GDPRの詳細:「正当な利益」とは何ですか?

公開: 2018-03-01
GDPRの詳細:「正当な利益」とは何ですか?

あなたは彼らが言うことを知っています—あなたは彼らに指を与え、彼らは手を取ります。

彼らに正当な利息の例外を与えると、彼らはLinkedInのすべてにコールドメールを送ります。

GDPRには、第6条に概説されているように、個人データを処理するための6つの合法的な根拠があります。また、正当な利益が最も悪用されるように設定されています。 データを処理するための同意を得ることを避けたいすべてのマーケティング担当者は、それを求めることを回避する方法として正当な利益を使用しようとします。

しかし、注意してください…非常に注意してください。 正当な利益は、それが思っているよりも厳しい規定です。

それでは、それをどこに適用できるか、そしてその意図をよりよく理解する方法について話しましょう。

個人データ処理の6つの合法的な根拠

個人データを処理するには、有効な合法的な根拠が必要です。現在、合法と見なされているのは6つです。

単一の基盤が他の基盤よりも「優れている」、またはより重要であるということはありません。 そして、どの基礎を使用するのが最も適切かは、あなたの目的と個人との関係に依存します。

注意すべきことの1つは、処理を開始する前に、合法的な根拠を決定する必要があるということです。 監査の可能性がある場合に備えて、文書化して利用できるようにしておく必要があります。 当局者は、土壇場での切り替えを親切に見ません。

プライバシー通知には、処理の合法的な基盤と処理の目的も含める必要があります。 目的が変更された場合、新しい目的が最初の基準と互換性があると仮定して、元の合法的な根拠の下で処理を続行できる場合があります(これは、合法的な根拠が同意されなかったと想定しています)。 いずれにせよ、プライバシーポリシーを必ず更新する必要があります。

わかりやすくするために、この記事ではパスポートや生体認証データなどの特別なデータについては詳しく説明しません。

分析、リード生成、メール、A / Bテストなど、マーケターに関連するものを維持します。

正当な理由として使用できるものは次のとおりです。

  1. 同意
  2. 契約
  3. 法的義務
  4. 重要な利益
  5. 公益タスク
  6. 正当な利益

10秒の要約:

1.同意を得る必要があります(フォームのチェックボックス)、
2.個人または会社と契約を結ぶ必要があります(個人データを処理する必要があることに両者が同意した場合)。
3-5。 これらはマーケター向けではないため、別の機会に残しておきます。
6.正当な利益。 それは最も簡単に聞こえますか? 個人データを処理し、それを処理するための正当な「正当な」理由があることを確認してください。 さようなら同意?

正当な利益:それは何ですか?

正当な利益は処理のための最も柔軟な合法的な基盤ですが、それが常に最も適切であるとは限りません。

人々のデータを合理的に期待できる方法で使用し、プライバシーへの影響を最小限に抑える場合に最も適切である可能性があります。 または、処理に説得力のある正当性がある場合。これは、GDPRリサイタル47が正当な利益について述べていることです。

個人データが開示される可能性のある管理者または第三者の正当な利益は、データ主体の利益または基本的権利および自由がコントローラーとの関係に基づくデータ主体の合理的な期待を考慮に入れて、オーバーライドしないでください。 このような正当な利益は、たとえば、データ主体がクライアントである場合や管理者のサービスにある場合など、データ主体と管理者の間に関連性のある適切な関係がある場合に存在する可能性があります。 いずれにせよ、正当な利益の存在は、データ主体がその目的のための処理が行われる可能性のある個人データの収集の時点およびコンテキストで合理的に期待できるかどうかを含め、慎重な評価を必要とします。 データ主体の利益と基本的権利は、特に、データ主体がさらなる処理を合理的に期待しない状況で個人データが処理されるデータ管理者の利益を無効にする可能性があります。 公的機関が個人データを処理するための法的根拠を法律で規定するのは立法者であるため、その法的根拠は、公的機関による職務遂行の処理に適用されるべきではありません。 詐欺を防止する目的で厳密に必要な個人データの処理も、関係するデータ管理者の正当な利益を構成します。 ダイレクトマーケティングを目的とした個人データの処理は、正当な利益のために実行されたと見なされる場合があります。

正当な利益に依存することを選択した場合、あなたは人々の権利と利益を考慮し保護するための追加の責任を負います。

したがって、ユーザーのプライバシーを保証していると本当に確信しているシステムがある場合、それは正当な利益を使用できる強力な指標です。

正当な利益の根拠には3つの要素があります。 これを3部構成のテストと考えると役立ちます。 必要がある:

  1. 正当な利益を特定する。
  2. それを達成するために処理が必要であることを示します。 と
  3. 個人の利益、権利、自由とのバランスを取ります。

正当な利益は、あなた自身の利益または第三者の利益である可能性があります。 それらには、商業的利益、個人的利益、またはより広範な社会的利益が含まれる可能性があります。

処理も必要です。 邪魔にならない別の方法で同じ結果を合理的に達成できる場合、正当な利益はもはや適用されません。

さらに、正当な利益を使用して次の手順に従う必要があります。

  • あなたは自分の利益と個人の利益のバランスをとらなければなりません。 彼らが処理を合理的に期待しない場合、またはそれが不当な危害を引き起こす場合、彼らの利益はあなたの正当な利益を無効にする可能性があります。
  • 必要に応じてコンプライアンスを実証するために、正当な利益評価(LIA)の記録を保管してください。
  • プライバシーに関する通知には、正当な利益の詳細を含める必要があります。

正当な利益のためのICO(英国)プライバシー機関チェックリスト

ICO Webサイト(情報コミッショナーオフィス)には、データ処理が正当な利益の下で正当化されるかどうかを判断するのに役立つチェックリストがあります。

安全にプレイしたい場合は、次のことを確認してください。

  • 正当な利益が最も適切な根拠であることを確認しました。
  • 私たちは、個人の利益を保護する責任を理解しています。
  • 私たちは、正当な利益評価(LIA)を実施し、その記録を保持して、決定を正当化できるようにしました。
  • 関連する正当な利益を特定しました。
  • 処理が必要であり、同じ結果を達成するための煩わしい方法がないことを確認しました。
  • 私たちはバランステストを実施し、個人の利益がそれらの正当な利益を無効にしないと確信しています。
  • 非常に正当な理由がない限り、個人のデータは合理的に期待できる方法でのみ使用します。
  • 非常に正当な理由がない限り、私たちは人々のデータを、彼らが邪魔になるような方法で、または彼らに害を及ぼす可能性のある方法で使用していません。
  • お子様のデータを処理する場合、お子様の利益を保護するために細心の注意を払っています。
  • 可能な限り影響を減らすための安全策を検討しました。
  • オプトアウトを提供できるかどうかを検討しました。
  • LIAが重大なプライバシーへの影響を特定した場合、DPIAも実施する必要があるかどうかを検討しました。
  • 私たちはLIAをレビューし続け、状況が変化した場合はそれを繰り返します。
  • プライバシーに関する通知には、正当な利益に関する情報が含まれています。

A/Bテストに正当な利益を使用する

今後、GDPRとePrivacy Directiveは、デジタルマーケターにとって2つの法的基盤となるでしょう。

そして、その概要として、IPアドレス、Cookie、これらは「個人データ」と見なされるようになりました。

したがって、正当な利益は別として、現在のA/BテストツールではCookieやその他の識別子についての同意が必要になる可能性があります。

理由は次のとおりです。

サードパーティのソフトウェアを使用してセグメントを充実させたり、Webサイト訪問者のあらゆる動きを保存したりする場合、バランスの取れた正当な利益について議論するのはかなり困難です。 この種のストレージは、ヒープなどのツール、またはポストセグメンテーションまたは予測分析機能を備えた同様のプログラムでは一般的な方法です。

多くの主要なA/Bテストソリューションを使用して、ユーザーに関する多くのデータを保存します。 そして、そのプロセスについてユーザーに通知することなく、後で必要に応じてそのデータを使用します。

チェックリストを振り返って…

あなたのウェブサイトにアクセスするユーザーは、あなたが彼らのデータを使って彼らの購入パターンを予測することを「合理的に期待」していますか?

過剰なデータを保存するための「正当な必要性」はありますか?それを使用することに対する彼らの反対意見を必ず無効にしてください。

この種のデータ収集には、特定の同意が必要になる可能性があります。 つまり、特定のオプトインなしでCookieや実験をロードするべきではありません。

A / Bテスト、マイナス個人データストレージ

GDPRの通過以来、ConvertExperiencesを再設計しました。 そして、私たちはそれに取り組んでいるので、2018年5月25日までに100%準備ができています。

つまり、デフォルト設定でConvertを使用すると、同意が必要なくてもGDPRに準拠します(こちらのロードマップをご覧ください)。

Cookie ID、一意の識別子、およびIPは保存されていません。 個人データが保存または使用されないように、実際にはすべてが可能な限り削除されます。

つまり、同意は必要ありません。

必要になる可能性があるのは、A/Bテストの処理方法をWebサイトの訪問者に通知することです。

おそらく、最も安全を期すために、ユーザーはプライバシーポリシーに正当な関心を含める必要があります。これは、A/Bテストソフトウェア用に配置されたCookieに個人データが保存されていないことを示すためです。 また、企業としての戦略的関心について言及すると、ビジネスのパフォーマンスを向上させるために、この分析Cookieを配置する必要があります。

要約すると:

同意と正当な利益は、デジタルマーケターにとって最も使用されている正当な基盤である可能性が最も高いです。

間違いなく、同意はあなたの会社に対する法的措置を回避するための最も安全な方法です。

正当な利益は、壁に背を向けて自分自身を見つけ、個人データが保存および処理されていない、または非常に少ないと確信しているまれな場合にのみ使用する必要があります。

正当な利益が実行可能であると考える理由が100%明確であることを確認し、監査の場合に備えてそれを保存します。

複雑だからですが、ロケット科学ではありません。 卑劣に聞こえる場合は、同意を求めてください。 それが本当に無害な処理である場合は、顧客やWebサイトの訪問者への影響を最小限に抑えるための強力な主張をしてください。

そして覚えておいてください:GDPRはほんの数ヶ月先です。 常に情報を入手し、ベンダーと話し合い、より透過的なデータ処理環境に備えることができます。