تعرف على كيفية معالجة البيانات بموجب اللائحة العامة لحماية البيانات؟ ثم اجتياز هذا الاختبار السريع.

تخبرك بعض الاختبارات ما إذا كانت شخصيتك "ربيع" أم "خريف".

يخبرك البعض ما إذا كانت هيئة حماية البيانات لديها الحق القانوني في فرض غرامة على شركتك بملايين الدولارات أم لا.

خمن أي واحد هذا.

حان وقت اللعب ، هل هذا متوافق مع اللائحة العامة لحماية البيانات؟

1.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

2.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

3.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

4.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

5.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

6.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

7.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

8.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات

9.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

10.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

11.

1. هذا متوافق.
2. هذا غير متوافق.
3. حسنًا ... نحتاج إلى مزيد من المعلومات.

مفتاح الحل

1. ب
2. ب
3. ب
4. أ
5. ب
6. ب
7. أ
8. ب
9. أ
10. ج
11. ج

إذا حصلت على ... 11 من 11

تهاني! أنت نجم في اللائحة العامة لحماية البيانات ... أو شيء من هذا القبيل.

الألقاب والأوسمة والشارات ليست مهمة. لكن الامتثال للقانون العام لحماية البيانات (GDPR) إلى حد كبير.

ومن المؤكد أنك تعرف طريقك للتعامل مع البيانات الشخصية (ما لم تخمن) - سواء كان ذلك لملفات تعريف الارتباط أو رسائل البريد الإلكتروني أو البيانات الحساسة.

لذا ربّت على ظهرك. شارك حكمتك. جهز زملائك في العمل. وأعد قراءة التفسيرات أدناه ، إذا كان هناك أي شيء لست متأكدًا منه.

إذا حصلت على ... أي شيء أقل من 11 من 11.

ويلب. لقد حصلنا عليها. هذه الأشياء صعبة.

قد ترغب في مواصلة القراءة….

افتقد واحد؟ خمن عدة مرات؟ هل تحتاج إلى تذكير؟ هنا تفصيل سريع.

1. ب

مرحبًا ، انظر إلى هذا المثال الذي ربما شاهدته حول الإنترنت!

هؤلاء هم الأصدقاء المناسبون — لا تحدد مسبقًا مربعات الموافقة الخاصة بك. يجب على الناس إعطاء الموافقة بنشاط الآن.

"قصدت فقط النقر فوق الزر" التالي ". لم أر حتى مربع الاختيار هذا. الآن أنا في قائمة البريد الإلكتروني الخاصة بك؟ "- ليس شيئًا يجب أن يفكر فيه المستخدمون.

إليك ما تقوله اللائحة العامة لحماية البيانات (GDPR) بشأن معالجة الموافقة ، لجعلها رسمية:

تعني الموافقة على موضوع البيانات أي إشارة يتم تقديمها بحرية ومحددة ومستنيرة ولا لبس فيها لرغبات صاحب البيانات والتي تشير بموجبها ، من خلال بيان أو من خلال إجراء إيجابي واضح ، إلى الموافقة على معالجة البيانات الشخصية المتعلقة به أو لها - المادة 4

واضح ، إيجابي ، عمل. احتفظ بهذه الصناديق فارغة.

2. ب

كلا ، غير متوافق.

المفتاح هنا هو شيء يسمى "التجميع" - وهو أمر غير مسموح به بموجب القانون العام لحماية البيانات (GDPR). في ما يلي بعض الاقتباسات المختلفة التي تمنح هذا "لا".

"إذا تم منح موافقة صاحب البيانات في سياق إعلان مكتوب يتعلق أيضًا بمسائل أخرى ، يجب تقديم طلب الموافقة بطريقة يمكن تمييزها بوضوح عن الأمور الأخرى (...) " - المادة 7 (2)

"يجب أن تغطي الموافقة جميع أنشطة المعالجة المنفذة لنفس الغرض أو الأغراض. عندما يكون للمعالجة أغراض متعددة ، يجب إعطاء الموافقة عليها جميعًا "- ريسيتال 32

لذا ، حضور حدث؟ هذا واضح "غرض مختلف" من النشرة الإخبارية الشهرية. يجب طلب الموافقة بشكل منفصل.

3. ب

يبدو هذا مثل نموذج التقيد القياسي والمقنع لدينا. وهذه جميع أنواع عدم الامتثال.

أولاً ، يطلب جمع الكثير من المعلومات غير الضرورية للحصول على البيانات موضوعًا لهدفهم (المعروف أيضًا باسم: إرسال ملف PDF الذي قاموا بالتسجيل لتلقيه). يتعارض هذا مع متطلبات اللائحة العامة لحماية البيانات (GDPR) لتقليل البيانات ، أو "الخصوصية حسب التصميم". أفضل ممارسة هنا هي: إذا كنت تجمع المعلومات ، ولم يكن من الواضح سبب جمعها ، فيجب أن تجعل ذلك معروفًا للمستخدمين لديك.

يقدم Facebook مثالًا رائعًا على كيفية القيام بذلك بشكل صحيح:

بالإضافة إلى أن هذا المثال ، مرة أخرى ، يتم تجميعه.

إنه تجميع أقل فظاعة قليلاً من المثال السابق. هنا ، بالموافقة على استلام ملف PDF ، فإنك على الأقل تمنح الموافقة لتلقي المحتوى. الاشتراك في قائمة البريد الإلكتروني والتنزيل ، في هذا الصدد ، لهما "غرض" مماثل. لا يزال - بصيغته الحالية ، سيكون من الصعب عليك تأطيرها على أنها "نفس". لذا يجب إعطاء الموافقة بشكل منفصل.

4 ا

مهلا ، هذا جيد جدا!

يمكنك الآن تقديم حجة أنهم لا يحتاجون إلى جمع اسم شركة أو رقم هاتف هنا. لذلك ، للتكيف مع الخصوصية حسب التصميم ، يجب حذف هذه الحقول.

ولكن بالنظر إلى هدف المستخدم الخاص بك هنا هو اختبار تشغيل CRM ، كما تعلم ، إدارة علاقات العملاء لشركتهم - فمن المنطقي أن يرغب مكتب SuperOffice في معرفة من هي تلك الشركة.

لذلك سنمنحهم تمريرة.

تحقق أيضًا من مدى جمال هذه المربعات وتقسيمها وعدم تحديدها. إنهم يطالبون باختيار صريح لسياسة الخصوصية الخاصة بهم. لقد طلبوا موافقة منفصلة وفعالة.

عندما يتم إنشاء اللائحة العامة لحماية البيانات (GDPR) ، يجب أن يطير هذا.

5. ب

أنهم. كانوا كذلك. أغلق.

حتى خانة الاختيار الثانية وذكر أطراف ثالثة.

بموجب القانون العام لحماية البيانات (GDPR) ، يجب تسمية أي طرف ثالث تريد مشاركة بياناتك معه. "الأطراف الثالثة الموثوق بها" ليست واضحة بما يكفي. الفئات لا تعمل. إذا كان شخص ما سيختار الاستماع من أطراف ثالثة ، فعليه أن يعرف بالضبط من هم هؤلاء الأطراف.

6. ب

لذا ، فإن الخبر السار هو ... أنهم حصلوا على أطراف ثالثة بشكل صحيح.

لقد حصلوا على حق الموافقة المفككة.

لكن هذا اختيار عدم الاشتراك وليس اختيارًا.

سيتم الاتصال بك ما لم تحدد "لا".

هذا لا يبدو وكأنه موافقة إيجابية وفعالة بالنسبة لي.

7. أ

10/10.

خيار Woolworth NAILS الحبيبي.

إذا كنت تتساءل لماذا تحمست بشكل غير منطقي بشأن هذا المثال - فهذا شيء كثير من الأشكال تفسد.

الخطأ الشائع هو طلب الموافقة على إرسال المواد ، ولكن ننسى فصل "كيف".

لذا تذكير: إذا كنت ترغب في إرسال رسائل نصية ، فأنت بحاجة إلى موافقة محددة لإرسال الرسائل النصية. إذا كنت ترغب في إرسال رسائل بريد إلكتروني ، فأنت بحاجة إلى موافقة منفصلة ومحددة لإرسال رسائل البريد الإلكتروني.

تخبرك Woolworth أيضًا بنوع المواد التي ستحصل عليها منها بالضبط. هذه فكرة جيدة ، سواء للامتثال للائحة العامة لحماية البيانات أو لإقناع جمهورك بالتسجيل.

8. ب

لقد قضت لحظة صمت على الاشتراك الناعم ، لأن اللائحة العامة لحماية البيانات (GDPR) قد قضت عليه.

ملفات تعريف الارتباط ، ذات المعرفات الفريدة ، هي بيانات شخصية بموجب القانون العام لحماية البيانات (GDPR).

وكما تتذكر ، تتطلب البيانات الشخصية موافقة نشطة ، لا لبس فيها ، ومحددة.

هذا يعني أن كل هراء "باستخدام هذا الموقع أنت توافق" لم يعد قانونيًا. ولا يمكنك بدء تشغيل ملفات تعريف الارتباط حتى تحصل على موافقة بالإيجاب.

(هذا موضوع كبير ومعقد وفوضوي - يتعلق بتقاطع اللائحة العامة لحماية البيانات والخصوصية الإلكترونية. يمكنك قراءة المزيد عنه هنا).

9. أ

هذا يفعل كل شيء فعله رقم 8 بشكل خاطئ ، صحيح.

يخبرك بالضبط بما يتم استخدام ملفات تعريف الارتباط هذه. ثم يمنحك خيارًا واضحًا لقبولها أو رفضها.

وللحصول على ازدهار نهائي ، يتيح لك التوسع واختيار ملفات تعريف الارتباط التي تناسبك ، والتي لا توافق عليها.

إنه شيء جميل من وجهة نظر قانونية.

(على الرغم من ذلك ، من وجهة نظر تسويقية - لم تعط المستخدمين لديك سببًا كبيرًا للاشتراك أو رفضه. ربما يساعد في هذا المسعى شرح أفضل لفائدة ملفات تعريف الارتباط الخاصة بموقعك).

10. ج

لذا ، نوع من الأسئلة المخادعة.

كما ذكرنا ، إذا كنا نتحدث عن الموافقة المعتمدة من قِبل اللائحة العامة لحماية البيانات ، فهذا يفشل. المربعات المحددة مسبقًا هي "لا".

ولكن إذا سألنا أنفسنا "هل يحق لانكوم إرسال بريد إلكتروني إلى هذا الشخص؟" - لدينا بعض الأشياء الأخرى التي يجب تقييمها.

لأنه في حال لم يكن ذلك خادعًا بدرجة كافية ، فإن الموافقة ليست الطريقة الوحيدة لمعالجة البيانات الشخصية بشكل قانوني .

أدخل: شرط المصالح المشروعة.

لكن لا تتحمس. تعتبر معالجة البيانات بسبب "المصالح المشروعة" المتصورة أمرًا صعبًا.

هذا الشرط هو أكثر بالنسبة لحالات "كنت بحاجة إلى معالجة رقم حسابهم لأداء خدمات منع الاحتيال".

ليس "أعتقد بشكل شرعي أنهم مهتمون بذلك ... لقد أرسلت لهم مجموعة من رسائل البريد الإلكتروني بدون موافقة" حالات.

لكن أحد الأشياء التي يبدو أنها تمنح الأشخاص المضي قدمًا تتعلق ببيانات العملاء الحاليين.

هذا هو السطر في التشريع الذي يتحدثون عنه:

" يمكن أن توجد مثل هذه المصلحة المشروعة على سبيل المثال عندما تكون هناك علاقة ملائمة وذات صلة بين صاحب البيانات والمراقب في مواقف مثل عندما يكون موضوع البيانات عميلًا أو في خدمة المتحكم. "- ريسيتال 47

المفتاح هنا هو أن تسأل نفسك: "هل ، أثناء تنفيذ هذا الإجراء ، يقودني (موضوع البيانات) إلى توقع استخدام بياناتي بهذه الطريقة بشكل معقول؟"

لذا ، إذا اشتريت قميصًا - فهل أتوقع بشكل معقول أن أتلقى بريدًا إلكترونيًا يؤكد عملية الشراء؟ (بدون الموافقة الصريحة على تلقي رسائل البريد الإلكتروني؟).

نعم ، لديك حالة جيدة تنطبق المصلحة المشروعة هنا.

ماذا عن إشعار بأن هناك خصمًا كبيرًا الأسبوع المقبل على منتج مشابه؟

قضيتك أصبحت أرق قليلاً.

رسائل البريد الإلكتروني الأسبوعية؟

رقيقة بابيررر.

لنكون صادقين ، بعد تأكيدات طلبك القياسي ، لن نجازف بذلك. طلب الموافقة (بشكل صحيح!) هو الطريقة الأكثر أمانًا لضمان تغطية قواعدك.

ولكن إذا كنت تريد حقًا استخدام شرط المصلحة المشروعة لمعالجة البيانات الشخصية ، فنحن نطلب منك قراءة هذا أولاً.

11. ج

آخر تطور ممتع على هذا واحد.

تحدد اللائحة العامة لحماية البيانات (GDPR) فئة منفصلة من البيانات تسمى "البيانات الشخصية الحساسة". ومتطلبات المعالجة مختلفة لهذا النوع من المعلومات.

سأعترف لكم الآن ، هذا ليس أفضل مثال. لذلك كان سؤالًا قاسيًا نوعًا ما ، وهو نوع من المبالغة. (هناك نقاش معقد يحدث الآن حول النقطة التي يتم فيها احتساب وزن شخص ما على أنه بيانات صحية من وجهة نظر خصوصية البيانات ، إذا كنت مهتمًا).

في ما يلي الصياغة الدقيقة للبيانات التي تعتبر "حساسة" من المادة 9:

البيانات الشخصية الحساسة تعني البيانات الشخصية التي تتكون من معلومات لـ -

(أ) الأصل العرقي أو الإثني لصاحب البيانات ،

(ب) آرائه السياسية ،

(ج) معتقداته الدينية أو معتقداته الأخرى ذات الطبيعة المماثلة ،

(د) ما إذا كان عضوًا في نقابة عمالية (بالمعنى المقصود في قانون (توحيد) النقابات العمالية وعلاقات العمل لعام 1992) ،

(هـ) صحته أو حالته الجسدية أو العقلية ،

(و) حياته الجنسية ،

(ز) ارتكاب أي جريمة أو الادعاء بارتكابها ، أو

(ح) أي إجراءات تتعلق بأي جريمة ارتكبها أو يُزعم أنه ارتكبها ، أو التصرف في هذه الإجراءات أو الحكم الصادر عن أي محكمة في مثل هذه الإجراءات.

لنفترض أن هذا التطبيق يجمع ، بالتأكيد ، ما يعتبر بيانات حول موضوع "الصحة أو الحالة البدنية أو العقلية". يسأل عن الحالات الطبية السابقة ، ويسجل وزنك وضغط دمك أو أنماط نومك بمرور الوقت.

إذا كانت تجمع معلومات تعتبر بيانات شخصية حساسة ، فماذا بعد؟

إذا كانت البيانات الشخصية لهذا التطبيق غير حساسة ، فإن هذا يبدو وكأنه نموذج إدخال متوافق إلى حد كبير. يبدو أنه ينبغي أن تكون قضية مصالح مشروعة واضحة.

أنت تقوم بالتسجيل لاستخدام التطبيق. تريد استخدام التطبيق. أنت توافق على استخدام التطبيق.

ويتتبع التطبيق لياقتك.

بالطبع ، يبدو من المشروع بالنسبة لك أنهم يطلبون بيانات عن لياقتك. بالإضافة إلى وجود سياسة خصوصية وبيان شروط يمكن الوصول إليه إذا كنت تريد معرفة كيفية استخدام هذه البيانات.

ولكن هناك شروط معالجة إضافية يتعين علينا اتباعها ، إذا كانت هذه "بيانات شخصية حساسة".

1. لم تعد المصالح المشروعة تعتبر شرطًا للمعالجة.
2. إذا اخترت المعالجة بناءً على شرط الموافقة ، فلا يجب أن تكون "واضحة" بعد الآن - بل يجب أن تكون "صريحة".

هذا يعني أن مجرد النقر على زر "Sign Me Up" ليس جيدًا بما يكفي.

تقول اللائحة العامة لحماية البيانات (GDPR) أنك بحاجة إلى بيان "يحدد طبيعة البيانات التي يتم جمعها ، وتفاصيل القرار الآلي وتأثيراته ، أو تفاصيل البيانات المراد نقلها ومخاطر النقل" (التوجيه 95/46 / المفوضية الأوروبية ، المادة 29).

أو ، كما يكسرها ICO:

هذا يشير إلى أن موافقة الفرد يجب أن تكون واضحة تمامًا. يجب أن تغطي تفاصيل المعالجة المحددة ؛ نوع المعلومات (أو حتى المعلومات المحددة) ؛ أغراض المعالجة ؛ وأي جوانب خاصة قد تؤثر على الفرد ، مثل أي إفصاحات قد يتم إجراؤها.

وبعد ذلك ، بمجرد أن يعرف الناس كل شيء عن ذلك - عليك أن تطلب منهم إجراءً صريحًا. مثل وضع علامة في المربع الذي يقول "أوافق" أو "أوافق".

في الأساس: يجب أن يعرفوا كل ما تفعله بهذه البيانات. وعليهم أن يخبروك بوضوح أنهم موافقون على ذلك - من خلال العمل الإيجابي.

لذلك ، إذا كانت هذه بيانات شخصية حساسة - فقط قم بإلقاء سياسة الخصوصية وشروط الخدمة بخط صغير بعد أن لا يكون النموذج كافيًا. سيتعين عليك التأكد من حصول الأشخاص على فرصة لقراءته ، ثم تحديد المربع أو النقر فوق الزر الذي يقول "أوافق".