Știți cum să procesați datele conform GDPR? Apoi treceți acest test rapid.

Publicat: 2018-03-10

Unele chestionare îți spun dacă personalitatea ta este mai degrabă o „primăvară” sau o „toamnă”.

Unii vă spun dacă Autoritatea pentru Protecția Datelor are sau nu dreptul legal de a vă amenda compania cu milioane de dolari.

Ghici care este acesta.

Este timpul să ne jucăm, respectă GDPR?

1.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

2.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

3.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

4.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

5.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

6.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

7.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

8.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații

9.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

10.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

11.

Acest lucru este conform.
Acest lucru nu este conform.
Hmm... avem nevoie de mai multe informații.

Cheie răspuns

Dacă ai... 11 din 11

Felicitări! Ești un superstar GDPR... sau așa ceva.

Titlurile, premiile și insignele nu sunt importante. Dar respectarea GDPR este foarte mult.

Și cu siguranță se pare că știți cum să procesați datele personale (cu excepția cazului în care ați ghicit) - fie că este vorba despre cookie-uri, e-mailuri sau date sensibile.

Așa că te bătui pe spate. Împărtășește-ți înțelepciunea. Pregătește-ți colegii. Și recitiți explicațiile de mai jos, dacă există ceva de care nu ești sigur.

Dacă ai... ceva mai puțin de 11 din 11.

Pai bine. Am luat. Chestia asta este grea.

Poate vrei să continui să citești...

Dor de unul? Ghici de câteva ori? Ai nevoie de un memento? Iată o defalcare rapidă.

1. B

Hei, uite, este acel exemplu pe care poate l-ai văzut pe internet!

Așa este, prieteni, nu vă verificați dinainte casetele de consimțământ. Oamenii trebuie să-și dea consimțământul în mod activ acum.

„Am vrut doar să dau clic pe butonul „următorul”. Nici măcar nu am văzut acea casetă de selectare. Acum sunt pe lista ta de e-mail?” — nu este niciodată un lucru pe care utilizatorii tăi ar trebui să se gândească.

Iată ce spune GDPR despre procesarea consimțământului, pentru a-l oficializa:

Consimțământul persoanei vizate înseamnă orice indicație liberă, specifică, informată și fără ambiguitate a dorințelor persoanei vizate prin care aceasta, printr-o declarație sau printr-o acțiune afirmativă clară, semnifică acordul cu privire la prelucrarea datelor cu caracter personal care o privesc sau ea – articolul 4

Acțiune clară, afirmativă. Ține acele cutii goale.

2. B

Nu, neconform.

Cheia aici este ceva numit „grupare” – care nu este permisă de GDPR. Iată câteva citate diferite care îi dau un „nu”.

„Dacă consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte chestiuni, cererea de consimțământ se prezintă într-un mod care să se distingă în mod clar de celelalte aspecte (…) ” – articolul 7 alineatul (2)

„Consimțământul ar trebui să acopere toate activitățile de prelucrare efectuate în același scop sau scopuri. Atunci când prelucrarea are scopuri multiple, consimțământul trebuie dat pentru toate acestea ” – Considerentul 32

Deci, participi la un eveniment? Acesta este un „scop diferit” clar decât un buletin informativ lunar. Consimțământul trebuie solicitat separat.

3. B

Acesta arată ca formularul nostru standard, persuasiv de înscriere. Și aceasta este tot felul de neconforme.

În primul rând, se cere să colecteze o mulțime de informații care nu sunt necesare pentru ca subiectul de date să atingă scopul lor (alias: trimiterea PDF-ului pentru care se înscriu pentru a primi). Acest lucru contravine cerinței GDPR de minimizare a datelor sau „confidențialitate prin proiectare”. Cea mai bună practică aici este: dacă colectați informații și nu este clar de ce le colectați, ar trebui să faceți acest lucru cunoscut utilizatorilor dvs.

Facebook oferă un exemplu excelent despre cum să faci acest lucru corect:

În plus, acest exemplu, din nou, este grupare.

Este un grup puțin mai puțin flagrant decât exemplul anterior. Aici, dacă sunteți de acord să primiți PDF-ul, vă dați cel puțin acordul pentru a primi conținut. Un abonament la o listă de e-mail și o descărcare, în acest sens, au un „scop” similar. Totuși, așa cum este formulat, ți-ar fi greu să le încadrați drept „la fel”. Deci consimțământul ar trebui dat separat.

4. A

Hei, nu, acesta este destul de bun!

Acum ați putea argumenta că nu trebuie să colecteze un nume de companie sau un număr de telefon aici. Așadar, adaptându-ne la confidențialitate prin design, acele câmpuri ar trebui omise.

Dar având în vedere că scopul dvs. de utilizator aici este de a testa rularea unui CRM și știți, gestionați relațiile cu clienții pentru compania lor - are sens ca SuperOffice să dorească să știe cine este acea companie.

Așa că le vom da o trecere.

De asemenea, verificați cât de frumoase și segmentate și nebifate sunt acele casete. Ei solicită o optare explicită în politica lor de confidențialitate. Au cerut consimțământ separat, activ.

Când GDPR este instalat, acest lucru ar trebui să zboare.

5. B

Ei. asa erau. închide.

Până la a doua casetă de selectare și menționarea terților.

Conform GDPR, orice terță parte cu care doriți să partajați datele dvs. trebuie să fie numită. „Terți de încredere” nu este suficient de clar. Categoriile nu funcționează. Dacă cineva se va înscrie pentru audierea de la terți, trebuie să știe exact cine sunt acele părți.

6. B

Deci, vestea bună este că... au avut dreptate terții.

Au primit consimțământul dezasamblat corect.

Dar aceasta este o renunțare, nu o înscriere.

Veți fi contactat dacă nu bifați „nu”.

Nu mi se pare un consimțământ afirmativ și activ.

7. A

10/10.

Opțiunea granulară Woolworth NAILS.

Dacă vă întrebați de ce m-am entuziasmat în mod irațional de acest exemplu - acesta este ceva ce o mulțime de forme înșală.

O greșeală comună este să ceri consimțământul pentru a trimite materiale, dar să uiți să separați „cum”.

Așadar, o reamintire: dacă doriți să trimiteți texte, aveți nevoie de un acord specific pentru a trimite mesaje. Dacă doriți să trimiteți e-mailuri, aveți nevoie de acord separat, specific, pentru a trimite e-mailuri.

Woolworth vă spune, de asemenea, exact ce fel de materiale veți primi de la ei. Este o idee bună, atât pentru conformitatea cu GDPR, cât și pentru a vă convinge publicul să se înscrie.

8. B

Un moment de reculegere pentru soft opt-in, pentru că GDPR a distrus-o.

Cookie-urile, cu identificatori unici, sunt date personale conform GDPR.

Și după cum vă amintiți, datele personale necesită consimțământ activ, clar, specific, yada yada yada.

Aceasta înseamnă că toate prostiile „prin folosirea acestui site sunteți de acord” nu mai sunt legale. Și nu puteți începe să rulați cookie-uri până nu obțineți un da afirmativ.

(Acesta este un subiect mare, complicat, dezordonat – care are de-a face cu intersecția dintre GDPR și ePrivacy. Puteți citi mai multe despre el aici).

9. A

Aceasta face tot ceea ce numărul 8 a făcut greșit, corect.

Vă spune exact pentru ce sunt folosite acele cookie-uri. Și apoi îți oferă o opțiune clară de a le accepta sau de a nu le accepta.

Și pentru o înflorire finală, vă permite să extindeți și să selectați ce cookie-uri sunteți de acord și cu care nu sunt de acord.

Este un lucru frumos, din punct de vedere legal.

(Din punct de vedere al marketingului, totuși, nu le-ați oferit utilizatorilor un motiv prea mare pentru a se înscrie sau nu. Poate că o explicație mai bună a beneficiului cookie-urilor site-ului dvs. ar putea ajuta în acest demers).

10. C

Deci, un fel de întrebare truc.

După cum am menționat, dacă vorbim despre consimțământul aprobat de GDPR, acesta nu reușește. Casetele pre-bifate sunt „nu”.

Dar dacă ne întrebăm „Lancome are dreptul să trimită un e-mail acestei persoane?”, mai avem câteva lucruri de evaluat.

Pentru că, în cazul în care acest lucru nu ar fi suficient de complicat, consimțământul nu este singura modalitate de a procesa datele cu caracter personal în mod legal .

Introduceți: condiția intereselor legitime.

Dar nu te entuziasma. Procesarea datelor din cauza „intereselor legitime” percepute este dificilă.

Această condiție este mai mult pentru situațiile „Am avut nevoie să procesez numărul de cont pentru a efectua servicii de prevenire a fraudei”.

Nu „Am crezut în mod legitim că sunt interesați, așa că... le-am trimis o grămadă de e-mailuri fără consimțământ”.

Dar unul dintre lucrurile care pare să le dea oamenilor drumul înainte are de-a face cu datele clienților existenți.

Iată linia din legislația despre care vorbesc:

„ Un astfel de interes legitim ar putea exista, de exemplu, acolo unde există o relație relevantă și adecvată între persoana vizată și operator, în situații precum persoana vizată este client sau în serviciul operatorului. ” – Considerentul 47

Cheia aici este să vă întrebați: „Efectuând această acțiune, m-ar determina pe mine (persoana vizată) să mă aștept în mod rezonabil că datele mele vor fi utilizate în acest fel?”

Deci, dacă îmi cumpăr o cămașă, m-aș aștepta în mod rezonabil să primesc un e-mail de confirmare a achiziției mele? (Fără a fi de acord în mod explicit pentru a primi e-mailuri?).

Da, aveți un caz destul de bun, aici se aplică un interes legitim.

Ce zici de o notificare că există o reducere uriașă săptămâna viitoare la un produs similar?

Carcasa ta se subțiază puțin.

E-mailuri săptămânale?

Hârtierrrr subțire.

Sincer să fiu, după confirmările standard de comandă, nu am risca. A cere consimțământul (în mod corespunzător!), este cel mai sigur mod de a vă asigura că bazele dvs. sunt acoperite.

Dar dacă doriți cu adevărat să folosiți condiția interesului legitim pentru a procesa date cu caracter personal, vă rugăm să citiți mai întâi acest lucru.

11. C

O altă răsucire distractivă la acesta.

GDPR subliniază o categorie separată de date numită „date cu caracter personal sensibile”. Iar cerințele de procesare sunt diferite pentru acest tip de informații.

O să recunosc chiar acum, acesta nu este cel mai bun exemplu. Deci a fost o întrebare crudă și este un fel de întinsă. (Există o discuție complicată în acest moment cu privire la momentul în care greutatea cuiva contează ca date de sănătate din punct de vedere al confidențialității datelor, dacă ești interesat).

Iată limba exactă a datelor care sunt considerate „sensibile”, din articolul 9:

Date personale sensibile înseamnă date cu caracter personal care constau în informații cu privire la:
(a) originea rasială sau etnică a persoanei vizate;
(b) opiniile sale politice,
(c) convingerile sale religioase sau alte credințe de natură similară,
(d) dacă este membru al unui sindicat (în sensul Legii din 1992 privind sindicatele și relațiile de muncă (consolidare));
(e) sănătatea sau starea sa fizică sau psihică,
(f) viața sa sexuală,
(g) săvârșirea sau presupusa săvârșire de către acesta a oricărei infracțiuni sau
(h) orice procedură pentru orice infracțiune comisă sau presupusă a fi comisă de acesta, soluționarea unor astfel de proceduri sau sentința oricărei instanțe în cadrul unor astfel de proceduri.

Deci, să presupunem că această aplicație colectează ceea ce, cu siguranță, contează drept date despre „sănătatea sau starea fizică sau mintală” a unui subiect. Întreabă despre afecțiunile medicale anterioare, vă înregistrează greutatea și tensiunea arterială, sau modelele de somn, în timp.

Dacă colectează informații care sunt considerate date personale sensibile, atunci ce?

Dacă datele personale pentru această aplicație nu erau sensibile, acesta pare a fi un formular de admisie destul de conforme. Se pare că ar trebui să fie un caz clar de interese legitime.

Vă înregistrați pentru a utiliza aplicația. Doriți să utilizați aplicația. Sunteți de acord să utilizați aplicația.

Iar aplicația vă urmărește starea de fitness.

Desigur, vi se pare legitim, că vă cer date despre starea dvs. de fitness. În plus, există o politică de confidențialitate accesibilă și o declarație a termenilor și condițiilor acolo, dacă doriți să știți cum sunt utilizate acele date.

Dar există condiții suplimentare de prelucrare pe care trebuie să le respectăm, dacă acestea sunt „date personale sensibile”.

Interesele legitime nu mai contează drept condiție de procesare.
Dacă alegeți să procesați pe baza condiției consimțământului, acesta nu trebuie să mai fie doar „neechivoc”, ci trebuie să fie „explicit”.

Aceasta înseamnă că doar să faceți clic pe un buton „Înscrieți-mă” nu este suficient de bun.

GDPR spune că aveți nevoie de o declarație care să „specifice natura datelor care sunt colectate, detaliile deciziei automate și efectele acesteia, sau detaliile datelor care urmează să fie transferate și riscurile transferului” (Directiva 95/46/). CE, articolul 29).

Sau, pe măsură ce ICO îl defalcă:

Acest lucru sugerează că consimțământul individului ar trebui să fie absolut clar. Ar trebui să acopere detaliile specifice procesării; tipul de informații (sau chiar informațiile specifice); scopurile prelucrarii; și orice aspecte speciale care pot afecta persoana, cum ar fi orice dezvăluiri care pot fi făcute.

ȘI APOI, odată ce oamenii știu totul despre asta, trebuie să le solicitați o acțiune explicită. De exemplu, bifarea unei casete care spune „Sunt de acord” sau „Sunt de acord”.

Practic: ar trebui să știe tot ce faci cu acele date. Și ar trebui să vă spună clar că sunt de acord cu asta - cu o acțiune afirmativă.

Deci, dacă acestea sunt date personale sensibile, nu este suficient să aruncați politica de confidențialitate și termenii și condițiile, cu litere mici după formular. Ar trebui să vă asigurați că oamenii au șansa să o citească și apoi să bifați o casetă sau să faceți clic pe un buton care spune „Sunt de acord”.