Wiesz, jak przetwarzać dane w ramach RODO? Następnie zdaj ten szybki test.

Opublikowany: 2018-03-10
Wiesz, jak przetwarzać dane w ramach RODO? Następnie zdaj ten szybki test.

Niektóre quizy mówią ci, czy twoja osobowość jest bardziej „wiosną”, czy „jesią”.

Niektórzy mówią, czy Urząd Ochrony Danych ma prawo nakładać na Twoją firmę karę w wysokości milionów dolarów.

Zgadnij, który to jest.

Czas na zabawę, czy to RODO jest zgodne?

1.

Zgodny z RODO?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

2.

Zgodny z RODO?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

3.

Zgodność z RODO firmy Oli gardner?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

4.

SuperOffice zgodny z RODO?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

5.

Zgodny z RODO?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

6.

Zgodność z RODO?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

7.

Zgodność z RODO dla Woolworths?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

8.

Zgodność z RODO Santander?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji

9.

Zgodny z RODO?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

10.

Zgodność z RODO w Lancome?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

11.

Zgodny z RODO?
  1. To jest zgodne.
  2. To nie jest zgodne.
  3. Hmm… potrzebujemy więcej informacji.

Klucz odpowiedzi

  1. B
  2. B
  3. B
  4. A
  5. B
  6. B
  7. A
  8. B
  9. A
  10. C
  11. C

Jeśli masz…11 z 11

Gratulacje! Jesteś supergwiazdą RODO… czy coś.

Tytuły, wyróżnienia i odznaki nie są ważne. Ale zgodność z RODO jest bardzo ważna.

I z pewnością wydaje się, że znasz swój sposób na przetwarzanie danych osobowych (chyba że zgadłeś) — czy to w przypadku plików cookie, wiadomości e-mail, czy też danych wrażliwych.

Więc poklep się po plecach. Podziel się swoją mądrością. Przygotuj swoich współpracowników. I ponownie przeczytaj poniższe wyjaśnienia, jeśli jest coś, czego nie jesteś pewien.

Jeśli masz… mniej niż 11 z 11.

To jest trudne

Dobrze. Rozumiemy. To jest trudne.

Możesz chcieć czytać dalej….

Przegapiłeś jednego? Zgadnij kilka razy? Potrzebujesz przypomnienia? Oto szybki podział.

1. B

Hej, spójrz, to ten przykład, który mogłeś zobaczyć w Internecie!

Zgadza się, przyjaciele — nie sprawdzaj wstępnie pól zgody. Ludzie muszą teraz aktywnie wyrażać zgodę.

„Chciałem tylko kliknąć przycisk „Dalej”. Nawet nie widziałem tego pola wyboru. Teraz jestem na Twojej liście e-mailowej?” — nigdy nie powinni myśleć Twoi użytkownicy.

Oto, co RODO mówi o przetwarzaniu zgody, aby uczynić ją oficjalnym:

Zgoda” osoby, której dane dotyczą, oznacza każde dobrowolne, konkretne, świadome i jednoznaczne wskazanie woli osoby, której dane dotyczą, poprzez oświadczenie lub wyraźne działanie potwierdzające, oznacza zgodę na przetwarzanie dotyczących jej danych osobowych lub ona – Artykuł 4

Jasne, twierdzące działanie. Pozostaw te pudełka puste.

2. B

Nie, niezgodny.

Kluczem jest tutaj coś, co nazywa się „sprzedażą wiązaną”, co nie jest dozwolone w ramach RODO. Oto kilka różnych cytatów, które dają temu „nie”.

„Jeżeli zgoda osoby, której dane dotyczą, jest wyrażona w kontekście pisemnego oświadczenia, które dotyczy również innych spraw, wniosek o wyrażenie zgody należy przedstawić w sposób wyraźnie odróżniający się od innych spraw (…) ” – art. 7 ust. 2

„Zgoda powinna obejmować wszystkie czynności przetwarzania dokonywane w tym samym celu lub celach. Gdy przetwarzanie ma wiele celów, należy wyrazić zgodę na wszystkie z nich ” – motyw 32

Więc uczestniczysz w wydarzeniu? To wyraźny „inny cel” niż comiesięczny biuletyn. O zgodę należy poprosić osobno.

3. B

To wygląda na nasz standardowy, przekonujący formularz zgody. I to są wszelkiego rodzaju niezgodności.

Po pierwsze, prosi o zebranie wielu informacji, które nie są niezbędne do osiągnięcia celu osoby, której dane dotyczą (aka: wysłania im pliku PDF, który chce otrzymać). Jest to sprzeczne z wymogiem RODO dotyczącym minimalizacji danych lub „prywatności z założenia”. Oto najlepsza praktyka: jeśli zbierasz informacje i nie jest jasne, dlaczego je zbierasz, powinieneś poinformować o tym swoich użytkowników.

Facebook oferuje świetny przykład tego, jak zrobić to dobrze:

Facebook to świetny przykład

Plus, ten przykład, znowu, jest wiązaniem.

Jest to nieco mniej rażące łączenie niż w poprzednim przykładzie. Tutaj, zgadzając się na otrzymanie pliku PDF, wyrażasz przynajmniej zgodę na otrzymanie treści. Subskrypcja listy e-mailowej i pobieranie w tym zakresie mają podobny „cel”. Mimo to – tak sformułowane, że trudno byłoby je sformułować jako „taki sam”. Tak więc zgodę należy wyrazić osobno.

4. A

Hej, nie, ten jest całkiem niezły!

Teraz możesz argumentować , że NIE POTRZEBUJĄ zbierać nazwy firmy ani numeru telefonu tutaj. Tak więc, dostosowując się do prywatności od samego początku, te pola należy pominąć.

Ale biorąc pod uwagę, że Twoim celem użytkownika jest przetestowanie CRM, a wiesz, zarządzanie relacjami z klientami w ich firmie – ma sens, że SuperOffice chciałby wiedzieć, kim jest ta firma.

Więc damy im przepustkę.

Sprawdź także, jak ładne, podzielone i niezaznaczone są te pola. Proszą o wyraźną zgodę na ich politykę prywatności. Poprosili o oddzielną, czynną zgodę.

Po wprowadzeniu RODO powinno to działać.

5. B

Oni. tak było. blisko.

Do tego drugiego pola wyboru i wzmianki o osobach trzecich.

Zgodnie z RODO każda strona trzecia, której chcesz udostępnić swoje dane, musi być wymieniona. „Zaufane osoby trzecie” nie jest wystarczająco jasne. Kategorie nie działają. Jeśli ktoś zamierza wyrazić zgodę na wysłuchanie stron trzecich, musi dokładnie wiedzieć, kim są te strony.

6. B

Dobrą wiadomością jest to, że… mają rację strony trzecie.

Dostali niezwiązaną zgodę.

Ale to jest rezygnacja, a nie opt-in.

Skontaktujemy się z Tobą, chyba że zaznaczysz „nie”.

Dla mnie to nie brzmi jak afirmatywna, aktywna zgoda.

7. A

10/10.

Włókno ziarniste Woolworth NAILS.

Jeśli zastanawiasz się, dlaczego byłem irracjonalnie podekscytowany tym przykładem – jest to coś, co spieprzyło wiele formularzy.

Częstym błędem jest proszenie o zgodę na przesłanie materiałów, ale zapominanie o oddzieleniu „jak”.

A więc przypomnienie: jeśli chcesz wysyłać SMS-y, potrzebujesz wyraźnej zgody na wysyłanie SMS-ów. Jeśli chcesz wysyłać e-maile, potrzebujesz osobnej, konkretnej zgody na wysyłanie e-maili.

Woolworth informuje również dokładnie, jakiego rodzaju materiały będziesz od nich otrzymywać. To dobry pomysł, zarówno ze względu na zgodność z RODO, jak i przekonanie odbiorców do zarejestrowania się.

8. B

Chwila ciszy dla miękkiego opt-in, bo RODO go zabiło.

Pliki cookie z unikalnymi identyfikatorami są danymi osobowymi w rozumieniu RODO.

A jak pamiętasz – dane osobowe wymagają aktywnej, jednoznacznej, konkretnej zgody, bla tak, bla.

Oznacza to, że cały nonsens „korzystając z tej strony zgadzasz się” nie jest już legalny. I nie możesz zacząć uruchamiać plików cookie, dopóki nie uzyskasz odpowiedzi twierdzącej.

(To duży, skomplikowany, bałaganiarski temat – związany z przecięciem RODO i ePrivacy. Więcej na ten temat przeczytasz tutaj).

9. A

Magnifico

To robi wszystko, co numer 8 zrobił źle, dobrze.

Informuje dokładnie, do czego służą te pliki cookie. A potem daje ci wyraźną możliwość zaakceptowania ich lub nie.

A dla ostatecznego rozkwitu, możesz rozwinąć i wybrać, które ciasteczka są w porządku, a nie w porządku.

Z prawnego punktu widzenia to rzecz piękna.

(Z marketingowego punktu widzenia – nie dałeś użytkownikom zbyt wielu powodów, aby się zgodzić lub nie. Być może lepsze wyjaśnienie korzyści płynących z plików cookie Twojej witryny może pomóc w tym przedsięwzięciu).

10. C

Więc rodzaj podchwytliwego pytania.

Jak wspomnieliśmy, jeśli mówimy o zgodzie zatwierdzonej przez RODO – to się nie udaje. Wstępnie zaznaczone pola to „nie”.

Ale jeśli zadajemy sobie pytanie „Czy Lancome ma prawo wysłać e-mail do tej osoby?” – mamy jeszcze kilka rzeczy do oceny.

Ponieważ na wypadek, gdyby to nie było wystarczająco trudne, zgoda nie jest jedynym sposobem na zgodne z prawem przetwarzanie danych osobowych .

Wpisz: warunek uzasadnionych interesów.

Ale nie podniecaj się. Przetwarzanie danych ze względu na postrzegane „uzasadnione interesy” jest trudne.

Ten warunek jest bardziej w sytuacjach „musiałem przetworzyć numer ich konta, aby wykonać usługi zapobiegania oszustwom”.

Nie „Słusznie myślałem, że są zainteresowani, więc… wysłałem im kilka e-maili bez zgody”.

Ale jedna rzecz, która wydaje się dawać ludziom szansę, ma związek z danymi dla obecnych klientów.

Oto linia w przepisach, o których mówią:

Taki uzasadniony interes może istnieć na przykład wtedy, gdy istnieje odpowiednia i odpowiednia relacja między osobą, której dane dotyczą, a administratorem w sytuacjach, gdy osoba, której dane dotyczą, jest klientem lub w służbie administratora. ” – Motyw 47

Kluczem jest tutaj zadanie sobie pytania: „Czy wykonanie tej czynności doprowadziłoby mnie (osobę, której dane dotyczą) do uzasadnionego oczekiwania, że ​​moje dane będą wykorzystywane w ten sposób?”

Tak więc, jeśli kupię koszulę, czy rozsądnie oczekiwałbym, że otrzymam wiadomość e-mail z potwierdzeniem zakupu? (Bez wyraźnej zgody na otrzymywanie e-maili?).

Tak, masz całkiem niezłą sprawę, gdzie ma zastosowanie uzasadniony interes.

A co z informacją, że w przyszłym tygodniu na podobny produkt będzie ogromna zniżka?

Twoja sprawa staje się coraz cieńsza.

Cotygodniowe e-maile?

Papierrrrr cienki.

Szczerze mówiąc, poza standardowymi potwierdzeniami zamówień, nie zaryzykujemy. Proszenie o zgodę (właściwie!) jest najbezpieczniejszym sposobem na zapewnienie, że twoje bazy są objęte ochroną.

Ale jeśli naprawdę chcesz skorzystać z warunku prawnie uzasadnionego interesu w przetwarzaniu danych osobowych, prosimy o przeczytanie tego w pierwszej kolejności.

11. C

KOLEJNY ZABAWNY ZWROT W TYM.

RODO określa oddzielną kategorię danych zwaną „wrażliwymi danymi osobowymi”. A wymagania dotyczące przetwarzania są różne dla tego typu informacji.

Przyznam wam teraz, to nie jest najlepszy przykład. Więc to było trochę okrutne pytanie i trochę naciągało. (W tej chwili toczy się skomplikowana dyskusja na temat tego, w którym momencie czyjaś waga liczy się jako dane zdrowotne z punktu widzenia prywatności danych, jeśli jesteś zainteresowany).

Oto dokładny opis tego, jakie dane są uważane za „wrażliwe”, z artykułu 9:

Wrażliwe dane osobowe oznaczają dane osobowe składające się z informacji o –

a) pochodzenie rasowe lub etniczne osoby, której dane dotyczą,

b) jego poglądy polityczne,

(c) jego przekonania religijne lub inne przekonania o podobnym charakterze,

(d) czy jest członkiem związku zawodowego (w rozumieniu ustawy o związkach zawodowych i stosunkach pracy (konsolidacja) z 1992 r.),

(e) jego zdrowie lub stan fizyczny lub psychiczny,

(f) jego życie seksualne,

(g) popełnienia lub domniemanego popełnienia przez niego jakiegokolwiek przestępstwa, lub

(h) wszelkie postępowanie w związku z jakimkolwiek przestępstwem popełnionym lub domniemanym, że zostało przez niego popełnione, rozstrzygnięcie takiego postępowania lub wyrok jakiegokolwiek sądu w takim postępowaniu.

Załóżmy więc, że ta aplikacja gromadzi to, co z pewnością liczy się jako dane dotyczące „zdrowia fizycznego lub psychicznego lub stanu zdrowia”. Pyta o wcześniejsze schorzenia, z biegiem czasu rejestruje twoją wagę i ciśnienie krwi lub wzorce snu.

Jeśli zbiera informacje, które zalicza się do wrażliwych danych osobowych, to co?

Gdyby dane osobowe tej aplikacji nie były wrażliwe, wydaje się to całkiem zgodnym formularzem zgłoszeniowym. Wydaje się, że powinna to być sprawa z wyraźnym uzasadnionym interesem.

Rejestrujesz się, aby korzystać z aplikacji. Chcesz korzystać z aplikacji. Wyrażasz zgodę na korzystanie z aplikacji.

A aplikacja śledzi Twoją kondycję.

Oczywiście wydaje Ci się uzasadnione, że proszą o dane dotyczące Twojej kondycji. Dodatkowo znajduje się tam dostępna polityka prywatności i warunki warunków, jeśli chcesz wiedzieć, w jaki sposób te dane są wykorzystywane.

Istnieją jednak dodatkowe warunki przetwarzania, których musimy przestrzegać, jeśli są to „wrażliwe dane osobowe”.

  1. Uzasadnione interesy nie są już traktowane jako warunek przetwarzania.
  2. Jeśli zdecydujesz się na przetwarzanie w oparciu o warunek zgody, nie musi to być już tylko „jednoznaczne” — musi być „wyraźne”.

Oznacza to, że samo kliknięcie przycisku „Zarejestruj mnie” nie wystarczy.

RODO mówi, że potrzebne jest oświadczenie, które „określa charakter gromadzonych danych, szczegóły zautomatyzowanej decyzji i jej skutków lub szczegóły dotyczące danych, które mają być przekazane, oraz ryzyko związane z przekazaniem” (Dyrektywa 95/46/ WE, art. 29).

Lub, jak ICO to rozbija:

Sugeruje to, że zgoda osoby powinna być absolutnie jasna. Powinna obejmować szczegółowe informacje dotyczące przetwarzania; rodzaj informacji (lub nawet konkretne informacje); cele przetwarzania; oraz wszelkie szczególne aspekty, które mogą mieć wpływ na daną osobę, takie jak wszelkie ujawnienia, które mogą zostać dokonane.

A WTEDY, kiedy ludzie już wszystko o tym dowiedzą – musisz poprosić ich o wyraźne działanie. Na przykład zaznaczenie pola „Zgadzam się” lub „Zgadzam się”.

Zasadniczo: powinni wiedzieć wszystko, co robisz z tymi danymi. Powinni ci wyraźnie powiedzieć, że się z tym zgadzają – z akcją afirmatywną.

WIĘC, jeśli są to wrażliwe dane osobowe — samo wrzucenie polityki prywatności i warunków korzystania z usługi drobnym drukiem po formularzu nie wystarczy. Musiałbyś upewnić się, że ludzie mieli okazję go przeczytać, a następnie zaznaczyć pole lub kliknąć przycisk z napisem „Zgadzam się”.