėtumėte tuo įsitikinti SSL sertifikatai yra taikomi teisingai ir nėra jautrūs pavojams, susijusiems su SSL protokolais.
Praneškite vartotojams, kaip tvarkote „susisiekite su mumis“ informaciją
Programos ne tik renka informaciją per autentifikavimą ar prenumeratas. Duomenys taip pat renkami naudojant kontaktines formas. Paprastai tai yra asmeninė informacija, tokia kaip: telefono numeris, gyvenamoji vieta ir el. pašto adresas. Ji informuoja vartotojus, kiek laiko ir kaip šie duomenys saugomi. Labai rekomenduojama naudoti gerą šios informacijos saugojimo saugumą.
Įsitikinkite, kad seansai ir slapukai baigiasi
į atitikti GDPR, vartotojai turi žinoti, kaip programa naudoja slapukus. Vartotojas turi būti informuotas, kad programa naudoja slapukus, ir pasiūlyti galimybę atmesti slapukus. Įsitikinkite, kad slapukai yra tinkamai pašalinti, jei kas nors atsijungia arba nebėra aktyvus.
Nesekite vartotojų verslo žvalgybos tikslais
Daugelis el. prekybos programų stebi vartotojus, kad pamatytų, ko jie ieško naudodami paieškos rezultatus ir perkamus produktus. Tokios įmonės kaip „Netflix“ ir „Amazon“ dažnai naudoja šią informaciją, kad pateiktų siūlomus produktus. Kadangi ši informacija saugoma komerciniais tikslais, vartotojas turi turėti galimybę su ja sutikti ar ne.
Jei vėliau duodamas sutikimas šią informaciją saugoti, vartotojas turi būti informuotas, kaip ši informacija saugoma ir kiek laiko. Žinoma, visa asmeninė informacija turi būti užšifruota.
Informuokite vartotoją apie įrašus
Daugelis programų naudoja vietas arba IP adresus, kad suteiktų prieigos teisę. Ši informacija išsaugoma, jei kas nors bandytų apeiti šį autentifikavimą. Informuoja vartotojus, kad ši informacija bus saugoma ir kiek laiko. Nesaugokite slaptos informacijos žurnaluose, kaip ir slaptažodis.
Apsaugos klausimai
Daugelis programų naudoja saugos klausimus, kad patvirtintų vartotojo tapatybę. Pasistenkite įsitikinti, kad šioje informacijoje nėra jokių asmeninių duomenų, tokių kaip vartotojo motinos vardas ir net ne mėgstamiausia spalva. Kai tik įmanoma, pabandykite naudoti dviejų veiksnių autentifikavimą. Jei tai neįmanoma, leiskite vartotojui užduoti savo klausimus ir įspėkite, kad jame yra asmeninės informacijos. Asmeninė informacija turi būti saugoma užšifruota.
Pateikite aiškias sąlygas
Nemėginkite slėpti savo sąlygų. Kad būtų laikomasi GDPR pagal naujus ES privatumo teisės aktus, taisyklės ir sąlygos turi būti pateiktos nukreipimo puslapyje. Be to, taisyklės ir sąlygos turi būti aiškios ir prieinamos visą laiką, kai vartotojas naršo programą.
Naudotojai turi sutikti su taisyklėmis ir sąlygomis, kad galėtų pasiekti programą. Tai ypač aktualu, kai buvo pakeistos bendrosios sąlygos. Savaime suprantama, kad sąlygos pateikiamos visiems suprantama kalba.
Dalijimasis duomenimis su kitomis šalimis
Jei jūsų organizacija dalijasi asmens duomenimis su kitomis šalimis, tai turėtų būti nurodyta bendrosiose sąlygose. Tai gali būti atliekama per filialus, vyriausybines agentūras arba trečiųjų šalių papildinius.
Jei į programą buvo įsilaužta, nustatykite aiškias gaires
Vienas iš svarbiausių Europos teisė yra tai, kad naudotojai turėtų būti įspėti, jei į programą buvo įsilaužta. Organizacijos turėtų nustatyti aiškias gaires, kad apibūdintų užduotį ir veiksmus, kurių organizacija imsis. Nepamirškite, kad vartotojas apie tai informuojamas laiku.
Ištrinkite naudotojų, kurie sustabdo paslaugą, duomenis
Daugelis žiniatinklio programų aiškiai nenurodo, kas nutinka asmeninei informacijai, kai paskyra ištrinama arba kas nors atšaukia paskyrą. Pagal naujus teisės aktus įmonės privalo ištrinti visą asmeninę informaciją. Reikėtų suprasti, kad kažkas gali nustoti naudotis paslauga ir tada jo informacija bus ištrinta. Organizacijos, kurios ištrintą paskyrą laiko neaktyvia, gali pažeisti įstatymus.
Pašalinkite pažeidžiamumą
Viena didžiausių pavojų privatumui kyla dėl to, kad programa yra pažeidžiama. Tai visada yra rizika, kai sistema tvarko slaptą vartotojo informaciją. Labiau tikėtina, kad programa, kuri nebuvo sukurta, kad laiku aptiktų riziką, bus įsilaužta. Įsitikinkite, kad jūsų organizacija turi programą, leidžiančią aptikti kibernetinę riziką ir atlikti saugumo testus.