Подробное рассмотрение GDPR: что считается «законным интересом»?

Опубликовано: 2018-03-01
Подробное рассмотрение GDPR: что считается «законным интересом»?

Вы знаете, что они говорят — вы показываете им палец, они возьмут за руку.

Дайте им исключение в отношении законных интересов, и они отправят электронное письмо всем пользователям LinkedIn.

GDPR имеет шесть законных оснований для обработки персональных данных, как указано в статье 6. И законные интересы хорошо подготовлены для наиболее неправомерного использования. Каждый маркетолог, который хочет избежать получения согласия на обработку данных, попытается использовать законные интересы, чтобы запросить его.

Но будь осторожен… очень осторожен. Законный интерес является более строгим положением, чем может показаться.

Итак, давайте поговорим о том, где его можно применить и как мы можем лучше понять его намерения.

Шесть законных оснований для обработки персональных данных

У вас должно быть действующее законное основание для обработки персональных данных, и в настоящее время шесть из них считаются законными.

Никакая отдельная основа не является «лучшей» или более важной, чем другие. И какая основа будет наиболее подходящей для использования, будет зависеть от вашей цели и отношений с человеком.

Следует отметить одну вещь: вы должны определить свое законное основание, прежде чем начать обработку. Вы должны иметь его задокументированным и доступным на случай возможного аудита. Чиновники не будут благосклонно относиться к любым изменениям в последнюю минуту.

Ваше уведомление о конфиденциальности также должно включать ваше законное основание для обработки и ваши цели обработки. Если ваши цели изменятся, вы сможете продолжить обработку в соответствии с первоначальным законным основанием — при условии, что ваша новая цель совместима с вашим первоначальным основанием (предполагается, что вашим законным основанием не было согласие). В любом случае: вы должны обязательно обновить свою политику конфиденциальности.

Для простоты в этой статье мы не будем углубляться в специальные данные, такие как паспорта, биометрические данные и т. д.

Мы сохраним важные для маркетологов вещи: аналитику, лидогенерацию, электронные письма и A/B-тестирование.

Вот что вы можете использовать в качестве законных оснований:

  1. Согласие
  2. Договор
  3. Правовое обязательство
  4. Жизненные интересы
  5. Задача общественного интереса
  6. Законные интересы

10-секундное резюме:

1. Вам нужно получить согласие (этот флажок в ваших формах),
2. Вам необходимо заключить договор с физическим лицом или компанией (где вы оба согласились на обработку персональных данных).
3-5. Мы оставим их на другой раз, так как они не предназначены для маркетологов.
6. Законный интерес. Это звучит проще всего, верно? Просто убедитесь, что у вас есть веская «законная» причина для обработки персональных данных, и покончите с этим. Прощай, согласие?

Законный интерес: что это такое?

Законные интересы являются наиболее гибкой законной основой для обработки, но вы не можете предположить, что она всегда будет наиболее подходящей.

Это, вероятно, будет наиболее подходящим, если вы используете данные людей способами, которые они разумно ожидают, и которые имеют минимальное влияние на конфиденциальность. ИЛИ при наличии веских оснований для обработки. Это то, что говорится в части 47 GDPR о законных интересах.

Законные интересы контролера, в том числе контролера, которому могут быть раскрыты персональные данные, или третьего лица, могут служить правовой основой для обработки при условии, что интересы или основные права и свободы субъекта данных без приоритета, принимая во внимание разумные ожидания субъектов данных, основанные на их отношениях с контролером. Такой законный интерес может существовать, например, при наличии соответствующих и надлежащих отношений между субъектом данных и контролером в таких ситуациях, как когда субъект данных является клиентом или находится на службе у контролера. В любом случае наличие законного интереса потребует тщательной оценки, в том числе того, может ли субъект данных разумно ожидать во время и в контексте сбора персональных данных, что обработка для этой цели может иметь место. Интересы и основные права субъекта данных могут, в частности, преобладать над интересами контролера данных, когда персональные данные обрабатываются в обстоятельствах, когда субъекты данных не ожидают дальнейшей обработки. Учитывая, что законодатель должен законодательно установить правовую основу для обработки государственными органами персональных данных, эта правовая основа не должна применяться к обработке государственными органами при выполнении ими своих задач. Обработка персональных данных, строго необходимая для предотвращения мошенничества, также представляет собой законный интерес соответствующего контроллера данных. Обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах.

Если вы решите полагаться на законные интересы, вы берете на себя дополнительную ответственность за соблюдение и защиту прав и интересов людей .

Поэтому, если у вас есть система, в которой вы действительно уверены, что гарантируете конфиденциальность пользователей, это убедительный показатель того, что вы можете использовать законный интерес.

В основе законных интересов лежат три элемента. Полезно думать об этом как о тесте, состоящем из трех частей. Тебе следует:

  1. определить законный интерес;
  2. показать, что обработка необходима для ее достижения; а также
  3. сбалансировать его с интересами, правами и свободами личности.

Законными интересами могут быть ваши собственные интересы или интересы третьих лиц. Они могут включать коммерческие интересы, личные интересы или более широкие социальные выгоды.

Обработка также должна быть необходимой. Если вы можете разумно достичь того же результата другим, менее навязчивым способом — законные интересы больше не применяются,

Кроме того, вам необходимо выполнить следующие шаги, используя законные интересы:

  • Вы должны сбалансировать свои интересы с интересами человека. Если они не будут разумно ожидать обработки или если это нанесет неоправданный вред, их интересы, вероятно, превалируют над вашими законными интересами.
  • Ведите учет оценки ваших законных интересов (LIA), чтобы помочь вам продемонстрировать соблюдение требований, если это необходимо.
  • Вы должны включить информацию о своих законных интересах в свое уведомление о конфиденциальности.

Контрольный список Управления конфиденциальности ICO (Великобритания) для законного интереса

На веб-сайте ICO (Управление комиссара по информации) есть контрольный список, призванный помочь вам определить, оправдана ли обработка ваших данных законными интересами.

Если вы хотите перестраховаться, убедитесь, что вы можете подтвердить следующее:

  • Мы проверили, что законные интересы являются наиболее подходящим основанием.
  • Мы понимаем свою ответственность за защиту интересов человека.
  • Мы провели оценку законных интересов (LIA) и сохранили ее запись, чтобы убедиться, что мы можем обосновать свое решение.
  • Мы определили соответствующие законные интересы.
  • Мы проверили, что обработка необходима и есть не менее навязчивый способ добиться такого же результата.
  • Мы провели тест баланса и уверены, что интересы человека не преобладают над законными интересами.
  • Мы используем данные отдельных лиц только так, как они разумно ожидают, за исключением случаев, когда у нас есть очень веская причина.
  • Мы не используем данные людей способами, которые могут показаться им навязчивыми или причинить им вред, за исключением случаев, когда у нас есть очень веская причина.
  • Если мы обрабатываем данные детей, мы уделяем особое внимание защите их интересов.
  • Мы рассмотрели меры предосторожности, чтобы уменьшить воздействие, где это возможно.
  • Мы рассмотрели, можем ли мы предложить отказ.
  • Если наш LIA выявляет значительное влияние на конфиденциальность, мы рассматриваем необходимость проведения DPIA.
  • Мы держим наш LIA в поле зрения и повторяем его, если обстоятельства меняются.
  • Мы включаем информацию о наших законных интересах в наше уведомление о конфиденциальности.

Использование законного интереса для A/B-тестирования

В дальнейшем GDPR и Директива о конфиденциальности станут двумя правовыми краеугольными камнями для цифровых маркетологов.

И как говорится: IP-адреса, файлы cookie — теперь эти вещи считаются «личными данными».

Так что законные интересы в стороне: вам, скорее всего, потребуется согласие на использование файлов cookie и других идентификаторов с вашими текущими инструментами A/B-тестирования.

Вот почему:

Довольно сложно иметь аргументы в пользу сбалансированного, законного интереса, если вы используете стороннее программное обеспечение для обогащения своих сегментов или хранения каждого шага посетителей вашего веб-сайта. Такой тип хранилища является обычной практикой для таких инструментов, как Heap, или любой подобной программы, которая имеет возможности пост-сегментации или предиктивной аналитики.

Со многими ведущими решениями для A/B-тестирования вы храните много данных о пользователе. И вы используете эти данные впоследствии, как хотите, не информируя пользователя об этом процессе.

Возвращаясь к контрольному списку…

Пользователи, заходящие на ваш веб-сайт, «разумно ожидают», что вы будете использовать их данные для прогнозирования моделей их покупок?

Является ли ваша «законная необходимость» хранить избыток их данных, чтобы преодолеть возражения, которые они могут иметь против вас?

Такой сбор данных, вероятно, требует специального согласия. Это означает, что вы не должны загружать файлы cookie или эксперименты без специального согласия.

A/B-тестирование, минус хранение личных данных

После принятия GDPR мы изменили интерфейс Convert Experience. И мы продолжаем работать над этим, поэтому мы на 100% готовы к 25 мая 2018 года.

Это означает, что когда вы используете Convert с настройками по умолчанию, он будет соответствовать GDPR без необходимости получения согласия (см. нашу дорожную карту здесь).

Идентификаторы файлов cookie, уникальные идентификаторы и IP-адреса не сохраняются. На самом деле все максимально урезано, так что никакие личные данные не хранятся и не используются.

Это означает, что согласие не требуется.

Что может понадобиться, так это проинформировать посетителей веб-сайта о том, как вы проводите A/B-тестирование.

Возможно, для большей безопасности пользователи должны включить законный интерес в свою политику конфиденциальности, чтобы сигнализировать о том, что этот файл cookie, размещенный для программного обеспечения для A/B-тестирования, не хранит личные данные. И упомянуть о стратегическом интересе для вас, как для компании, необходимо разместить этот аналитический файл cookie для повышения эффективности вашего бизнеса.

Подвести итог:

Согласие и законный интерес, скорее всего, являются наиболее часто используемыми законными основаниями для цифровых маркетологов.

Без сомнения, согласие — это самый безопасный способ избежать любых судебных исков против вашей компании.

Законный интерес следует использовать только в тех редких случаях, когда вы оказываетесь припертыми к стене, и когда вы уверены, что личные данные не хранятся и не обрабатываются или их очень мало.

Убедитесь, что вам на 100 % ясно, почему вы считаете законный интерес жизнеспособным, и сохраните его на случай проверки.

Потому что это сложно, но это не ракетостроение. Если это звучит подло, то спросите согласия. Если это действительно безвредная обработка, приведите веские доводы в пользу минимального воздействия на ваших клиентов и посетителей веб-сайта.

И помните: до GDPR осталось всего несколько месяцев. Будьте в курсе, общайтесь со своими поставщиками и подготовьтесь к более прозрачной среде обработки данных.