Kas ir vispārīgā datu aizsardzības regula (GDPR)?
Vispārējā datu aizsardzības regula (GDPR) ir tiesiskais regulējums, kas nosaka vadlīnijas personas informācijas vākšanai un apstrādei no personām, kuras dzīvo Eiropas Savienībā (ES). Tā kā regulu piemēro neatkarīgi no vietņu bāzes, tā ir jāņem vērā visās vietnēs, kas piesaista apmeklētājus Eiropā, pat ja tās īpaši netirgo preces vai pakalpojumus ES iedzīvotājiem.
GDPR nosaka, ka ES apmeklētājiem ir jāsniedz virkne datu. Vietnei jāveic arī pasākumi, lai atvieglotu šādas ES patērētāju tiesības kā savlaicīgu paziņojumu par personas datu pārkāpumiem. Regula, kas pieņemta 2016. gada aprīlī, pilnībā stājās spēkā 2018. gada maijā pēc divu gadu pārejas perioda.
GDPR klientu apkalpošanas prasības
Saskaņā ar noteikumiem apmeklētāji ir jāinformē par datiem, kurus vietne vāc no viņiem, un viņiem ir skaidri jāpiekrīt šādai informācijas vākšanai, noklikšķinot uz pogas Piekrītu vai veicot citas darbības. (Šī prasība lielā mērā izskaidro visuresošās informācijas atklāšanu, ka vietnēs tiek apkopoti sīkfaili - mazi faili, kas satur personisku informāciju, piemēram, vietnes iestatījumus un preferences.)
Vietnēm arī savlaicīgi jāpaziņo apmeklētājiem, ja tiek pārkāpts kāds no viņu rīcībā esošajiem personas datiem. Šīs ES prasības var būt stingrākas nekā tās, kas noteiktas jurisdikcijā, kurā atrodas attiecīgā vieta.
Pilnvarots ir arī vietnes datu drošības novērtējums un tas, vai ir nepieciešams pieņemt darbā īpašu datu aizsardzības inspektoru (DPO), vai šo funkciju var veikt jau esošs personāls.
Informācijai par to, kā sazināties ar DAI un citiem attiecīgiem darbiniekiem, jābūt pieejamai, lai apmeklētāji varētu izmantot savas ES datu tiesības, kas cita starpā ietver arī iespēju izdzēst viņu klātbūtni vietnē. (Protams, vietnei ir jāpievieno arī personāls un citi resursi, lai spētu izpildīt šādus pieprasījumus.)
Citi Vispārīgās datu aizsardzības regulas (GDPR) citi noteikumi un pilnvaras
Kā papildu aizsardzība patērētājiem, GDPR prasa arī visu personiski identificējamo informāciju (PII), ko vietnes apkopo, vai nu anonīmu (padarītu anonīmu, kā to norāda termins), vai pseidonimizētu (patērētāja identitāti aizstājot ar pseidonīmu). Datu pseidonimizācija ļauj firmām veikt plašāku datu analīzi, piemēram, novērtēt savu klientu vidējos parāda procentus noteiktā reģionā - aprēķinu, kas citādi varētu pārsniegt datu, kas savākti aizdevuma kredītspējas novērtēšanai, sākotnējos mērķus.
GDPR ietekmē datus, kas pārsniedz datus, kas savākti no klientiem. Visbūtiskāk, iespējams, ka regula attiecas uz darbinieku personāla uzskaiti.
Ar GDPR saistītie strīdi
GDPR dažos ceturkšņos ir piesaistījusi kritiku. Daži apgalvo, ka prasība iecelt DAI vai vienkārši novērtēt vajadzību pēc tiem rada pārmērīgu administratīvo slogu dažiem uzņēmumiem. Daži arī sūdzas, ka vadlīnijas ir pārāk neskaidras, kā vislabāk rīkoties ar darbinieku datiem.
Turklāt datus nevar pārsūtīt uz citu valsti ārpus ES, ja vien saņēmējs uzņēmums negarantē tādu pašu aizsardzības pakāpi kā prasa ES. Tas ir izraisījis sūdzības par dārgiem uzņēmējdarbības prakses traucējumiem.
Pastāv arī papildu bažas, ka ar GDPR saistītās izmaksas laika gaitā palielināsies, daļēji tāpēc, ka pieaug nepieciešamība izglītot klientus un darbiniekus par datu aizsardzības draudiem un to novēršanu. Pastāv arī skepse par to, cik iespējams datu aizsardzības aģentūras visā ES un ārpus tās var saskaņot noteikumu izpildi un interpretāciju, un tādējādi nodrošināt līdzvērtīgus konkurences apstākļus, kad GDPR stājas spēkā pilnīgāk.
