Wprowadzenie ustawodawstwa europejskiego w sprawie prywatność danych w Internecie będą miały istotne konsekwencje w sposobie, w jaki organizacje traktują dane osobowe swoich użytkowników w zakresie stron internetowych oraz aplikacje, zarówno na Androida, jak i iOS. Ta nowa ustawa stawia pytania organizacjom, które regularnie przetwarzają dane osobowe mieszkańców Europy.
Jaki wpływ ma prawodawstwo na aplikacje internetowe i operacje internetowe?
Ogólnie rzecz biorąc, prawo to zapewnia, że dana osoba ma kontrolę nad swoimi danymi. Oznacza to, że gdy organizacja żąda danych osobowych online, musi poinformować klienta, co dzieje się z jego danymi.
Główne aspekty tego nowego prawodawstwa są następujące:
- Łatwiejszy dostęp do własnych danych. Użytkownik ma więcej informacji o tym, jak wykorzystywane są jego dane. Informacje te muszą być udostępniane w jasny sposób.
- Możliwość przenoszenia danych. Przeniesienie danych osobowych do innego usługodawcy powinno być łatwiejsze.
- Możliwość usunięcia danych. Jeśli nie chcesz, aby Twoje dane były dłużej wykorzystywane i istnieje ku temu uzasadniony powód, musisz usunąć swoje dane osobowe.
- Dowiedz się, kiedy Twoje dane zostały zhakowane. W momencie zhakowania organizacji musisz jak najszybciej poinformować o tym zdarzeniu odpowiednie władze. W ten sposób użytkownicy mogą dokonywać pomiarów.
Jak więc zaimplementować zgodną aplikację? `RODO i daje użytkownikowi kontrolę nad swoimi danymi osobowymi? Oto kilka wskazówek, jak to zastosować.
Wskazówki dotyczące tworzenia aplikacji zgodnych z RODO
Sprawdź, czy aplikacja potrzebuje wszystkich żądanych danych osobowych
Idealna implementacja prywatności dla przestrzegać RODO jest zbieranie jak najmniejszej ilości danych osobowych. Z danymi osobowymi możesz pomyśleć: imię i nazwisko, data urodzenia, miejsce zamieszkania itp. To oczywiście nie jest możliwe we wszystkich sytuacjach, ponieważ ta informacja jest czasem potrzebna. W każdej sytuacji ważne jest, aby zarząd i programiści określili, jakie informacje są najbardziej potrzebne do zebrania.
Zaszyfruj wszystkie dane osobowe
Jeśli aplikacja musi przechowywać wrażliwe dane osobowe, ważne jest, aby odpowiednio zaszyfrować te dane przy użyciu silnych algorytmów szyfrowania, w tym haszowania. W przypadku naruszenia danych w Ashley Madison wszystkie informacje były dostępne w postaci zwykłego tekstu.
Miało to ważne konsekwencje dla jego użytkowników. Należy wyraźnie stwierdzić, że wszystkie dane osobowe są zaszyfrowane, więc dane te nie mogą zostać wykorzystane w przypadku zhakowania aplikacji internetowej. Obejmuje to również informacje o: adresie, numerach telefonów i miejscu zamieszkania.
Pomyśl OAUTH, aby przesłać dane
Dzięki OAuth użytkownicy mogą utworzyć konto po prostu przy użyciu innego konta. Protokoły te zapewniają jednokrotne logowanie i nie pomagają w zbieraniu większej ilości informacji niż to konieczne.
Korzystaj z bezpiecznej komunikacji przez HTTPS
Wiele organizacji nie używa HTTPS w swoich witrynach internetowych, ponieważ uważają, że nie jest to konieczne. Na przykład jeśli aplikacja nie wymaga żadnego typu uwierzytelniania, HTTPS może wydawać się niepotrzebny. Jednak łatwo coś przeoczyć. Niektóre aplikacje gromadzą dane osobowe za pośrednictwem formularza „Skontaktuj się z nami”.
Jeśli ta informacja zostanie przesłana w postaci zwykłego tekstu, będzie widoczna w Internecie. Powinieneś również upewnić się, że Certyfikaty SSL są stosowane prawidłowo i nie są podatne na zagrożenia związane z protokołami SSL.
Poinformuj użytkowników, jak radzisz sobie z informacjami „skontaktuj się z nami”
Aplikacje nie tylko zbierają informacje poprzez uwierzytelnianie lub subskrypcje. Dane zbierane są również za pośrednictwem formularzy kontaktowych. Są to zazwyczaj dane osobowe takie jak: numer telefonu, miejsce zamieszkania i adres e-mail. Informuje użytkowników, jak długo i jak te dane są przechowywane. Zdecydowanie zaleca się stosowanie dobrych zabezpieczeń do przechowywania tych informacji.
Upewnij się, że sesje i pliki cookie wygasają
do przestrzegać RODO, użytkownicy muszą być świadomi, w jaki sposób aplikacja wykorzystuje pliki cookie. Użytkownik musi zostać poinformowany, że aplikacja korzysta z plików cookie i oferuje opcję odrzucenia plików cookie. Upewnij się, że pliki cookie są prawidłowo usuwane, jeśli ktoś się wyloguje lub nie jest już aktywny.
Nie śledź użytkowników pod kątem analizy biznesowej
Wiele aplikacji eCommerce śledzi użytkowników, aby zobaczyć, czego szukają, korzystając z wyników wyszukiwania i kupowanych przez nich produktów. Firmy takie jak Netflix i Amazon często wykorzystują te informacje do wyświetlania sugerowanych produktów. Ponieważ informacje te są przechowywane w celach komercyjnych, użytkownik musi mieć możliwość ich zaakceptowania lub nie.
Jeśli następnie zostanie wyrażona zgoda na zachowanie tych informacji, użytkownik musi zostać poinformowany, w jaki sposób te informacje są przechowywane i jak długo. Oczywiście wszystkie dane osobowe muszą być zaszyfrowane.
Poinformuj użytkownika o zapisach
Wiele aplikacji używa lokalizacji lub adresów IP do autoryzacji logowania. Informacje te są przechowywane na wypadek, gdyby ktoś próbował ominąć to uwierzytelnienie. Powiadamia użytkowników, że te informacje będą przechowywane i jak długo. Nie przechowuj poufnych informacji w logach, podobnie jak hasło.
Pytania bezpieczeństwa
Wiele aplikacji używa pytań zabezpieczających w celu potwierdzenia tożsamości użytkownika. Postaraj się, aby ta informacja nie zawierała żadnych danych osobowych, takich jak imię matki użytkownika, a nawet ulubionego koloru. Jeśli to możliwe, staraj się używać uwierzytelniania dwuskładnikowego. Jeśli nie jest to możliwe, pozwól użytkownikowi zadawać własne pytania i ostrzegaj, że zawiera dane osobowe. Dane osobowe muszą być przechowywane w postaci zaszyfrowanej.
Stwórz jasne zasady i warunki
Nie próbuj ukrywać swoich warunków. Aby zachować zgodność z RODO zgodnie z nowymi przepisami UE dotyczącymi prywatności, warunki muszą być dostępne na stronie docelowej. Ponadto warunki muszą być jasne i dostępne przez cały czas, gdy użytkownik przegląda aplikację.
Użytkownicy muszą wyrazić zgodę na warunki, zanim będą mogli uzyskać dostęp do aplikacji. Dotyczy to w szczególności zmiany ogólnych warunków. Nie trzeba dodawać, że regulamin jest dostępny w języku zrozumiałym dla każdego.
Udostępnianie danych innym podmiotom
Jeśli Twoja organizacja udostępnia dane osobowe innym podmiotom, należy to określić w ogólnych warunkach. Może to odbywać się za pośrednictwem podmiotów stowarzyszonych, agencji rządowych lub wtyczek stron trzecich.
Ustaw jasne wytyczne, jeśli Twoja aplikacja została zhakowana
Jeden z najważniejszych aspektów prawo europejskie jest to, że użytkownicy powinni być powiadamiani, jeśli aplikacja została zhakowana. Organizacje powinny ustalić jasne wytyczne opisujące zadanie i kroki, które podejmie organizacja. Należy pamiętać, że użytkownik jest informowany w odpowiednim czasie.
Usuń dane użytkowników, którzy zatrzymali usługę
Wiele aplikacji internetowych nie określa jasno, co dzieje się z danymi osobowymi, gdy konto zostanie usunięte lub ktoś anuluje. Dzięki nowym przepisom firmy muszą usunąć wszystkie dane osobowe. Należy rozumieć, że ktoś może przestać korzystać z usługi, a wtedy jego informacje zostaną usunięte. Organizacje, które traktują usunięte konto jako nieaktywne, mogą być niezgodne z prawem.
Wyeliminuj luki
Jedno z największych zagrożeń prywatności powstaje, ponieważ aplikacja jest podatna na ataki. Jest to zawsze ryzyko, gdy system obsługuje poufne informacje o użytkowniku. Aplikacja, która nie została opracowana w celu wykrywania zagrożeń na czas, jest bardziej podatna na ataki hakerów. Upewnij się, że Twoja organizacja ma program do wykrywania zagrożeń cybernetycznych i przeprowadzania testów bezpieczeństwa.