Bendrasis duomenų apsaugos reglamentas, geriau žinomas trumpiniu BDAR (angl. k. GDPR) – dokumentas, kuriuo siekiama užtikrinti tinkamą ES piliečių asmens duomenų saugumą. Šiuolaikinis internetinis verslas čia gali rasti savo atsakomybes, o vartotojas – sužinoti savo teises, susijusias su saugiu asmens duomenų rinkimu, saugojimu ir perdavimu. Būtent to siekiama dokumento teisinėmis nuostatomis – visaverčio informacijos, kuri leidžia identifikuoti vartotojus, apsaugojimo virtualioje erdvėje. Jei turite interneto svetainę, kurioje pirkėjai su jumis pasidalina bet kokiais asmens duomenis, norėdami, pavyzdžiui, įsigyti prekes ar gauti naujienlaiškį, jums būtina susipažinti su BDAR. Toliau – kelios įžvalgos, susijusios su IT saugumu ir kertinėmis nuostatomis, kurias savo interneto svetainėje turėtų pritaikyti kiekvienas atsakingas verslas.

IT saugumas: serveris, turinio valdymas, programos

Atitiktis BDAR – įsipareigojimas visaverčiai apsaugoti vartotojo patikėtus duomenis ir imtis visų žingsnių, kad jie išliktų saugūs visos šių kelionės virtualioje erdvėje metu. Nors apie Reglamentą daug kalba teisininkai, reikėtų konsultuotis ne tik su jais, bet ir su IT ekspertais. Jie atitikties klausimu tikrai turės nemažai darbo. Akivaizdu, kad be techniškai „tvarkingos“ interneto svetainės ir saugios IT aplinkos, užtikrinti kokybišką duomenų saugą – sudėtinga.

Ką reiškia saugus e. projektas ir solidus šio IT techninis pamatas? Keli esminiai momentai, kuriuos labai svarbu įvertinti:

⦁ saugus ir galingas serveris;
⦁ įdiegtos antivirusinės programos, įskiepiai;
⦁ tvarkinga, atnaujinta turinio valdymo sistema;
⦁ naudojamos tik Reglamento reikalavimus atitinkančios programos ir įskiepiai;
⦁ kuriamos atsarginės kopijos.

Jei projektas yra vidutinis ar didesnis, dažniausiai šis reikalauja unikalių serverio konfigūracijų ir maksimalaus galingumo bei saugumo. Sumanus sprendimas – pavyzdžiui, Rackray dedikuotas serveris. Sakoma, kad šis serverio tipas yra vienas saugiausių pasirinkimų. Beje, su serverių nuomos ekspertais nepamirškite aptarti ir kopijų (angl. k. backup) kūrimo klausimų – kokios duomenų kopijos ir kas kiek laiko turėtų būti automatiškai sukuriamos.

Bendrojo duomenų apsaugos reglamento nuostatos – nuolat peržiūrimos ir naujinamos, papildomos. Natūralu, juk gyvename dinamiškoje aplinkoje, kur naujausios technologijos keičia internetinio verslo rinką, kūrėjų galimybes, taigi – ir duomenų rinkimo mastą, subtilybes. Jei savo programas, įskiepius ir, apskritai, visą turinio valdymo sistemą naujinote jau seniai, laikas kreiptis į IT kolegas ar įmones.

Unikali privatumo ir slapukų politika

Kai jau turėsite solidų IT saugumo pamatą, galite pereiti prie tolimesnių žingsnių – unikalios privatumo ir slapukų politikos bei tinkamo vartotojų informavimo. Priešingai nei gali pasirodyti, kiekvieno profesionalaus e. projekto privalumo politika – parengta individualiai, pagal verslo rinką, procesus, vykdymo subtilybes. Neieškokite šablonų – kartu su teisininkais bei IT komanda padirbėkite ties privatumo politika, kurioje pagal BDAR reikėtų nurodyti tokius aspektus kaip, pavyzdžiui: ką veikiate, kokius duomenis ir kodėl renkate, kokius įrankius tam naudojate, kam informacija dar pasiekiama, kaip suvaldytumėte duomenų nutekėjimo krizę ir t.t.

Nepamirškite informuoti lankytojų ir apie slapukus, daugeliui žinomus anglišku pavadinimu cookies. Pranešime reikėtų pateikti informaciją apie naudojamus slapukus ir renkamus duomenis bei privatumo politiką. Čia nepamirškite palikti sutikimo laukelių, kuriuos pažymėdamas lankytojas galėtų pasirinkti sutikti su visais slapukais, tik su jų dalimi arba su nė vienu iš jų.

Reikalingos užklausų formos ir prašymai

Galiausiai, svarbu pasirūpinti ir užklausų formomis, prašymais. Vienas svarbiausių momentų – vartotojo patvirtinimas, kad perskaitė ir sutinka su privatumo politika. Toks sutikimo laukelis turėtų atsidurti, pavyzdžiui, pildomos nario anketos arba duomenų apie pirkėją puslapio apačioje. Apie reikalingą vartotojo sutikimą informuojančiame tekste būtinai įterpkite ir nuorodą į pačią privatumo politiką.

Dar vienas svarbus niuansas – prašymas pilnai pašalinti surinktus asmens duomenis. BDAR nurodoma, kad duomenų subjektui paprašius, per tam tikrą laiką nuo gauto prašymo reikia pašalinti surinktus duomenis. Kitas variantas – galite suteikti vartotojui prieigą ir galimybę keisti arba pilnai ištrinti informaciją patiems.

Nesvarbu, interneto svetainėje fiksuojamas vardas ir pavardė ar renkama išsamesnė informacija: namų ar IP adresas, telefono numeris, e. paštas, gimimo data ir t. t. – kiekvieno svetainės lankytojo duomenys turi būti apsaugoti pagal teise apibrėžtas nuostatas. Tai tinkamai padaryti padės solidus IT pamatas (galingas ir saugus serveris, puikiai veikianti turinio valdymo sistema, atnaujintos programos ir kt.) ir pagal teisininkų įžvalgas parengta privatumo politika, būtinos sutikimo formos ir kitos užklausos. Beje, tai padės ne tik apsaugoti reiklų vartotoją, bet ir savo verslą – nuo reputacijos krizės, baudų.