การแนะนำของกฎหมายยุโรปเกี่ยวกับ ความเป็นส่วนตัวของข้อมูลออนไลน์ จะมีผลกระทบสำคัญต่อวิธีที่องค์กรปฏิบัติต่อข้อมูลส่วนบุคคลของผู้ใช้ในแง่ของเว็บไซต์และ แอพพลิเคชั่น ไม่ว่าจะเป็น Android หรือ IOS. กฎหมายฉบับใหม่นี้ทำให้เกิดคำถามสำหรับองค์กรที่จัดการข้อมูลส่วนบุคคลของชาวยุโรปเป็นประจำ
กฎหมายมีผลกระทบต่อแอปพลิเคชันเว็บออนไลน์และการดำเนินงานอย่างไร
โดยทั่วไปแล้ว กฎหมายฉบับนี้รับรองว่าบุคคลสามารถควบคุมข้อมูลของตนได้ ซึ่งหมายความว่าเมื่อองค์กรร้องขอข้อมูลส่วนบุคคลทางออนไลน์ องค์กรต้องแจ้งลูกค้าว่าเกิดอะไรขึ้นกับข้อมูลของพวกเขา
ประเด็นหลักของกฎหมายใหม่นี้มีดังต่อไปนี้:
- เข้าถึงข้อมูลของคุณเองได้ง่ายขึ้น. ผู้ใช้มีข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ข้อมูลของตน ข้อมูลนี้จะต้องเปิดเผยในลักษณะที่ชัดเจน
- ความสามารถในการย้ายข้อมูล. การถ่ายโอนข้อมูลส่วนบุคคลของคุณไปยังผู้ให้บริการรายอื่นน่าจะง่ายกว่า
- ตัวเลือกในการลบข้อมูลของคุณ. หากคุณไม่ต้องการใช้ข้อมูลของคุณอีกต่อไปและมีเหตุผลที่ถูกต้อง คุณต้องลบข้อมูลส่วนบุคคลของคุณ
- รู้ว่าข้อมูลของคุณถูกแฮ็กเมื่อใด. ทันทีที่องค์กรถูกแฮ็ก คุณต้องแจ้งผู้มีอำนาจที่เหมาะสมของกิจกรรมนี้โดยเร็วที่สุด ด้วยวิธีนี้ผู้ใช้สามารถทำการวัดได้
ดังนั้นคุณจะใช้งานแอปพลิเคชันที่สอดคล้องได้อย่างไร? GDPR และให้ผู้ใช้ควบคุมข้อมูลส่วนบุคคลของพวกเขา? ต่อไปนี้คือเคล็ดลับหลายประการในการใช้งาน
เคล็ดลับสำหรับการพัฒนาแอปที่สอดคล้องกับ GDPR
ตรวจสอบว่าแอปต้องการข้อมูลส่วนบุคคลทั้งหมดที่ร้องขอหรือไม่
การใช้งานความเป็นส่วนตัวในอุดมคติสำหรับ ปฏิบัติตาม GDPR คือการรวบรวมข้อมูลส่วนบุคคลให้น้อยที่สุด ด้วยข้อมูลส่วนบุคคลที่คุณนึกถึง: ชื่อ วันเดือนปีเกิด สถานที่พำนัก ฯลฯ แน่นอนว่าสิ่งนี้ไม่สามารถทำได้ในทุกสถานการณ์ เนื่องจากบางครั้งข้อมูลนี้จำเป็น เป็นสิ่งสำคัญในทุกสถานการณ์ที่ผู้บริหารและนักพัฒนากำหนดว่าข้อมูลใดที่จำเป็นที่สุดในการรวบรวม
เข้ารหัสข้อมูลส่วนบุคคลทั้งหมด
หากแอปพลิเคชันจำเป็นต้องจัดเก็บข้อมูลส่วนบุคคลที่ละเอียดอ่อน การเข้ารหัสข้อมูลนี้อย่างเหมาะสมโดยใช้อัลกอริธึมการเข้ารหัสที่รัดกุม รวมถึงการแฮชเป็นสิ่งสำคัญ ในกรณีของการละเมิดข้อมูล Ashley Madison ข้อมูลทั้งหมดจะแสดงเป็นข้อความธรรมดา
สิ่งนี้มีผลกระทบที่สำคัญสำหรับผู้ใช้ ต้องระบุอย่างชัดเจนว่าข้อมูลส่วนบุคคลทั้งหมดได้รับการเข้ารหัส ดังนั้นจึงไม่สามารถใช้ข้อมูลนี้ในกรณีที่เว็บแอปพลิเคชันถูกแฮ็ก รวมถึงข้อมูลเกี่ยวกับ: ที่อยู่ หมายเลขโทรศัพท์ และที่อยู่อาศัย
คิดว่า OAUTH ในการถ่ายโอนข้อมูล
ด้วย OAuth ผู้ใช้สามารถสร้างบัญชีได้ง่ายๆ โดยใช้บัญชีอื่น โปรโตคอลเหล่านี้ให้การลงชื่อเพียงครั้งเดียวและไม่ได้ช่วยรวบรวมข้อมูลมากเกินความจำเป็น
ใช้การสื่อสารที่ปลอดภัยผ่าน HTTPS
หลายองค์กรไม่ได้ใช้ HTTPS สำหรับเว็บไซต์ของตนเพราะเชื่อว่าไม่จำเป็น ตัวอย่างเช่น หากแอปพลิเคชันไม่ต้องการการตรวจสอบสิทธิ์ใดๆ HTTPS อาจดูเหมือนไม่จำเป็น อย่างไรก็ตาม มันง่ายที่จะพลาดอะไรบางอย่าง แอปพลิเคชั่นบางตัวรวบรวมข้อมูลส่วนบุคคลผ่านแบบฟอร์ม "ติดต่อเรา"
หากข้อมูลนี้ถูกส่งเป็นข้อความที่ชัดเจน ข้อมูลนั้นจะปรากฏบนอินเทอร์เน็ต นอกจากนี้คุณควรตรวจสอบให้แน่ใจว่า ใบรับรอง SSL ใช้อย่างถูกต้องและไม่ไวต่ออันตรายที่เกี่ยวข้องกับโปรโตคอล SSL
แจ้งให้ผู้ใช้ทราบว่าคุณจัดการกับข้อมูล “ติดต่อเรา” อย่างไร
แอพไม่เพียงแค่รวบรวมข้อมูลผ่านการตรวจสอบสิทธิ์หรือการสมัครรับข้อมูล ข้อมูลจะถูกรวบรวมผ่านแบบฟอร์มการติดต่อ โดยปกติแล้วจะเป็นข้อมูลส่วนบุคคล เช่น หมายเลขโทรศัพท์ สถานที่พำนัก และที่อยู่อีเมล โดยจะแจ้งให้ผู้ใช้ทราบว่าข้อมูลนี้จัดเก็บไว้นานแค่ไหนและอย่างไร ขอแนะนำอย่างยิ่งให้ใช้การรักษาความปลอดภัยที่ดีในการจัดเก็บข้อมูลนี้
ตรวจสอบให้แน่ใจว่าเซสชันและคุกกี้หมดอายุ
ไปยัง ปฏิบัติตาม GDPRผู้ใช้จะต้องทราบว่าแอปพลิเคชันใช้คุกกี้อย่างไร ผู้ใช้ต้องได้รับแจ้งว่าแอปพลิเคชันใช้คุกกี้และเสนอตัวเลือกในการปฏิเสธคุกกี้ ตรวจสอบให้แน่ใจว่าคุกกี้ถูกลบอย่างถูกต้องหากมีคนออกจากระบบหรือไม่ได้ใช้งานอีกต่อไป
อย่าติดตามผู้ใช้สำหรับข่าวกรองธุรกิจ
แอปอีคอมเมิร์ซจำนวนมากติดตามผู้ใช้เพื่อดูว่าพวกเขากำลังมองหาอะไรโดยใช้ผลการค้นหาและผลิตภัณฑ์ที่พวกเขาซื้อ บริษัทต่างๆ เช่น Netflix และ Amazon มักใช้ข้อมูลนี้เพื่อแสดงผลิตภัณฑ์ที่แนะนำ เนื่องจากข้อมูลนี้ถูกเก็บไว้เพื่อวัตถุประสงค์ทางการค้า ผู้ใช้จึงต้องมีตัวเลือกที่จะยอมรับหรือไม่
หากได้รับความยินยอมในการเก็บรักษาข้อมูลนี้ในภายหลัง ผู้ใช้ต้องได้รับแจ้งว่าข้อมูลนี้ถูกจัดเก็บอย่างไรและนานแค่ไหน แน่นอน ข้อมูลส่วนบุคคลทั้งหมดต้องได้รับการเข้ารหัส
แจ้งผู้ใช้เกี่ยวกับบันทึก
แอปพลิเคชั่นจำนวนมากใช้ตำแหน่งหรือที่อยู่ IP เพื่ออนุญาตการเข้าสู่ระบบ ข้อมูลนี้จะถูกเก็บไว้ในกรณีที่มีคนพยายามเลี่ยงการตรวจสอบสิทธิ์นี้ แจ้งให้ผู้ใช้ทราบว่าข้อมูลนี้จะถูกเก็บไว้และนานเท่าใด อย่าจัดเก็บข้อมูลที่ละเอียดอ่อนในบันทึกเหมือนกับรหัสผ่าน
คำถามเพื่อความปลอดภัย
แอปพลิเคชั่นจำนวนมากใช้คำถามเพื่อความปลอดภัยเพื่อยืนยันตัวตนของผู้ใช้ พยายามตรวจสอบให้แน่ใจว่าข้อมูลนี้ไม่มีข้อมูลส่วนบุคคลใด ๆ เช่นชื่อมารดาของผู้ใช้และไม่ใช่สีโปรด พยายามใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเมื่อใดก็ตามที่เป็นไปได้ หากไม่สามารถทำได้ ให้ผู้ใช้ถามคำถามของตนเองและเตือนว่ามีข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลต้องได้รับการเข้ารหัส
ทำข้อกำหนดและเงื่อนไขให้ชัดเจน
อย่าพยายามซ่อนข้อกำหนดและเงื่อนไขของคุณ เพื่อให้เป็นไปตาม GDPR ภายใต้กฎหมายว่าด้วยความเป็นส่วนตัวของสหภาพยุโรปฉบับใหม่ ข้อกำหนดและเงื่อนไขจะต้องอยู่ในหน้า Landing Page นอกจากนี้ข้อกำหนดและเงื่อนไขจะต้องชัดเจนและสามารถเข้าถึงได้ตลอดเวลาเมื่อผู้ใช้เรียกดูแอปพลิเคชัน
ผู้ใช้ต้องยอมรับข้อกำหนดและเงื่อนไขก่อนจึงจะสามารถเข้าถึงแอปได้ โดยเฉพาะอย่างยิ่งเมื่อมีการเปลี่ยนแปลงข้อกำหนดและเงื่อนไขทั่วไป เป็นไปตามข้อกำหนดและเงื่อนไขในภาษาที่ทุกคนสามารถเข้าใจได้
การแบ่งปันข้อมูลกับบุคคลอื่น
หากองค์กรของคุณแบ่งปันข้อมูลส่วนบุคคลกับบุคคลอื่น ข้อมูลนี้ควรระบุไว้ในข้อกำหนดและเงื่อนไขทั่วไป ซึ่งอาจดำเนินการผ่านบริษัทในเครือ หน่วยงานของรัฐ หรือปลั๊กอินของบุคคลที่สาม
กำหนดแนวทางที่ชัดเจนหากแอปของคุณถูกแฮ็ก
สิ่งที่สำคัญที่สุดอย่างหนึ่งของ กฎหมายยุโรป คือผู้ใช้ควรได้รับการแจ้งเตือนหากแอปถูกแฮ็ก องค์กรควรกำหนดแนวทางที่ชัดเจนเพื่ออธิบายงานและขั้นตอนที่องค์กรจะดำเนินการ โปรดทราบว่าผู้ใช้จะได้รับแจ้งในเวลาที่เหมาะสม
ลบข้อมูลผู้ใช้ที่หยุดบริการ
เว็บแอปพลิเคชันจำนวนมากไม่ได้ระบุอย่างชัดเจนว่าจะเกิดอะไรขึ้นกับข้อมูลส่วนบุคคลเมื่อบัญชีถูกลบหรือมีคนยกเลิก ด้วยกฎหมายใหม่ บริษัทต่างๆ จะต้องลบข้อมูลส่วนบุคคลทั้งหมด ควรเข้าใจว่ามีคนสามารถหยุดใช้บริการได้ จากนั้นข้อมูลของพวกเขาจะถูกลบ องค์กรที่ปฏิบัติต่อบัญชีที่ถูกลบเนื่องจากไม่ได้ใช้งานอาจผิดกฎหมาย
ขจัดจุดอ่อน
หนึ่งในความเสี่ยงด้านความเป็นส่วนตัวที่ใหญ่ที่สุดเกิดขึ้นเนื่องจากแอปมีความเสี่ยง นี่เป็นความเสี่ยงเสมอเมื่อระบบจัดการข้อมูลผู้ใช้ที่มีความละเอียดอ่อน แอปพลิเคชันที่ไม่ได้รับการพัฒนาให้ตรวจจับความเสี่ยงได้ทันท่วงทีมีแนวโน้มที่จะถูกแฮ็กมากกว่า ตรวจสอบให้แน่ใจว่าองค์กรของคุณมีโปรแกรมตรวจจับความเสี่ยงทางไซเบอร์และทำการทดสอบความปลอดภัย