Tahu Cara Memproses Data Berdasarkan GDPR? Kemudian Lulus Tes Cepat Ini.

Beberapa kuis memberi tahu Anda apakah kepribadian Anda lebih merupakan "musim semi" atau "musim gugur".

Beberapa memberi tahu Anda apakah Otoritas Perlindungan Data memiliki hak hukum untuk mendenda perusahaan Anda sebesar jutaan dolar atau tidak.

Coba tebak ini yang mana.

Saatnya bermain, apakah ini sesuai dengan GDPR?

1.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

2.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

3.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

4.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

5.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

6.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

7.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

8.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut

9.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

10.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

11.

1. Ini sesuai.
2. Ini tidak sesuai.
3. Hmm… kami butuh informasi lebih lanjut.

Kunci jawaban

1. B
2. B
3. B
4. SEBUAH
5. B
6. B
7. SEBUAH
8. B
9. SEBUAH
10. C
11. C

Jika Anda mendapatkan ... 11 dari 11

Selamat! Anda seorang superstar GDPR…atau apalah.

Gelar, dan penghargaan, dan lencana tidak penting. Tetapi kepatuhan GDPR sangat banyak.

Dan sepertinya Anda tahu cara memproses data pribadi (kecuali Anda dapat menebaknya)—baik itu untuk cookie, atau email, atau data sensitif.

Jadi tepuk diri Anda di belakang. Bagikan kebijaksanaan Anda. Siapkan rekan kerja Anda. Dan baca kembali penjelasan di bawah ini, jika ada sesuatu yang Anda tidak yakin.

Jika Anda mendapatkan ... kurang dari 11 dari 11.

Yah. Kami mengerti. Hal ini sulit.

Anda mungkin ingin terus membaca….

Rindu satu? Tebak beberapa kali? Butuh pengingat? Berikut adalah rincian cepat.

1. B

Hei lihat itu contoh yang mungkin pernah Anda lihat di internet!

Itu benar teman—jangan centang kotak persetujuan Anda terlebih dahulu. Orang harus memberikan persetujuan secara aktif sekarang.

“Saya hanya bermaksud mengklik tombol “berikutnya”. Saya bahkan tidak melihat kotak centang itu. Sekarang saya ada di daftar email Anda?”—tidak pernah menjadi hal yang harus dipikirkan pengguna Anda.

Inilah yang dikatakan GDPR tentang memproses persetujuan, untuk menjadikannya resmi:

Persetujuan 'dari subjek data berarti setiap indikasi yang diberikan secara bebas, spesifik, terinformasi dan tidak ambigu dari keinginan subjek data yang dengannya dia, dengan sebuah pernyataan atau dengan tindakan afirmatif yang jelas, menandakan persetujuan untuk pemrosesan data pribadi yang berkaitan dengannya atau dia – Pasal 4

Jelas, afirmatif, tindakan. Kosongkan kotak-kotak itu.

2. B

Tidak, tidak sesuai.

Kuncinya di sini adalah sesuatu yang disebut "bundling"—yang tidak diizinkan menurut GDPR. Berikut adalah beberapa kutipan berbeda yang memberikan ini "tidak."

“Jika persetujuan subjek data diberikan dalam rangka pernyataan tertulis yang juga menyangkut hal-hal lain, maka permintaan persetujuan tersebut harus disampaikan dengan cara yang secara jelas dapat dibedakan dari hal-hal lain (…) ” – Pasal 7(2)

“Persetujuan harus mencakup semua aktivitas pemrosesan yang dilakukan untuk maksud atau tujuan yang sama. Ketika pemrosesan memiliki banyak tujuan, persetujuan harus diberikan untuk semuanya ” – Resital 32

Jadi, menghadiri acara? Itu jelas "tujuan yang berbeda" dari newsletter bulanan. Persetujuan harus diminta secara terpisah.

3. B

Ini terlihat seperti formulir keikutsertaan standar dan persuasif kami. Dan ini semua jenis ketidakpatuhan.

Pertama, ini meminta untuk mengumpulkan banyak informasi yang tidak diperlukan untuk mendapatkan data sesuai dengan tujuan mereka (alias: mengirimi mereka PDF yang mereka daftarkan untuk terima). Ini bertentangan dengan persyaratan GDPR untuk minimalisasi data, atau “privacy by design”. Praktik terbaik di sini adalah: jika Anda mengumpulkan informasi, dan tidak jelas mengapa Anda mengumpulkannya, Anda harus memberitahukannya kepada pengguna Anda.

Facebook menawarkan contoh yang bagus tentang bagaimana melakukan ini dengan benar:

Plus, contoh ini, sekali lagi, adalah bundling.

Ini bundling sedikit kurang mengerikan dari contoh sebelumnya. Di sini, dengan menyetujui untuk menerima PDF, Anda setidaknya memberikan persetujuan untuk menerima konten. Langganan daftar email dan unduhan, dalam hal ini, memiliki "tujuan" yang serupa. Tetap saja—diungkapkan apa adanya, Anda akan kesulitan untuk membingkainya sebagai "sama." Jadi persetujuan harus diberikan secara terpisah.

4. A

Hei tidak, yang ini cukup bagus!

Sekarang Anda bisa membuat argumen bahwa mereka tidak PERLU mengumpulkan nama perusahaan, atau nomor telepon, di sini. Jadi, menyesuaikan privasi dengan desain, bidang-bidang itu harus dihilangkan.

Tetapi mengingat tujuan pengguna Anda di sini adalah untuk menguji menjalankan CRM, dan Anda tahu, mengelola hubungan klien untuk perusahaan mereka—masuk akal jika SuperOffice ingin tahu siapa perusahaan itu.

Jadi kami akan memberi mereka izin.

Juga, periksa seberapa cantik dan tersegmentasi dan hapus centang pada kotak-kotak itu. Mereka meminta pilihan eksplisit ke dalam kebijakan privasi mereka. Mereka telah meminta persetujuan yang terpisah dan aktif.

Ketika GDPR dipasang, ini harus terbang.

5. B

Mereka. begitu. menutup.

Sampai kotak centang kedua dan penyebutan pihak ketiga.

Di bawah GDPR, pihak ketiga mana pun yang ingin Anda bagikan data Anda harus diberi nama. “Pihak ketiga tepercaya” tidak cukup jelas. Kategori tidak berfungsi. Jika seseorang akan memilih untuk mendengarkan dari pihak ketiga, mereka harus tahu persis siapa pihak-pihak tersebut.

6. B

Jadi, kabar baiknya adalah….mereka mendapatkan pihak ketiga dengan benar.

Mereka mendapat hak persetujuan yang tidak terikat.

Tapi ini adalah opt-out, bukan opt-in.

Anda akan dihubungi kecuali Anda mencentang "tidak".

Itu tidak terdengar seperti persetujuan aktif dan afirmatif bagi saya.

7. A

10/10.

Keikutsertaan granular Woolworth NAILS.

Jika Anda bertanya-tanya mengapa saya menjadi bersemangat secara tidak rasional tentang contoh ini—ini adalah sesuatu yang dikacaukan oleh banyak bentuk.

Kesalahan umum adalah meminta persetujuan untuk mengirim materi, tetapi lupa memisahkan "bagaimana".

Jadi pengingat: jika Anda ingin mengirim teks, Anda memerlukan persetujuan khusus untuk mengirim teks. Jika Anda ingin mengirim email, Anda memerlukan persetujuan yang terpisah, spesifik, untuk mengirim email.

Woolworth juga memberi tahu Anda dengan tepat jenis materi apa yang akan Anda terima dari mereka. Itu ide yang bagus, baik untuk kepatuhan GDPR, dan untuk membujuk audiens Anda untuk mendaftar.

8. B

Hening sejenak untuk soft opt-in, karena GDPR telah membunuhnya.

Cookie, dengan pengidentifikasi unik, adalah data pribadi menurut GDPR.

Dan seperti yang Anda ingat—data pribadi memerlukan persetujuan yada yada yada yang aktif, tidak ambigu, spesifik.

Ini berarti seluruh omong kosong "dengan menggunakan situs ini Anda setuju" tidak lagi legal. Dan Anda tidak dapat mulai menjalankan cookie sampai Anda mendapatkan jawaban ya.

(Ini adalah subjek yang besar, rumit, dan berantakan—yang berkaitan dengan persimpangan GDPR dan ePrivacy. Anda dapat membaca lebih lanjut tentangnya di sini).

9. A

Ini melakukan semua yang nomor 8 lakukan salah, benar.

Ini memberi tahu Anda dengan tepat untuk apa cookie itu digunakan. Dan kemudian itu memberi Anda pilihan yang jelas untuk menerima, atau tidak menerimanya.

Dan untuk perkembangan terakhir, ini memungkinkan Anda memperluas dan memilih cookie mana yang Anda setujui, dan tidak.

Ini adalah hal yang indah, dari sudut pandang hukum.

(Namun, dari sudut pandang pemasaran—Anda belum memberi banyak alasan kepada pengguna Anda untuk ikut serta atau tidak. Mungkin penjelasan yang lebih baik tentang manfaat cookie situs Anda, dapat membantu dalam upaya itu).

10. C

Jadi, semacam pertanyaan jebakan.

Seperti yang kami sebutkan, jika kita berbicara tentang persetujuan yang disetujui GDPR—ini gagal. Kotak yang dicentang sebelumnya adalah "tidak".

Tetapi jika kita bertanya pada diri sendiri, “Apakah Lancome berhak mengirim email kepada orang ini?”—kami memiliki beberapa hal lagi untuk dievaluasi.

Karena jika ini tidak cukup rumit, persetujuan bukanlah satu-satunya cara untuk memproses data pribadi secara sah .

Masukkan: kondisi kepentingan yang sah.

Tapi jangan bersemangat. Memproses data karena "kepentingan yang sah" dianggap rumit.

Kondisi ini lebih untuk situasi "Saya perlu memproses nomor rekening mereka untuk melakukan layanan pencegahan penipuan".

Bukan “Saya secara sah mengira mereka tertarik, jadi…Saya mengirimi mereka banyak email tanpa persetujuan”.

Tetapi satu hal yang tampaknya membuat orang maju berkaitan dengan data untuk pelanggan yang sudah ada.

Inilah baris dalam undang-undang yang mereka bicarakan:

“ Kepentingan yang sah tersebut dapat terjadi misalnya di mana ada hubungan yang relevan dan sesuai antara subjek data dan pengontrol dalam situasi seperti di mana subjek data adalah klien atau dalam layanan pengontrol. ” –Resital 47

Kuncinya di sini adalah bertanya pada diri sendiri: “Apakah, dengan melakukan tindakan ini, mengarahkan saya (subjek data) untuk secara wajar mengharapkan data saya akan digunakan dengan cara ini?”

Jadi, jika saya membeli kemeja—apakah saya akan berharap bahwa saya akan menerima email yang mengonfirmasi pembelian saya? (Tanpa secara eksplisit menyetujui untuk menerima email?).

Ya, Anda punya kasus yang cukup bagus, kepentingan yang sah berlaku di sini.

Bagaimana dengan pemberitahuan bahwa ada diskon besar minggu depan untuk produk serupa?

Kasing Anda semakin tipis.

Email mingguan?

Kertasrrr tipis.

Sejujurnya, melewati konfirmasi pesanan standar Anda, kami tidak akan mengambil risiko. Meminta persetujuan (benar!), adalah cara teraman untuk memastikan pangkalan Anda tercakup.

Tetapi jika Anda benar-benar ingin menggunakan kondisi kepentingan yang sah untuk memproses data pribadi, kami mohon, baca ini dulu.

11. C

TWIST MENYENANGKAN LAIN PADA SATU INI.

GDPR menguraikan kategori data terpisah yang disebut “data pribadi sensitif”. Dan persyaratan pemrosesan berbeda untuk jenis informasi ini.

Saya akan mengakui kepada Anda sekarang, ini bukan contoh terbaik. Jadi itu semacam pertanyaan yang kejam, dan itu semacam peregangan. (Ada diskusi rumit yang terjadi saat ini tentang berapa berat badan seseorang yang dianggap sebagai data kesehatan dari sudut pandang privasi data, jika Anda tertarik).

Berikut bahasa yang tepat tentang data yang dianggap "sensitif", dari Pasal 9:

Data pribadi sensitif berarti data pribadi yang terdiri dari informasi mengenai –

(a) asal ras atau etnis dari subjek data,

(b) pendapat politiknya,

(c) keyakinan agamanya atau keyakinan lain yang serupa,

(d) apakah dia anggota serikat pekerja (dalam arti Undang-Undang Serikat Pekerja dan Hubungan Perburuhan (Konsolidasi) 1992),

(e) kesehatan atau kondisi fisik atau mentalnya,

(f) kehidupan seksualnya,

(g) komisi atau dugaan komisi olehnya atas pelanggaran apa pun, atau

(h) setiap proses untuk setiap pelanggaran yang dilakukan atau diduga telah dilakukan olehnya, penghentian proses tersebut atau hukuman pengadilan mana pun dalam proses tersebut.

Jadi, katakanlah aplikasi ini mengumpulkan apa yang, pasti, dianggap sebagai data tentang subjek "kesehatan atau kondisi fisik atau mental". Ini menanyakan tentang kondisi medis sebelumnya, mencatat berat badan dan tekanan darah Anda, atau pola tidur, dari waktu ke waktu.

Jika mengumpulkan informasi yang dianggap sebagai data pribadi yang sensitif, lalu apa?

Jika data pribadi untuk aplikasi ini tidak sensitif, ini sepertinya formulir asupan yang cukup sesuai. Sepertinya itu harus menjadi kasus kepentingan sah yang jelas.

Anda mendaftar untuk menggunakan aplikasi. Anda ingin menggunakan aplikasi. Anda setuju untuk menggunakan aplikasi.

Dan aplikasi melacak kebugaran Anda.

Tentu saja, tampaknya sah bagi Anda, bahwa mereka meminta data kebugaran Anda. Plus ada kebijakan privasi yang dapat diakses dan pernyataan syarat kondisi di sana jika Anda ingin tahu bagaimana data itu digunakan.

Tetapi ada kondisi pemrosesan tambahan yang harus kita ikuti, jika ini adalah “data pribadi yang sensitif.”

1. Kepentingan yang sah tidak lagi dianggap sebagai kondisi pemrosesan.
2. Jika Anda memilih untuk memproses berdasarkan kondisi persetujuan, itu tidak hanya harus "jelas" lagi—itu harus "eksplisit."

Ini berarti mengklik tombol "Sign Me Up" saja tidak cukup.

GDPR mengatakan Anda memerlukan pernyataan yang akan "menentukan sifat data yang dikumpulkan, detail keputusan otomatis dan dampaknya, atau detail data yang akan ditransfer dan risiko transfer" (Petunjuk 95/46/ EC, Pasal 29).

Atau, saat ICO memecahnya:

Ini menunjukkan bahwa persetujuan individu harus benar-benar jelas. Ini harus mencakup detail pemrosesan spesifik; jenis informasi (atau bahkan informasi spesifik); tujuan pemrosesan; dan setiap aspek khusus yang dapat mempengaruhi individu, seperti pengungkapan yang mungkin dilakukan.

DAN KEMUDIAN, begitu orang tahu semuanya—Anda perlu meminta tindakan eksplisit dari mereka. Seperti, mencentang kotak yang bertuliskan "Saya setuju" atau "Saya setuju."

Pada dasarnya: mereka harus tahu semua yang Anda lakukan dengan data itu. Dan mereka harus memberi tahu Anda dengan jelas bahwa mereka setuju—dengan tindakan afirmatif.

JADI, jika ini adalah data pribadi yang sensitif—hanya membuang kebijakan privasi Anda, dan persyaratan layanan, dalam cetakan kecil setelah formulir tidak cukup. Anda harus memastikan orang memiliki kesempatan untuk membacanya, dan kemudian mencentang kotak atau mengklik tombol yang bertuliskan "Saya setuju."