Состояние GDPR в 2021 году: ключевые обновления и их значение

Опубликовано: 2022-03-10
Краткое резюме ↬ Как специалисты по цифровым технологиям, GDPR повлиял на все аспекты нашей профессиональной и личной жизни. Если вы зависимы от Instagram, отправляете сообщения своей семье в WhatsApp, покупаете товары на Etsy или пользуетесь информацией Google, никто не избежал правил, введенных в 2018 году.

Директивы ЕС повлияли практически на каждого специалиста в области цифровых технологий, поскольку продукты и услуги разрабатываются с учетом GDPR, независимо от того, являетесь ли вы компанией веб-дизайна в Висконсине или маркетологом на Мальте. Далеко идущие последствия GDPR влияют не только на то, как должны обрабатываться данные, как должны создаваться продукты и как безопасно передавать данные внутри организаций и между ними. Он определяет международные соглашения о передаче данных, такие как соглашение между Европой и Америкой.

Кевин Келли, один из самых ярких цифровых футуристов в мире, утверждает, что «Технологии — такая же великая сила, как и природа». Под этим он подразумевает, что пользовательские данные и информационные технологии являются причиной одного из самых глубоких периодов в истории человечества с момента изобретения языка. Просто посмотрите, что происходит, когда правительства и технологические транснациональные корпорации борются за контроль над Интернетом.

Только на прошлой неделе, когда правительство Австралии приняло меры, чтобы заставить владельцев платформ платить издателям за контент, которым они делятся на их платформе, Facebook решил заблокировать новости для австралийских пользователей, что вызвало бурю возмущения со стороны правительства Австралии.

И это в дополнение к предыдущим противоречиям (организация беспорядков в Капитолии США, скандал с Cambridge Analytica) на перекрестке, где встречаются правительство и технологии.

В этой статье мы рассмотрим, как изменился GDPR с 2018 года. Мы рассмотрим некоторые обновления из ЕС, некоторые ключевые события и возможные пути развития GDPR. Мы рассмотрим, что это значит для нас как дизайнеров и разработчиков. И мы посмотрим, что это означает для компаний как внутри, так и за пределами ЕС.

В следующей статье мы сосредоточимся на согласии на использование файлов cookie и парадоксе, когда маркетологи сильно зависят от данных файлов cookie Google Analytics, но должны соблюдать правила. А затем мы углубимся в собственное отслеживание рекламы, когда начнем отходить от сторонних файлов cookie.

  • Часть 1: GDPR, ключевые обновления и их значение
  • Часть 2. Согласие на использование файлов cookie для дизайнеров и разработчиков

Краткий обзор GDPR

Начнем с того, что напомним себе, что такое GDPR. GDPR стал законом в ЕС 25 мая 2018 года. Он основан на 7 ключевых принципах:

  1. Законность, справедливость и прозрачность
    Вы должны обрабатывать данные, чтобы люди понимали, что, как и почему вы обрабатываете их данные.
  2. Ограничение цели
    Вы должны собирать данные только для четких, определенных и законных целей. Затем вы не сможете обрабатывать его способами, несовместимыми с вашими первоначальными целями.
  3. Минимизация данных
    Вы должны собирать только те данные, которые вам нужны.
  4. Точность
    Ваши данные должны быть точными и постоянно обновляться. Неточные данные следует удалить или исправить.
  5. Ограничение хранения
    Если данные могут быть связаны с отдельными лицами, вы можете хранить их только до тех пор, пока это необходимо для достижения указанных вами целей. (Предупреждения для использования в научных, статистических или исторических исследованиях.)
  6. Целостность и конфиденциальность (т.е. безопасность)
    Вы должны убедиться, что хранящиеся у вас личные данные обрабатываются безопасно. Вы должны защищать ее от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения.
  7. Подотчетность
    Теперь вы несете ответственность за хранящиеся у вас данные и должны быть в состоянии продемонстрировать свое соответствие GDPR.
Диаграмма, показывающая семь принципов GDPR: законность, целостность, ограничения хранения и цели, минимизация и точность данных, а также подотчетность — в сочетании с прозрачностью, конфиденциальностью и контролем
Принципы GDPR основаны на прозрачности, конфиденциальности и контроле пользователей. (Изображение предоставлено Cyber-Duck) (Большой превью)

Некоторые определения

  • СЕС
    Суд Европейского Союза. Решения этого суда разъясняют законы ЕС, такие как GDPR.
  • DPA
    Национальные органы по защите данных. В каждой стране ЕС есть такие. Эти органы обеспечивают соблюдение GDPR и налагают штрафы на национальном уровне. Эквивалентом в Великобритании является Управление комиссара по информации (ICO). В Соединенных Штатах конфиденциальность данных в стиле GDPR в значительной степени регулируется законодательством каждого штата.
  • Европейская комиссия
    Исполнительная власть Европейского Союза (по сути, государственная служба ЕС). Европейская комиссия разрабатывает законопроекты, в том числе GDPR.
  • GDPR
    Общий регламент по защите данных 2018 года.

Ключевые обновления из ЕС

GDPR не стоял на месте с мая 2018 года. Вот краткий обзор того, что произошло с момента его вступления в силу.

Как ЕС и его государства-члены внедрили GDPR?

Европейская комиссия сообщает, что GDPR почти полностью внедрен в ЕС, хотя некоторые страны — например, Словения — затянули с этим. Однако глубина реализации варьируется. ЕС также заявляет, что его страны-члены, по его мнению, справедливо используют свои новые полномочия.

Тем не менее, он также выразил обеспокоенность тем, что некоторые расхождения и фрагментация нарастают. GDPR может эффективно работать на едином рынке ЕС только в том случае, если государства-члены выровнены . Если законы расходятся, это мутит воду.

Как ЕС хочет, чтобы GDPR развивался?

Мы знаем, что ЕС хочет, чтобы людям было проще пользоваться своими правами в соответствии с GDPR. Это означает трансграничное сотрудничество и коллективные иски . Он хочет видеть переносимость данных для потребителей, помимо банковского дела и телекоммуникаций.

Он также хочет облегчить малым и средним предприятиям ( МСП ) соблюдение GDPR. Скорее всего, это будет в форме дополнительной поддержки и инструментов, таких как более стандартные договорные положения — по сути, шаблонные юридические формулировки, которые МСП могут копировать / вставлять в контракты — поскольку ЕС не стремится нарушать правила для них.

Большое событие № 1: Неожиданно широкое определение «совместного контролера»

Итак, вот первое большое изменение с тех пор, как GDPR стал законом. В двух тестовых делах, связанных с Facebook, Суд Европейского Союза дал гораздо более широкое толкование понятия «совместный контролер», чем ожидалось.

Ситуация с совместным контролером возникает, когда два или более контролера несут ответственность за соблюдение условий GDPR. (Вот хорошее объяснение от ICO по совместным контроллерам.) По сути:

  • Когда вы обрабатываете данные клиентов, вы решаете вместе с другими совместными контролерами, кто будет управлять каждым шагом, чтобы вы соответствовали GDPR.
  • Однако вы все несете полную ответственность за обеспечение соответствия всего процесса . Каждый из вас несет полную ответственность перед органом по защите данных в стране, рассматривающим любые жалобы.
  • Физическое лицо может подать жалобу на всех без исключения совместных контролеров.
  • Вы все несете ответственность за любой причиненный ущерб, если только вы не докажете, что не имеете никакого отношения к событию, вызвавшему ущерб.
  • Физическое лицо может потребовать компенсацию от любого совместного управляющего. Возможно, вы сможете потребовать часть этой компенсации от своих коллег-контролеров.

В первом случае с Facebook СЕС подтвердил, что компания, которая вела фан-страницу Facebook, считалась совместным контролером наряду с Facebook. Во втором случае СЕС также подтвердил, что компания, разместившая кнопку Facebook Like на своем веб-сайте, имеет статус совместного контролера с социальной сетью.

Эти случаи вызвали шок в сообществе по вопросам конфиденциальности, поскольку, по сути, они возлагают на социальных издателей, операторов веб-сайтов и модераторов фан-страниц ответственность за пользовательские данные наряду с такими платформами, как Facebook.

Однако СЕС также пояснил, что совместная ответственность не означает равной ответственности . В обоих случаях ответственность в первую очередь лежала на Facebook — только Facebook имел доступ к данным и только Facebook мог их удалить. Таким образом, влияние этого решения может быть менее серьезным, чем кажется на первый взгляд, но оно по-прежнему имеет решающее значение.

Возможно, именно поэтому некоторые сайты, например веб-сайт, посвященный председательству Германии в ЕС в 2020 году, по умолчанию блокируют встроенный социальный контент, пока вы специально не согласитесь:

Скриншот eu2020.de, показывающий, что контент социальных сетей заблокирован до тех пор, пока не будет включено стороннее отслеживание.
Некоторые сайты начинают блокировать появление встроенных социальных каналов на своих сайтах по умолчанию, предлагая пользователям возможность подписаться на отслеживание. (Большой превью)

Большое событие № 2: Прощай, защита конфиденциальности, привет, CPRA

Второе большое изменение было более предсказуемым: Privacy Shield , механизм, облегчавший американским компаниям обработку данных европейских клиентов, был отменен судами.

Вот почему.

ЕС хочет защитить личные данные своих граждан. Однако он также хочет поощрять международную торговлю, а также трансграничное сотрудничество в таких областях, как безопасность.

ЕС считает себя — совершенно справедливо — пионером в области защиты данных. Таким образом, он использует свою политическую силу, чтобы побудить страны, которые хотят торговать с блоком, соблюдать его стандарты конфиденциальности данных.

Войдите в Соединенные Штаты. Европейская и американская философии в отношении конфиденциальности данных диаметрально противоположны . (По сути, европейская точка зрения состоит в том, что личные данные являются конфиденциальными, если вы не дадите явного разрешения. Американская точка зрения состоит в том, что ваши данные являются общедоступными, если вы прямо не потребуете, чтобы они оставались конфиденциальными.) Но как два крупнейших потребительских рынка в мире, они должны торговля. Поэтому ЕС и США разработали Privacy Shield.

Privacy Shield был разработан, чтобы позволить американским компаниям обрабатывать данные граждан ЕС, если эти компании подписались на его более высокие стандарты конфиденциальности.

Но в соответствии с законодательством США правительство США все еще может отслеживать эти данные. Это было оспорено в деле, возбужденном австрийским защитником конфиденциальности Максом Шремсом. СЕС встал на его сторону: программа Privacy Shield была отменена, а 5300 американских МСП, использовавших программу Privacy Shield, не получили иного выбора, кроме как принять предписанные ЕС стандартные договорные положения.

Очевидно, что замена Privacy Shield отвечает интересам всех — и так оно и будет. Но эксперты говорят, что его замена, вероятно, со временем снова будет отменена, потому что европейский и американский подходы к конфиденциальности по сути несовместимы.

Между тем, в Калифорнии в ноябре 2020 года был усилен Калифорнийский закон о конфиденциальности потребителей (CCPA), вдохновленный GDPR 2018 года, когда был принят Калифорнийский закон о правах на конфиденциальность (CPRA).

Калифорнийский закон о конфиденциальности потребителей (CCPA)

Закон CCPA, вступивший в силу в январе 2020 года, дает гражданам Калифорнии право отказаться от продажи своих данных . Они также могут запросить раскрытие любых данных, которые были собраны, и они могут попросить удалить эти данные. В отличие от GDPR, CCPA применяется только к коммерческим компаниям:

  • Кто обрабатывает данные более 50 000 жителей Калифорнии в год, ИЛИ
  • Кто генерирует валовой доход более 25 миллионов долларов в год, ИЛИ
  • Которые получают более половины своего годового дохода от продажи личных данных жителей Калифорнии.

Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA)

CPRA, вступающий в силу в январе 2023 года, выходит за рамки CCPA . Его ключевые моменты включают в себя:

  • Это поднимает планку для компаний, которые обрабатывают данные 100 000 жителей Калифорнии в год.
  • Это обеспечивает дополнительную защиту конфиденциальных данных калифорнийцев , таких как их раса, религия, сексуальная ориентация, а также данные о здоровье и государственном удостоверении личности.
  • Втрое увеличены штрафы за утечку данных несовершеннолетних
  • Это дает калифорнийцам право запрашивать исправление своих данных.
  • Он обязывает компании помогать в расследованиях CPRA
  • И он учреждает Калифорнийское агентство по защите конфиденциальности для обеспечения соблюдения CPRA.
Графика, резюмирующая CPRA
Калифорния ужесточает свое законодательство о конфиденциальности с помощью CPRA, которое выйдет в 2023 году. (Большой предварительный просмотр)

Дальнейшее продвижение законов о конфиденциальности происходит в других штатах, и вместе они могут усилить потребность в федеральных мерах по обеспечению конфиденциальности при новой администрации Байдена.

Большое событие № 3: согласие на использование файлов cookie

В мае 2020 года ЕС обновил свое руководство GDPR, чтобы прояснить несколько моментов, в том числе два ключевых момента для согласия на использование файлов cookie:

  • Стены файлов cookie не предлагают пользователям реального выбора, потому что, если вы отклоните файлы cookie, вам будет заблокирован доступ к контенту. Это подтверждает, что cookie-стены не следует использовать.
  • Прокрутка или пролистывание веб-контента не приравнивается к подразумеваемому согласию . ЕС повторяет, что согласие должно быть явным.

Я буду углубляться в это во второй статье на следующей неделе.

Уведомление о файлах cookie Cyber-Duck с включенным по умолчанию отслеживанием рекламы
ЕС обновил свое руководство по согласию на использование файлов cookie. (Большой превью)

Большое событие № 4: Google и Apple начинают отказываться от стороннего отслеживания

По мере того, как крупные цифровые игроки выясняют, как соответствовать GDPR и как использовать законодательство о конфиденциальности в своих интересах, некоторые из них уже подверглись критике.

И Google, и Apple столкнулись с антимонопольными исками после жалоб от рекламных компаний и издателей.

В обоих случаях истцы говорят, что крупные технологические компании используют свое доминирующее положение на рынке.

Опять же, об этом в следующий раз.

Еще после прыжка! Продолжить чтение ниже ↓

Большое событие № 5: грядут большие штрафы GDPR

Конечно, многие организации поспешили соблюдать GDPR, опасаясь штрафов, которые могут применить регулирующие органы. Эти штрафы начали накапливаться:

Французский регулятор данных наложил на Google штраф в размере 50 миллионов евро за «отсутствие прозрачности, неадекватную информацию и отсутствие действительного согласия в отношении персонализации рекламы», заявив, что пользователи «недостаточно информированы» о том, как и почему Google собирает их данные.

Его британский эквивалент, ICO, оштрафовал американский гостиничный конгломерат Marriott International Inc. на 18,4 млн фунтов стерлингов за неспособность обеспечить безопасность 339 миллионов записей о гостях. Кибератака 2014 года на Starwood Hotels and Resorts Worldwide, Inc., которую Marriott приобрела в 2016 году, не была обнаружена до 2018 года.

Британское ICO также оштрафовало British Airways на рекордные 20 миллионов фунтов стерлингов за утечку данных 400 000 личных данных клиентов и данных кредитных карт в 2018 году.

Тогда есть мой личный фаворит, шокирующее злоупотребление доверием сотрудников со стороны H&M, которое привело к штрафу в размере 35 миллионов евро.

Так вот где мы находимся сегодня.

Что это значит для тебя?

Как дизайнеры и разработчики, GDPR оказывает и будет оказывать большое влияние на продукты, которые мы проектируем и создаем, а также на то, как мы проектируем данные.

Вот что мы, дизайнеры, должны знать

  • GDPR имеет решающее значение для вас, потому что вы будете проектировать точки, в которых пользователи делятся своими данными , какие данные собираются и как они обрабатываются.
  • Следуйте передовым методам обеспечения конфиденциальности благодаря дизайну. Не пытайтесь заново изобретать велосипед — если вы создали совместимый баннер с файлами cookie, используйте проверенный шаблон проектирования.
  • Работайте со своими командами по соблюдению требований и по разработке, чтобы убедиться, что проекты соответствуют GDPR и могут быть реализованы. Запрашивайте только те данные, которые вам нужны.
  • Наконец, спросите своих пользователей, какими данными им удобно делиться и как они хотели бы, чтобы вы их использовали. Если они посчитают это жутким, пересмотрите свой подход.

Вот что мы, как разработчики, должны знать

  • GDPR имеет решающее значение для вас, потому что вы обеспечиваете обработку данных , совместное использование и интеграцию.
  • В соответствии с общим правилом GDPR следует использовать подход, основанный на необходимости доступа . Начните с реализации всего без доступа, а затем предоставьте своей команде доступ к данным только тогда, когда это необходимо (например, предоставьте разработчикам доступ к консоли Google Analytics). Аудит и документирование по ходу дела.
  • Соблюдайте конфиденциальность по дизайну и безопасность по принципам дизайна. Надежные и безопасные шаблоны для реализации инфраструктуры имеют ключевое значение.
  • Убедитесь, что вы заранее вовлечены в технические аспекты, например, согласие на использование файлов cookie / отслеживание разговоров, чтобы то, что было решено, могло быть реализовано.
  • Картирование процессов показывает, где данные передаются различным частям бизнеса.
  • Автоматизация обеспечивает безопасную обработку данных, исключающую человеческие ошибки. Это также помогает предотвратить доступ к данным неправильных людей.
  • Контрольные списки GDPR и, конечно же, рабочие книги помогут вам управлять процессом. Опять же, проверяйте и документируйте по ходу дела.

Теперь давайте посмотрим, как GDPR будет развиваться в ближайшем будущем. Мы сосредоточимся на трех областях.

Три области, в которых GDPR быстро развивается

1. Как ЕС внедряет GDPR

Во-первых, давайте посмотрим, как GDPR будет в дальнейшем внедряться в законодательную базу.

ЕС хочет, чтобы его государства-члены были согласованы , потому что это облегчит трансграничные иски и международное сотрудничество. Таким образом, он подтвердил, что страны не должны ни отклоняться от GDPR, ни нарушать его. Некоторые государства-члены, как я уже сказал, на словах поддерживают это положение. Другие хотят превзойти стандарты GDPR.

В обмен на их согласование ЕС будет обеспечивать соблюдение требований , работать над созданием коллективных исков и более дешевыми трансграничными исками, а также продвигать конфиденциальность и единые стандарты за пределами ЕС. В дополнение к дополнительной поддержке и инструментам для малого и среднего бизнеса мы также можем увидеть сертификацию безопасности и защиты данных по дизайну.

Наконец, это может вызвать недоумение в Силиконовой долине: ЕС намекнул, что может рассмотреть вопрос о запрете обработки данных для поощрения соблюдения . Штрафы в размере 50 миллионов евро — не конец света для Google и его друзей. Но тайм-аут на непослушный шаг — и в результате плохой пиар — это совсем другое.

2. Как GDPR работает с инновациями

GDPR был разработан, чтобы быть технологически нейтральным и поддерживать, а не препятствовать инновациям. Это, безусловно, было проверено за последние 12 месяцев, и ЕС указывает на быстрое развертывание приложений COVID-19 как на доказательство того, что его законодательство работает.

Мы можем ожидать появления кодексов поведения для конфиденциальных категорий данных (здравоохранение и научные исследования). Это будет приветствоваться.

Однако они внимательно следят за новаторами. ЕС выразил озабоченность по поводу конфиденциальности данных в видео, устройствах IoT и блокчейне. Они особенно обеспокоены распознаванием лиц (и, предположительно, голоса) и разработками в области искусственного интеллекта.

В частности, Комиссия глубоко обеспокоена тем, что она называет «многонациональными технологическими компаниями», «крупными цифровыми платформами» и «онлайн-рекламой и микротаргетингом». Да, он снова смотрит на вас, Facebook, Amazon, Google и друзей.

3. Как ЕС продвигает стандарты GDPR за пределами ЕС

Наша цифровая экономика носит глобальный характер, поэтому влияние GDPR распространяется за пределы ЕС — и не только с точки зрения соблюдения. ЕС устанавливает планку для законодательства о защите данных во всем мире. Помимо CCPA в Калифорнии, см. LGPD в Бразилии, а также разработки в Канаде, Австралии, Индии и ряде американских штатов.

Конечно, в интересах ЕС, если другие страны и торговые блоки будут соответствовать их стандартам. Таким образом, он продвигает GDPR несколькими способами :

  • Через «взаимные решения об адекватности» с Японией и вскоре с Южной Кореей
  • Включено в двусторонние торговые соглашения, например, с Новой Зеландией, Австралией, Великобританией
  • Через такие форумы, как ОЭСР, АСЕАН, G7 и G20
  • Через свою Академию защиты данных для ЕС и международных регуляторов

Он особенно заинтересован в расширении возможностей инноваций с помощью надежных потоков данных и обеспечении международного сотрудничества между правоохранительными органами и частными операторами.

ЕС лидирует в мире по защите данных. Куда он пойдет, за ним последуют и другие. Поэтому, даже если вы проектируете/разрабатываете не для аудитории из ЕС, вам нужно быть в курсе того, что происходит.

Что все это означает для компаний в ЕС?

Компании, работающие в ЕС , должны соблюдать GDPR , иначе они рискуют быть оштрафованными. Эти штрафы могут быть довольно большими, как мы видели. Таким образом, вы должны быть в состоянии продемонстрировать, что вы соблюдаете 7 принципов GDPR и конкретные указания вашего национального органа по защите данных.

Однако это не так просто, как кажется, и в некоторых случаях вы можете оценить свой риск. В следующий раз я расскажу вам об этом на примере.

Что это означает для компаний, базирующихся за пределами ЕС?

Последствия для компаний, базирующихся за пределами ЕС, точно такие же, как и для стран ЕС , если они обрабатывают персональные данные из ЕС. Это связано с тем, что GDPR применяется к персональным данным людей, проживающих в ЕС. Если вы хотите обработать его, например, продать клиентам в ЕС, вы должны соблюдать правила. В противном случае вы рискуете быть оштрафованным, как Facebook и Google.

Вот как это обеспечивается : если у вас есть присутствие в ЕС, как это делают многие транснациональные корпорации, и вы не платите штраф в соответствии с GDPR, ваши активы в ЕС могут быть конфискованы. Если у вас нет присутствия, вы обязаны в соответствии с GDPR назначить представителя в ЕС. Любые штрафы будут взиматься через этого представителя. Кроме того, вы можете столкнуться со сложным и дорогостоящим международным судебным процессом .

И вот где это становится сложным для всех:

Если ваша клиентская база включает жителей ЕС и граждан других мест с законами о конфиденциальности, таких как штат Калифорния, вы должны соблюдать как Закон штата Калифорния о конфиденциальности потребителей (CCPA), так и GDPR. Эти пакеты законов в целом совпадают, но не совпадают.

Возьмем, к примеру, печенье. В соответствии с GDPR вы должны получить активное согласие пользователя, прежде чем размещать файлы cookie на его устройстве, за исключением тех, которые строго необходимы для работы вашего сайта.

Однако в соответствии с CCPA вы должны раскрыть, какие данные вы собираете, и дать возможность вашему клиенту отказать вам в разрешении на продажу его данных. Но они не должны активно соглашаться, что вы можете их забрать.

Вот почему ЕС настаивает на международных стандартах, чтобы упростить глобальное соответствие.

NB . Если вы находитесь в Соединенных Штатах и ​​с нетерпением ждете замены Privacy Shield, вы можете вместо этого взять листок из книги Microsoft — они и другие заявили, что будут соблюдать GDPR, а не зависеть от каких-либо двусторонних механизмов для включения обработка данных.

Какие уроки могут извлечь веб-дизайнеры и разработчики из GDPR?

Регулирование конфиденциальности никуда не денется, и оно влияет на все наши приоритеты и рабочие процессы. Вот шесть уроков, которые следует помнить при работе с данными о клиентах:

  1. Нам пришлось бежать, чтобы соответствовать GDPR. Теперь это марафон.
    Мы знаем, что GDPR будет продолжать развиваться вместе с технологиями, которые он призван регулировать. Это означает, что требования к нам не останутся прежними. Не только это, но и GDPR вдохновил на создание аналогичных, но не идентичных законов во всем мире. Эти юридические требования будут продолжать развиваться.
  2. Соответствие создает конкурентное преимущество.
    В то время как первые крупные штрафы GDPR были ошеломляющими, на самом деле именно негативная огласка, по мнению многих, наносит наибольший ущерб. Кому выгодна крупная утечка данных? Конкуренты компании. С другой стороны, если вы внедрите соответствие GDPR по мере укрепления процессов проектирования и разработки, вы сможете лучше адаптироваться по мере развития нормативных требований.
  3. Соответствие GDPR и лучшие результаты COVID-19 связаны с дизайном, ориентированным на пользователя.
    Мы знаем, что компании, которые начали свою цифровую трансформацию, смогли лучше адаптироваться к кризису COVID-19. Дизайн, ориентированный на пользователя, также поддерживает GDPR. Он имеет процесс и ориентированность на клиента, необходимые для создания продуктов, которые соответствуют идее о том, что данные клиентов ценны и должны быть защищены. Это облегчит разработку ваших продуктов в соответствии с будущим законодательством.
  4. Вы можете встроить соответствие в свои цифровые продукты.
    Конфиденциальность по дизайну здесь, чтобы остаться. Если вы уже используете сервис-дизайн, вы можете включить информацию о клиентах в качестве уровня данных в свои схемы сервисов. Если нет, сейчас самое время начать. Картирование мест сбора, обработки и хранения данных выявляет слабые места, где могут произойти потенциальные нарушения. Автоматизированные инструменты соответствия помогут снизить нагрузку на компании, а также могут сделать обработку данных более безопасной.
  5. GDPR поддерживает инновации — если вы делаете это правильно.
    Некоторые предупреждают, что GDPR душит инновации, ограничивая потоки данных и особенно удерживая компании от инноваций с данными. Другие указывают на возможности внедрения инноваций с помощью блокчейна, Интернета вещей и искусственного интеллекта таким образом, чтобы обеспечить безопасность и защиту данных. Правда? Да, конечно, вы можете внедрять инновации и соблюдать GDPR. Но этика в ИИ жизненно важна: вы должны уважать своих клиентов и их данные.
  6. Следите за своими сторонними партнерами.
    Это восходит к решению совместных контролеров, изложенному выше. Компании теперь разделяют ответственность за данные клиентов с любыми третьими сторонами, которые их обрабатывают, и эта обработка должна быть задокументирована. Вы можете ожидать, что сторонние проверки, мониторинг и договорные обязательства теперь станут приоритетом для компаний.

Вот как может развиваться GDPR

Фу. Это многое нужно принять. Но, забегая вперед, я держу пари, что мы увидим изменения.

  1. GDPR будет продолжать развиваться , и ясность будет получена благодаря тестовым примерам и, возможно, дальнейшему законодательству, включая Регламент электронной конфиденциальности.
  2. ЕС будет продолжать содействовать международному принятию закона о конфиденциальности данных. Мы увидим, как все больше стран используют защиту данных, часто включенную в соглашения о торговле и безопасности.
  3. Если нам повезет, мы можем начать наблюдать международную конвергенцию законодательства о конфиденциальности данных , особенно если США реализуют конфиденциальность данных на федеральном уровне.
  4. Но мы также увидим больше столкновений между ЕС и США из-за их противоположных подходов к конфиденциальности.
  5. Поскольку «данные — это новая нефть», мы можем наблюдать больше ситуаций, когда пользователи получают бесплатные продукты и услуги, передавая данные через файлы cookie.
  6. Компании перейдут от сторонних файлов cookie к отслеживанию и автоматизации на стороне сервера, чтобы соответствовать требованиям.
  7. Предприятия будут внедрять Privacy by Design (PdB) и инструменты и процессы проектирования услуг, чтобы помочь им соблюдать несколько наборов законов о конфиденциальности.
  8. И, наконец, — и это определенно — мы увидим все больше и больше крупных исков о конфиденциальности . Кто станет победителем — крупные технологические компании или защитники конфиденциальности? Этого я не знаю, но в одном мы можем быть уверены: юристы по вопросам конфиденциальности заработают много денег.

Последнее слово о доверии

Темой, лежащей в основе сообщений Европейской комиссии и комментариев отраслевых экспертов, является доверие . Цифровым агентствам, таким как наше, теперь необходимо предоставить доказательства безопасности данных и соответствия GDPR — вплоть до политики обучения персонала для защиты данных. Это новое. Приоритетом ЕС является поддержка безопасных и надежных потоков данных и инноваций как внутри ЕС, так и за его пределами. Соблюдение стандартов является их решением для этого. И мы, дизайнеры и разработчики, должны сыграть решающую роль.

  • Часть 1: GDPR, ключевые обновления и их значение
  • Часть 2. Согласие на использование файлов cookie для дизайнеров и разработчиков

Дальнейшее чтение

  • Защита данных, сайт ЕС
  • Руководство UK ICO по файлам cookie
  • Отслеживание соблюдения GDPR, регистрирует штрафы, примененные в соответствии с GDPR
  • Контрольный список GDPR от Cyber-Duck (отличное место для начала)
  • Обзор закона о защите данных в США, подготовленный ICLG.
  • Руководство по сравнению GDPR и CCPA от DataGuidance and the Future of Privacy Forum
  • CCPA против CPRA, от IAPP
  • Безопасность по дизайну (Amazon)
  • Как защитить своих пользователей с помощью Privacy By Design Framework, Хизер Бернс, Smashing Magazine