GDPR Deep Dive: Ce contează drept „interes legitim?”

Publicat: 2018-03-01
GDPR Deep Dive: Ce contează drept „interes legitim?”

Știi ce spun ei – le dai un deget, ei vor lua mâna.

Oferiți-le o excepție de interes legitim și ei vor trimite e-mail la rece tot LinkedIn.

GDPR are șase temeiuri legale pentru prelucrarea datelor cu caracter personal, așa cum este subliniat în articolul 6. Și interesele legitime sunt bine configurate pentru a fi cele mai utilizate abuziv. Fiecare agent de marketing care dorește să evite obținerea consimțământului pentru prelucrarea datelor, va încerca să folosească interesul legitim ca o modalitate de a le cere.

Dar fii atent... foarte atent. Interesul legitim este o prevedere mai strictă decât pare.

Deci haideți să vorbim despre unde poate fi aplicat și despre cum îi putem înțelege mai bine intențiile.

Șase temeiuri legale pentru prelucrarea datelor cu caracter personal

Trebuie să aveți o bază legală valabilă pentru a procesa datele cu caracter personal și există șase care sunt acum considerate legale.

Nicio bază nu este „mai bună” sau mai importantă decât celelalte. Și care bază este cea mai potrivită de utilizat va depinde de scopul dvs. și de relația cu individul.

Un lucru de reținut: trebuie să vă determinați temeiul legal înainte de a începe procesarea. Ar trebui să îl aveți documentat și disponibil, în cazul unui potențial audit. Oficialii nu vor privi cu amabilitate nicio comutare de ultim moment.

Notificarea dvs. de confidențialitate ar trebui să includă, de asemenea, baza legală pentru prelucrare și scopurile dvs. de prelucrare. Dacă scopurile dvs. se schimbă, este posibil să puteți continua procesarea conform bazei legale inițiale - presupunând că noul dvs. scop este compatibil cu baza dvs. inițială (acest lucru presupune că baza dvs. legală nu a fost consimțământul). Oricum ar fi: ar trebui să vă asigurați că vă actualizați politica de confidențialitate.

Din motive de simplitate, acest articol nu se va scufunda în date speciale, cum ar fi pașapoarte, date biometrice etc.

Vom păstra lucrurile pertinente pentru marketeri: analize, generare de clienți potențiali, e-mailuri și testare a/b.

Iată ce puteți folosi ca temeiuri legale:

  1. Consimţământ
  2. Contracta
  3. Obligatie legala
  4. Interese vitale
  5. Sarcina de interes public
  6. Interese legitime

Rezumat de 10 secunde:

1. Trebuie să obțineți consimțământul (aceasta casetă de selectare din formularele dvs.),
2. Trebuie să aveți un contract cu persoana sau compania (în cazul în care amândoi sunteți de acord că datele personale trebuie prelucrate).
3-5. Le vom lăsa pe acestea pentru altă dată, deoarece nu sunt destinate agenților de marketing.
6. Interes legitim. Sună cel mai ușor, nu? Asigurați-vă că aveți un motiv bun, „legitim” pentru a procesa datele cu caracter personal și a termina cu ele. La revedere consimțământul?

Interes legitim: ce este?

Interesele legitime sunt cea mai flexibilă bază legală pentru prelucrare, dar nu puteți presupune că va fi întotdeauna cea mai potrivită.

Este probabil să fie cel mai potrivit atunci când utilizați datele oamenilor în moduri la care s-ar aștepta în mod rezonabil și care au un impact minim asupra confidențialității. SAU acolo unde există o justificare convingătoare pentru prelucrare. Acesta este ceea ce spune considerentul 47 GDPR despre interesul legitim.

Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia i se pot dezvălui datele cu caracter personal, sau ale unui terț, pot constitui un temei legal pentru prelucrare, cu condiția ca interesele sau drepturile și libertățile fundamentale ale persoanei vizate să fie nu prevalează, luând în considerare așteptările rezonabile ale persoanelor vizate pe baza relației lor cu operatorul. Un astfel de interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, în situații precum persoana vizată este client sau în serviciul operatorului. În orice caz, existența unui interes legitim ar necesita o evaluare atentă, inclusiv dacă o persoană vizată se poate aștepta în mod rezonabil la momentul și în contextul colectării datelor cu caracter personal, la care poate avea loc prelucrarea în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea, în special, să prevaleze asupra interesului operatorului de date în cazul în care datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu se așteaptă în mod rezonabil la o prelucrare ulterioară. Având în vedere că este de competența legiuitorului să prevadă prin lege temeiul juridic pentru ca autoritățile publice să prelucreze date cu caracter personal, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor lor. Prelucrarea datelor cu caracter personal strict necesară în scopul prevenirii fraudei constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea datelor cu caracter personal în scopuri de marketing direct poate fi considerată ca fiind efectuată pentru un interes legitim.

Dacă alegeți să vă bazați pe interese legitime, vă asumați o responsabilitate suplimentară pentru luarea în considerare și protejarea drepturilor și intereselor oamenilor .

Deci, dacă aveți un sistem în care sunteți cu adevărat sigur că ați garantat confidențialitatea utilizatorilor, acesta este un indicator puternic că puteți utiliza interesul legitim.

Există trei elemente în baza intereselor legitime. Te ajută să te gândești la asta ca la un test în trei părți. Trebuie să:

  1. identificarea unui interes legitim;
  2. arata ca prelucrarea este necesara pentru realizarea acesteia; și
  3. echilibrează-l cu interesele, drepturile și libertățile individului.

Interesele legitime pot fi interesele dvs. proprii sau interesele terților. Acestea pot include interese comerciale, interese individuale sau beneficii societale mai largi.

Prelucrarea trebuie de asemenea să fie necesară. Dacă puteți obține în mod rezonabil același rezultat într-un alt mod mai puțin intruziv - interesele legitime nu se mai aplică,

În plus, trebuie să urmați următorii pași folosind interesul legitim:

  • Trebuie să echilibrezi interesele tale cu ale individului. Dacă nu s-ar aștepta în mod rezonabil la prelucrare sau dacă ar cauza un prejudiciu nejustificat, este posibil ca interesele lor să prevaleze asupra intereselor dumneavoastră legitime.
  • Păstrați o evidență a evaluării intereselor dvs. legitime (LIA) pentru a vă ajuta să demonstrați conformitatea, dacă este necesar.
  • Trebuie să includeți detalii despre interesele dvs. legitime în notificarea dvs. de confidențialitate.

Lista de verificare a autorității de confidențialitate ICO (Marea Britanie) pentru interes legitim

Site-ul web ICO (Information Commissioner's Office) are o listă de verificare menită să vă ajute să determinați dacă prelucrarea datelor dumneavoastră este justificată de interesele legitime.

Dacă doriți să jucați în siguranță, asigurați-vă că puteți confirma următoarele:

  • Am verificat că interesele legitime sunt cea mai potrivită bază.
  • Înțelegem responsabilitatea noastră de a proteja interesele individului.
  • Am efectuat o evaluare a intereselor legitime (LIA) și am ținut o evidență a acesteia, pentru a ne asigura că ne putem justifica decizia.
  • Am identificat interesele legitime relevante.
  • Am verificat că prelucrarea este necesară și nu există o modalitate mai puțin intruzivă de a obține același rezultat.
  • Am făcut un test de echilibrare și suntem încrezători că interesele individului nu prevalează asupra acestor interese legitime.
  • Folosim datele persoanelor fizice numai în moduri la care s-ar aștepta în mod rezonabil, cu excepția cazului în care avem un motiv foarte întemeiat.
  • Nu folosim datele oamenilor în moduri pe care le-ar considera intruzive sau care le-ar putea cauza prejudicii, cu excepția cazului în care avem un motiv foarte întemeiat.
  • Dacă procesăm datele copiilor, avem o grijă deosebită pentru a ne asigura că le protejăm interesele.
  • Am luat în considerare măsuri de protecție pentru a reduce impactul acolo unde este posibil.
  • Ne-am gândit dacă putem oferi o renunțare.
  • Dacă LIA nostru identifică un impact semnificativ asupra confidențialității, ne-am gândit dacă trebuie să efectuăm și o DPIA.
  • Ne menținem LIA sub revizuire și îl repetăm ​​dacă circumstanțele se schimbă.
  • Includem informații despre interesele noastre legitime în notificarea noastră de confidențialitate.

Utilizarea interesului legitim pentru testarea A/B

În continuare, GDPR și Directiva privind confidențialitatea electronică vor fi cele două pietre de temelie legale pentru agenții de marketing digital.

Și așa cum subliniază: adrese IP, cookie-uri - aceste lucruri sunt acum considerate „date personale”.

Deci, interesele legitime deoparte: cel mai probabil veți avea nevoie de consimțământ pentru cookie-uri și alți identificatori cu instrumentele dvs. actuale de testare A/B.

Iata de ce:

Este destul de greu să ai un argument pentru un interes echilibrat și legitim dacă folosești software terță parte pentru a-ți îmbogăți segmentele sau pentru a stoca fiecare mișcare a vizitatorilor site-ului. Acest tip de stocare este o practică obișnuită cu instrumente precum Heap sau orice program similar care are capacități de post-segmentare sau de analiză predictivă.

Cu multe soluții de testare A/B de vârf, stocați o mulțime de date despre un utilizator. Și utilizați acele date, după aceea, cum doriți, fără a informa utilizatorul despre acel proces.

Privind înapoi la lista de verificare...

Utilizatorii care intră pe site-ul tău „se așteaptă în mod rezonabil” să folosești datele lor pentru a-și prezice modelele de cumpărare?

Este „necesitatea dumneavoastră legitimă” de a stoca un exces din datele lor, sigur că veți trece peste obiecțiile pe care le-ar putea avea față de dvs. să le folosiți?

Acest tip de colectare de date necesită probabil un consimțământ specific. Ceea ce înseamnă că nu ar trebui să încărcați cookie-uri sau experimente fără o anumită înscriere.

Testare A/B, minus stocarea datelor cu caracter personal

De la adoptarea GDPR, am reproiectat Experiențe Convert. Și continuăm să lucrăm la el, așa că suntem 100% pregătiți înainte de 25 mai 2018.

Aceasta înseamnă că atunci când utilizați Convertiți în setările implicite — va respecta GDPR fără a fi necesar consimțământul (consultați foaia noastră de parcurs aici).

Nu sunt stocate ID-uri cookie, identificatori unici și IP-uri. Într-adevăr, totul este demontat, pe cât posibil, astfel încât să nu fie stocate sau utilizate date personale.

Aceasta înseamnă că nu este nevoie de consimțământ.

Ceea ce ar putea fi necesar, este să informați vizitatorii site-ului web despre modul în care gestionați testarea A/B.

Poate că, pentru a fi pe partea cea mai sigură, utilizatorii ar trebui să includă interes legitim în politicile lor de confidențialitate - pentru a semnala că acel cookie plasat pentru software-ul de testare A/B nu stochează date personale. Și pentru a menționa interesul strategic pentru tine, ca companie, face necesară plasarea acestui cookie de analiză, pentru a îmbunătăți performanța afacerii tale.

Pentru a rezuma:

Consimțământul și interesul legitim sunt cel mai probabil cele mai utilizate baze legitime pentru agenții de marketing digital.

Fără îndoială, consimțământul este cel mai sigur mod de a evita orice acțiuni legale împotriva companiei dumneavoastră.

Interesul legitim ar trebui folosit doar în cazul rar în care vă aflați cu spatele lipit de perete și în care sunteți sigur că nu există, sau extrem de puține, date personale stocate și prelucrate.

Asigurați-vă că este clar 100% de ce credeți că interesul legitim este viabil și păstrați-l în cazul unui audit.

Pentru că este complicat, dar nu este știință rachetă. Dacă sună ascuns, atunci cere consimțământul. Dacă este o procesare cu adevărat inofensivă, argumentați cu siguranță pentru un impact minim asupra clienților și vizitatorilor site-ului.

Și amintiți-vă: GDPR sunt la doar câteva luni distanță. Rămâneți informat, discutați cu furnizorii dvs. și pregătiți-vă pentru un peisaj de procesare a datelor mai transparent.