Szczegółowe omówienie RODO: co liczy się jako „uzasadniony interes”?

Opublikowany: 2018-03-01
Szczegółowe omówienie RODO: co liczy się jako „uzasadniony interes”?

Wiesz, co mówią – dasz im palec, wezmą rękę.

Daj im uzasadniony wyjątek dotyczący zainteresowania, a wyślą zimne e-maile do wszystkich LinkedIn.

RODO ma sześć zgodnych z prawem podstaw do przetwarzania danych osobowych, jak określono w art. 6. Uzasadnione interesy są dobrze skonfigurowane jako najbardziej nadużywane. Każdy marketer, który chce uniknąć uzyskania zgody na przetwarzanie danych, spróbuje wykorzystać uzasadniony interes jako sposób na obejście tego pytania.

Ale bądź ostrożny… bardzo ostrożny. Uzasadniony interes to bardziej rygorystyczny przepis, niż mogłoby się wydawać.

Porozmawiajmy więc o tym, gdzie można go zastosować i jak możemy lepiej zrozumieć jego intencje.

Sześć zgodnych z prawem podstaw przetwarzania danych osobowych

Aby przetwarzać dane osobowe, musisz mieć ważną podstawę prawną, a sześć jest obecnie uważanych za zgodne z prawem.

Żadna podstawa nie jest „lepsza” ani ważniejsza od pozostałych. A która podstawa jest najbardziej odpowiednia do użycia, będzie zależeć od twojego celu i relacji z osobą.

Jedna rzecz do zapamiętania: przed rozpoczęciem przetwarzania musisz określić podstawę prawną. Powinieneś mieć to udokumentowane i dostępne na wypadek ewentualnego audytu. Urzędnicy nie będą życzliwie traktować żadnych zmian w ostatniej chwili.

Twoja informacja o prywatności powinna również zawierać podstawę prawną przetwarzania i cele przetwarzania. Jeśli Twoje cele ulegną zmianie, możesz kontynuować przetwarzanie zgodnie z pierwotną podstawą prawną — zakładając, że Twój nowy cel jest zgodny z Twoją pierwotną podstawą (zakładając, że podstawą prawną nie była zgoda). Tak czy inaczej: upewnij się, że zaktualizowałeś swoją politykę prywatności.

Dla uproszczenia ten artykuł nie będzie zagłębiał się w dane specjalne, takie jak paszporty, dane biometryczne itp.

Będziemy utrzymywać rzeczy istotne dla marketerów: analitykę, generowanie leadów, e-maile i testy a/b.

Oto, co możesz wykorzystać jako podstawę prawną:

  1. Zgoda
  2. Kontrakt
  3. Prawne zobowiązanie
  4. Żywotne zainteresowania
  5. Zadanie interesu publicznego
  6. Uzasadnione interesy

Podsumowanie 10 sekund:

1. Musisz uzyskać zgodę (to pole wyboru na Twoich formularzach),
2. Musisz mieć umowę z osobą lub firmą (w której oboje uzgodniliście, że dane osobowe muszą być przetwarzane).
3-5. Zostawimy je na inny czas, ponieważ nie są przeznaczone dla marketerów.
6. Uzasadniony interes. Brzmi najłatwiej, prawda? Po prostu upewnij się, że masz dobry, „uzasadniony” powód do przetwarzania danych osobowych i skończ z tym. Pa, pa zgodę?

Uzasadnione zainteresowanie: co to jest?

Uzasadnione interesy są najbardziej elastyczną i zgodną z prawem podstawą przetwarzania, ale nie można zakładać, że zawsze będzie najbardziej odpowiednia.

Jest to prawdopodobnie najbardziej odpowiednie, gdy wykorzystujesz dane osób w sposób, którego można by racjonalnie oczekiwać i który ma minimalny wpływ na prywatność. LUB jeśli istnieje przekonujące uzasadnienie przetwarzania. Tak mówi motyw 47 RODO o uzasadnionym interesie.

Podstawę prawną przetwarzania mogą stanowić prawnie uzasadnione interesy administratora, w tym administratora, któremu dane osobowe mogą zostać ujawnione, lub strony trzeciej, o ile interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, są nie nadrzędne, biorąc pod uwagę uzasadnione oczekiwania osób, których dane dotyczą, wynikające z ich relacji z administratorem. Taki uzasadniony interes może istnieć na przykład wtedy, gdy istnieje odpowiednia i odpowiednia relacja między osobą, której dane dotyczą, a administratorem w sytuacjach, gdy osoba, której dane dotyczą, jest klientem lub w służbie administratora. W każdym razie istnienie uzasadnionego interesu wymagałoby starannej oceny, w tym tego, czy osoba, której dane dotyczą, może racjonalnie oczekiwać w czasie i w kontekście gromadzenia danych osobowych, że przetwarzanie w tym celu może mieć miejsce. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą w szczególności być nadrzędne w stosunku do interesu administratora danych, gdy dane osobowe są przetwarzane w okolicznościach, w których osoby, których dane dotyczą, nie oczekują racjonalnie dalszego przetwarzania. Biorąc pod uwagę, że to do ustawodawcy należy ustanowienie ustawą podstawy prawnej przetwarzania danych osobowych przez organy publiczne, ta podstawa prawna nie powinna mieć zastosowania do przetwarzania przez organy publiczne w ramach wykonywania ich zadań. Przetwarzanie danych osobowych ściśle niezbędne do celów zapobiegania oszustwom stanowi również uzasadniony interes danego administratora danych. Przetwarzanie danych osobowych do celów marketingu bezpośredniego można uznać za dokonywane w uzasadnionym interesie.

Jeśli zdecydujesz się polegać na uzasadnionych interesach, bierzesz na siebie dodatkową odpowiedzialność za uwzględnienie i ochronę praw i interesów ludzi .

Więc jeśli masz system, w którym naprawdę masz pewność, że zagwarantowałeś prywatność użytkowników, jest to silny wskaźnik, że możesz wykorzystać uzasadniony interes.

Podstawa prawnie uzasadnionych interesów składa się z trzech elementów. Warto pomyśleć o tym jako o trzyczęściowym teście. Musisz:

  1. zidentyfikować uzasadniony interes;
  2. wykazać, że przetwarzanie jest niezbędne do jego osiągnięcia; oraz
  3. zrównoważyć ją z interesami, prawami i wolnościami jednostki.

Uzasadnionymi interesami mogą być Twoje własne interesy lub interesy osób trzecich. Mogą one obejmować interesy handlowe, interesy indywidualne lub szersze korzyści społeczne.

Przetwarzanie również musi być konieczne. Jeśli możesz rozsądnie osiągnąć ten sam wynik w inny, mniej inwazyjny sposób – uzasadnione interesy nie mają już zastosowania,

Ponadto musisz wykonać następujące kroki, korzystając z uzasadnionego interesu:

  • Musisz zrównoważyć swoje interesy z interesami jednostki. Jeśli nie spodziewaliby się w uzasadniony sposób przetwarzania lub spowodowałoby to nieuzasadnioną szkodę, ich interesy prawdopodobnie będą nadrzędne w stosunku do Twoich uzasadnionych interesów.
  • Prowadź rejestr oceny uzasadnionych interesów (LIA), aby pomóc w wykazaniu zgodności, jeśli jest to wymagane.
  • Musisz zawrzeć szczegóły swoich uzasadnionych interesów w swojej informacji o ochronie prywatności.

Lista kontrolna organu ds. ochrony prywatności ICO (UK) dotycząca uzasadnionych interesów

Strona internetowa ICO (Information Commissioner's Office) zawiera listę kontrolną, która ma pomóc w ustaleniu, czy przetwarzanie danych jest uzasadnione w uzasadnionych interesach.

Jeśli chcesz grać bezpiecznie, upewnij się, że możesz potwierdzić:

  • Sprawdziliśmy, czy uzasadniony interes jest najwłaściwszą podstawą.
  • Rozumiemy naszą odpowiedzialność za ochronę interesów jednostki.
  • Przeprowadziliśmy ocenę uzasadnionych interesów (LIA) i zapisaliśmy ją, aby upewnić się, że możemy uzasadnić naszą decyzję.
  • Zidentyfikowaliśmy odpowiednie prawnie uzasadnione interesy.
  • Sprawdziliśmy, że przetwarzanie jest konieczne i nie ma mniej inwazyjnego sposobu na osiągnięcie tego samego rezultatu.
  • Przeprowadziliśmy test równowagi i jesteśmy przekonani, że interesy danej osoby nie są nadrzędne w stosunku do uzasadnionych interesów.
  • Dane osób fizycznych wykorzystujemy wyłącznie w sposób, którego można by oczekiwać, chyba że mamy bardzo dobry powód.
  • Nie wykorzystujemy danych osób w sposób, który uznaliby za natrętny lub mogący wyrządzić im krzywdę, chyba że mamy bardzo dobry powód.
  • Jeśli przetwarzamy dane dzieci, dokładamy szczególnej staranności, aby chronić ich interesy.
  • Rozważaliśmy zabezpieczenia w celu zmniejszenia wpływu tam, gdzie to możliwe.
  • Zastanowiliśmy się, czy możemy zaoferować opcję rezygnacji.
  • Jeśli nasza LIA identyfikuje znaczący wpływ na prywatność, rozważamy, czy musimy również przeprowadzić DPIA.
  • Sprawdzamy nasze LIA i powtarzamy je, jeśli okoliczności się zmienią.
  • Informacje o naszych uzasadnionych interesach zawieramy w naszej informacji o ochronie prywatności.

Wykorzystywanie uzasadnionego zainteresowania do testów A/B

W przyszłości RODO i dyrektywa o prywatności i łączności elektronicznej będą dwoma prawnymi podstawami dla marketerów cyfrowych.

I jak to przedstawia: adresy IP, pliki cookie — te rzeczy są obecnie uważane za „dane osobowe”.

Odłóżmy więc na bok uzasadnione interesy: najprawdopodobniej będziesz potrzebować zgody na pliki cookie i inne identyfikatory za pomocą obecnych narzędzi do testowania A/B.

Dlatego:

Trudno jest mieć argument za zrównoważonym, uzasadnionym interesem, jeśli używasz oprogramowania innych firm do wzbogacania swoich segmentów lub przechowywania każdego ruchu odwiedzających witrynę. Ten rodzaj przechowywania jest powszechną praktyką w przypadku narzędzi takich jak Heap — lub dowolnego podobnego programu, który ma możliwości analizy postsegmentacyjnej lub predykcyjnej.

Dzięki wielu wiodącym rozwiązaniom do testowania A/B przechowujesz wiele danych o użytkowniku. A potem wykorzystujesz te dane, jak chcesz, bez informowania użytkownika o tym procesie.

Wracając do listy kontrolnej…

Czy użytkownicy wchodzący na Twoją stronę „rozsądnie oczekują”, że wykorzystasz ich dane do przewidzenia ich wzorców zakupowych?

Czy Twoja „uzasadniona potrzeba” przechowywania nadmiaru ich danych z pewnością obejdzie zastrzeżenia, jakie mogą mieć wobec Ciebie, gdy z nich korzystasz?

Ten rodzaj zbierania danych prawdopodobnie wymaga konkretnej zgody. Oznacza to, że nie należy ładować plików cookie ani eksperymentów bez określonej zgody.

Testy A/B, bez przechowywania danych osobowych

Od czasu wejścia w życie RODO przeprojektowaliśmy usługi Convert. I nadal nad tym pracujemy, więc jesteśmy w 100% gotowi do 25 maja 2018 roku.

Oznacza to, że jeśli używasz Convert w ustawieniach domyślnych — będzie on zgodny z RODO bez konieczności uzyskania zgody (zobacz nasz plan tutaj).

Nie są przechowywane żadne identyfikatory plików cookie, żadne unikalne identyfikatory ani adresy IP. Naprawdę wszystko jest rozebrane, tak bardzo, jak to możliwe, aby żadne dane osobowe nie były przechowywane ani wykorzystywane.

Oznacza to, że nie jest potrzebna zgoda.

To, co może być potrzebne, to poinformowanie odwiedzających witrynę o sposobie obsługi testów A/B.

Być może, aby być po bezpiecznej stronie, użytkownicy powinni uwzględnić uzasadniony interes w swojej polityce prywatności — aby zasygnalizować, że plik cookie umieszczony dla oprogramowania do testów A/B nie przechowuje danych osobowych. A wspominając o strategicznym interesie dla Ciebie, jako firmy, konieczne jest umieszczenie tego analitycznego pliku cookie, aby poprawić wydajność Twojej firmy.

Podsumowując:

Zgoda i uzasadniony interes są najprawdopodobniej najczęściej używanymi uzasadnionymi podstawami dla marketerów cyfrowych.

Bez wątpienia zgoda to najbezpieczniejszy sposób na uniknięcie wszelkich działań prawnych przeciwko Twojej firmie.

Uzasadniony interes powinien być wykorzystywany tylko w rzadkich przypadkach, gdy stoisz plecami do ściany i gdy masz pewność, że nie przechowuje się i przetwarza niewiele danych osobowych lub jest to bardzo mało.

Upewnij się, że jest w 100% jasne, dlaczego uważasz, że uzasadniony interes jest opłacalny, i zachowaj to na wypadek audytu.

Ponieważ jest to skomplikowane, ale to nie jest nauka o rakietach. Jeśli brzmi to podstępnie, poproś o zgodę. Jeśli przetwarzanie jest naprawdę nieszkodliwe, postaraj się o minimalny wpływ na klientów i odwiedzających witrynę.

I pamiętaj: RODO już za kilka miesięcy. Bądź na bieżąco, rozmawiaj z dostawcami i przygotuj się na bardziej przejrzysty krajobraz przetwarzania danych.