نظرة تفصيلية حول اللائحة العامة لحماية البيانات: ما الذي يُعد "مصلحة مشروعة؟"

أنت تعرف ما يقولون - أعطهم إصبعًا ، وسيأخذون اليد.

امنحهم استثناءً مشروعًا بشأن المصلحة ، وسيقومون بإرسال بريد إلكتروني على LinkedIn بالكامل.

هناك ستة أسباب قانونية للائحة العامة لحماية البيانات (GDPR) لمعالجة البيانات الشخصية ، كما هو موضح في المادة 6. والمصالح المشروعة مُعد جيدًا ليكون الأكثر سوء استخدامًا. كل مسوق يريد تجنب الحصول على موافقة لمعالجة البيانات ، سيحاول استخدام المصلحة المشروعة كطريقة للالتفاف حول طلبها.

لكن كن حذرا ... حذر جدا. المصلحة المشروعة شرط أكثر صرامة مما يبدو عليه.

لذلك دعونا نتحدث عن المكان الذي يمكن تطبيقه فيه ، وكيف يمكننا فهم نواياه بشكل أفضل.

ستة أسباب قانونية لمعالجة البيانات الشخصية

يجب أن يكون لديك أساس قانوني صالح من أجل معالجة البيانات الشخصية وهناك ستة تعتبر الآن قانونية.

لا يوجد أساس واحد "أفضل" أو أكثر أهمية من الأسس الأخرى. وأي أساس هو الأنسب للاستخدام سيعتمد على الغرض الخاص بك ، والعلاقة مع الفرد.

هناك شيء واحد يجب ملاحظته: عليك تحديد الأساس القانوني الخاص بك قبل البدء في المعالجة. يجب أن تكون موثقة ومتاحة في حالة إجراء تدقيق محتمل. لن ينظر المسؤولون بلطف إلى أي تبديل في اللحظة الأخيرة.

يجب أن يتضمن إشعار الخصوصية الخاص بك أيضًا القاعدة القانونية للمعالجة وأغراض المعالجة الخاصة بك. إذا تغيرت أغراضك ، فقد تتمكن من متابعة المعالجة وفقًا للأساس القانوني الأصلي - بافتراض أن غرضك الجديد متوافق مع الأساس الأولي الخاص بك (هذا على افتراض أن الأساس القانوني الخاص بك لم يكن موافقتك). في كلتا الحالتين: يجب عليك التأكد من تحديث سياسة الخصوصية الخاصة بك.

لأغراض التبسيط ، لن تتعمق هذه المقالة في البيانات الخاصة - مثل جوازات السفر والبيانات البيومترية وما إلى ذلك.

سنحافظ على الأشياء ذات الصلة بالمسوقين: التحليلات ، وتوليد العملاء المحتملين ، ورسائل البريد الإلكتروني ، واختبار أ / ب.

إليك ما يمكنك استخدامه كأسباب قانونية:

1. موافقة
2. عقد
3. التزام قانوني
4. المصالح الحيوية
5. مهمة المصلحة العامة
6. المصالح المشروعة

10 ملخص ثاني:

1- تحتاج إلى الحصول على موافقة (خانة الاختيار هذه في النماذج الخاصة بك) ،
2- يجب أن يكون لديك عقد مع الفرد أو الشركة (حيث اتفق كلاكما على ضرورة معالجة البيانات الشخصية).
3-5. سنتركها لوقت آخر ، لأنها ليست مخصصة للمسوقين.
6. المصلحة المشروعة. هذا يبدو أسهل ، أليس كذلك؟ فقط تأكد من أن لديك سببًا جيدًا و "مشروعًا" لمعالجة البيانات الشخصية والانتهاء من ذلك. وداعا الموافقة؟

المصلحة المشروعة: ما هي؟

المصالح المشروعة هي أكثر الأسس القانونية مرونة للمعالجة ، لكن لا يمكنك افتراض أنها ستكون دائمًا الأكثر ملاءمة.

من المحتمل أن يكون الأمر أكثر ملاءمة عندما تستخدم بيانات الأشخاص بالطرق التي يتوقعونها بشكل معقول والتي يكون لها تأثير ضئيل على الخصوصية. أو حيث يوجد مبرر مقنع للمعالجة ، وهذا ما تقوله اللائحة العامة لحماية البيانات العامة 47 عن المصلحة المشروعة.

إذا اخترت الاعتماد على المصالح المشروعة ، فأنت تتحمل مسؤولية إضافية للنظر في حقوق الناس ومصالحهم وحمايتها .

لذلك إذا كان لديك نظام تكون متأكدًا من أنك تضمن خصوصية المستخدمين ، فهذا مؤشر قوي يمكنك استخدام المصلحة المشروعة.

هناك ثلاثة عناصر لأساس المصالح المشروعة. من المفيد التفكير في هذا على أنه اختبار من ثلاثة أجزاء. أنت بحاجه إلى:

1. تحديد مصلحة مشروعة ؛
2. تبين أن المعالجة ضرورية لتحقيق ذلك ؛ و
3. موازنة ذلك بمصالح الفرد وحقوقه وحرياته.

يمكن أن تكون المصالح المشروعة هي مصالحك الخاصة أو مصالح أطراف ثالثة. يمكن أن تشمل المصالح التجارية أو المصالح الفردية أو الفوائد المجتمعية الأوسع.

يجب أن تكون المعالجة ضرورية أيضًا. إذا كان بإمكانك تحقيق نفس النتيجة بشكل معقول بطريقة أخرى أقل تدخلاً - لم تعد المصالح المشروعة سارية ،

بالإضافة إلى ذلك ، عليك اتباع الخطوات التالية باستخدام المصلحة المشروعة:

• يجب أن توازن بين مصالحك ومصالح الفرد. إذا لم يتوقعوا بشكل معقول المعالجة ، أو إذا كانت ستسبب ضررًا غير مبرر ، فمن المحتمل أن تتجاوز مصالحهم مصالحك المشروعة.
• احتفظ بسجل لتقييم اهتماماتك المشروعة (LIA) لمساعدتك في إثبات الامتثال إذا لزم الأمر.
• يجب عليك تضمين تفاصيل عن اهتماماتك المشروعة في إشعار الخصوصية الخاص بك.

قائمة مراجعة سلطة خصوصية ICO (المملكة المتحدة) للمصلحة المشروعة

يحتوي موقع ICO على الويب (مكتب مفوض المعلومات) على قائمة مراجعة تهدف إلى مساعدتك في تحديد ما إذا كانت معالجة بياناتك مبررة بموجب المصالح المشروعة.

إذا كنت تتطلع إلى اللعب بأمان ، فتأكد من تأكيد ما يلي:

• لقد تحققنا من أن المصالح المشروعة هي الأساس الأنسب.
• نتفهم مسؤوليتنا تجاه حماية مصالح الأفراد.
• لقد أجرينا تقييمًا للمصالح المشروعة (LIA) واحتفظنا بسجل له ، لضمان قدرتنا على تبرير قرارنا.
• لقد حددنا المصالح المشروعة ذات الصلة.
• لقد تحققنا من أن المعالجة ضرورية ولا توجد طريقة أقل تدخلاً لتحقيق نفس النتيجة.
• لقد قمنا باختبار موازنة ، ونحن واثقون من أن مصالح الأفراد لا تتجاوز تلك المصالح المشروعة.
• نحن نستخدم بيانات الأفراد فقط بالطرق التي يتوقعونها بشكل معقول ، ما لم يكن لدينا سبب وجيه للغاية.
• نحن لا نستخدم بيانات الأشخاص بطرق يجدونها تطفلية أو قد تسبب لهم الأذى ، ما لم يكن لدينا سبب وجيه للغاية.
• إذا قمنا بمعالجة بيانات الأطفال ، فإننا نحرص أكثر للتأكد من أننا نحمي مصالحهم.
• لقد درسنا الضمانات للحد من التأثير حيثما أمكن ذلك.
• لقد درسنا ما إذا كان يمكننا تقديم إلغاء الاشتراك.
• إذا حدد LIA تأثيرًا كبيرًا على الخصوصية ، فقد درسنا ما إذا كنا بحاجة أيضًا إلى إجراء DPIA.
• نبقي هيئة الاستثمار الليبي قيد المراجعة ونكررها إذا تغيرت الظروف.
• نقوم بتضمين معلومات حول اهتماماتنا المشروعة في إشعار الخصوصية الخاص بنا.

استخدام المصلحة المشروعة في اختبار أ / ب

من الآن فصاعدًا ، سيكون القانون العام لحماية البيانات (GDPR) وتوجيه الخصوصية الإلكترونية بمثابة حجر الزاوية القانونيين لجهات التسويق الرقمية.

وكما توضح: عناوين IP وملفات تعريف الارتباط - تُعتبر هذه الأشياء الآن "بيانات شخصية".

وبغض النظر عن المصالح المشروعة: ستحتاج على الأرجح إلى الموافقة على ملفات تعريف الارتباط والمعرفات الأخرى باستخدام أدوات اختبار A / B الحالية.

إليكم السبب:

من الصعب جدًا أن يكون لديك حجة من أجل مصلحة مشروعة ومتوازنة إذا كنت تستخدم برنامجًا تابعًا لجهة خارجية لإثراء شرائحك أو تخزين كل خطوة من زوار موقعك على الويب. هذا النوع من التخزين هو ممارسة شائعة مع أدوات مثل Heap - أو أي برنامج مشابه له قدرات لاحقة للتجزئة أو التحليلات التنبؤية.

مع العديد من حلول اختبار A / B الرائدة ، يمكنك تخزين الكثير من البيانات حول المستخدم. ويمكنك استخدام هذه البيانات بعد ذلك ، كيفما تشاء ، دون إعلام المستخدم بهذه العملية.

العودة إلى قائمة التحقق ...

هل المستخدمون الذين يدخلون موقع الويب الخاص بك "يتوقعون بشكل معقول" أنك ستستخدم بياناتهم للتنبؤ بأنماط الشراء الخاصة بهم؟

هل "حاجتك المشروعة" لتخزين فائض من بياناتهم ، تأكد من تجاوز الاعتراضات التي قد تضطر إلى استخدامها؟

من المحتمل أن يتطلب هذا النوع من جمع البيانات موافقة محددة. مما يعني أنه لا يجب عليك تحميل ملفات تعريف الارتباط أو التجارب بدون اشتراك محدد.

اختبار A / B ، ناقص تخزين البيانات الشخصية

منذ تمرير القانون العام لحماية البيانات (GDPR) ، قمنا بإعادة تصميم تجارب التحويل. ونحن نواصل العمل على ذلك ، لذا فنحن جاهزون بنسبة 100٪ قبل 25 مايو 2018.

هذا يعني أنه عند استخدام التحويل في الإعدادات الافتراضية - فسوف يتوافق مع القانون العام لحماية البيانات (GDPR) دون الحاجة إلى الحصول على موافقة (انظر خريطة الطريق الخاصة بنا هنا).

لا يتم تخزين معرّفات ملفات تعريف الارتباط ولا معرّفات فريدة ولا عناوين IP. حقًا يتم تجريد كل شيء ، قدر الإمكان ، بحيث لا يتم تخزين أو استخدام أي بيانات شخصية.

هذا يعني ، ليست هناك حاجة إلى موافقة.

ما قد يكون مطلوبًا ، هو إبلاغ زوار الموقع بالطريقة التي تتعامل بها مع اختبار أ / ب.

ربما ، لكي تكون في الجانب الأكثر أمانًا ، يجب على المستخدمين تضمين الاهتمام المشروع في سياسات الخصوصية الخاصة بهم - للإشارة إلى أن ملف تعريف الارتباط هذا الموضوع لبرنامج اختبار A / B لا يخزن البيانات الشخصية. ولذكر الفائدة الاستراتيجية بالنسبة لك ، كشركة ، فإنه يجعل من الضروري وضع ملف تعريف ارتباط التحليلات هذا ، لتحسين أداء عملك.

ليتم تلخيصه:

الموافقة والمصلحة المشروعة هي على الأرجح القواعد الشرعية الأكثر استخدامًا للمسوقين الرقميين.

لا شك أن الموافقة هي الطريقة الأكثر أمانًا لتجنب أي إجراءات قانونية ضد شركتك.

يجب استخدام المصلحة المشروعة فقط في الحالة النادرة التي تجد فيها نفسك في مواجهة الحائط ، وحيث تكون متأكدًا من عدم وجود بيانات شخصية مخزنة ومعالجة أو وجود القليل منها للغاية.

تأكد من أنه واضح بنسبة 100٪ سبب اعتقادك أن المصلحة المشروعة قابلة للتطبيق ، وقم بتخزين ذلك في حالة إجراء تدقيق.

لأنه معقد ، لكنه ليس علم الصواريخ. إذا بدا الأمر متسترًا ، فاطلب الموافقة. إذا كانت المعالجة غير ضارة حقًا ، فقدم حجة قوية للحد الأدنى من التأثير على عملائك وزوار موقعك على الويب.

وتذكر: ما زال اللائحة العامة لحماية البيانات (GDPR) على بعد أشهر فقط. ابق على اطلاع ، وتحدث إلى البائعين لديك ، واستعد لمشهد معالجة بيانات أكثر شفافية.