Знаете, как обрабатывать данные в соответствии с GDPR? Тогда пройдите этот быстрый тест.

Некоторые викторины говорят вам, какой характер у вас больше — «весна» или «осень».

Некоторые говорят вам, имеет ли Управление по защите данных законное право оштрафовать вашу компанию на миллионы долларов.

Угадайте, какой это.

Пришло время поиграть, соответствует ли это GDPR?

1.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

2.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

3.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

4.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

5.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

6.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

7.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

8.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации

9.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

10.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

11.

1. Это соответствует.
2. Это не соответствует требованиям.
3. Хм… нам нужно больше информации.

Ключ ответа

1. Б
2. Б
3. Б
4. А
5. Б
6. Б
7. А
8. Б
9. А
10. С
11. С

Если вы получили… 11 из 11

Поздравляю! Вы суперзвезда GDPR… или что-то в этом роде.

Титулы, награды и значки не важны. Но соблюдение GDPR очень важно.

И, похоже, вы знаете, как обрабатывать личные данные (если вы не догадались) — будь то файлы cookie, электронные письма или конфиденциальные данные.

Так что похлопайте себя по спине. Поделитесь своей мудростью. Готовьте своих коллег. И перечитайте объяснения ниже, если есть что-то, в чем вы не уверены.

Если вы получили… что-нибудь меньше, чем 11 из 11.

Хорошо. Мы получим это. Это тяжело.

Возможно, вы захотите продолжить чтение….

Пропустить один? Угадайте несколько раз? Нужно напоминание? Вот краткий разбор.

1. Б

Эй, посмотрите, это тот пример, который вы, возможно, видели в Интернете!

Верно, друзья, не ставьте предварительные флажки согласия. Сейчас люди должны активно давать согласие.

«Я просто хотел нажать кнопку «Далее». Я даже не увидел этот флажок. Теперь я в вашем списке адресов электронной почты?» — никогда не должны думать ваши пользователи.

Вот что GDPR говорит о согласии на обработку, чтобы сделать его официальным:

Согласие» субъекта данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, которым он или она заявлением или четким утвердительным действием выражает согласие на обработку относящихся к нему персональных данных или ее – статья 4

Четкое, утвердительное действие. Оставьте эти поля пустыми.

2. Б

Нет, не соответствует.

Ключевым моментом здесь является то, что называется «связкой», что не разрешено GDPR. Вот несколько разных цитат, которые дают этому «нет».

«Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, запрос о согласии должен быть представлен таким образом, который четко отличается от других вопросов (…) » – Статья 7(2)

«Согласие должно охватывать все действия по обработке, осуществляемые с той же целью или целями. Когда обработка имеет несколько целей, согласие должно быть дано для всех из них » – Концертная часть 32

Итак, участие в мероприятии? Это явно «другая цель», чем ежемесячный информационный бюллетень. Согласие нужно запрашивать отдельно.

3. Б

Это похоже на нашу стандартную убедительную форму подписки. И это всякие несоответствия.

Во-первых, он просит собрать много информации, которая не нужна для того, чтобы субъект данных достиг своей цели (также известный как отправка им PDF-файла, на получение которого они подписываются). Это противоречит требованию GDPR о минимизации данных или «конфиденциальности по замыслу». Лучшая практика здесь такова: если вы собираете информацию, и непонятно, зачем вы ее собираете, вы должны сообщить об этом своим пользователям.

Facebook предлагает отличный пример того, как это сделать правильно:

Плюс этот пример, опять же, комплектация.

Это немного менее вопиющая комплектация, чем в предыдущем примере. Здесь, соглашаясь на получение PDF, вы как минимум даете согласие на получение контента. Подписка на список рассылки и загрузка в этом отношении имеют одинаковую «цель». Тем не менее, в такой формулировке вам будет трудно представить их как «одинаковые». Поэтому согласие следует давать отдельно.

4. А

Эй, нет, это очень хорошо!

Теперь вы можете привести аргумент, что им НЕ НУЖНО собирать здесь название компании или номер телефона. Таким образом, адаптируясь к конфиденциальности по дизайну, эти поля следует опустить.

Но учитывая, что ваша пользовательская цель здесь состоит в том, чтобы протестировать CRM, и вы знаете, управлять отношениями с клиентами для их компании, вполне логично, что SuperOffice захочет знать, кто эта компания.

Так что мы дадим им пропуск.

Кроме того, проверьте, насколько красивы, сегментированы и не отмечены эти флажки. Они просят явно указать свою политику конфиденциальности. Они запросили отдельное активное согласие.

Когда GDPR вступит в силу, это должно работать.

5. Б

Они. были такими. Закрыть.

До того второго флажка и упоминания третьих лиц.

В соответствии с GDPR любая третья сторона, которой вы хотите поделиться своими данными, должна быть названа. «Доверенные третьи стороны» недостаточно ясны. Категории не работают. Если кто-то собирается согласиться на выслушивание третьих сторон, он должен точно знать, кто эти стороны.

6. Б

Итак, хорошая новость в том, что… они правильно поняли третьи стороны.

Они получили право на раздельное согласие.

Но это отказ, а не согласие.

С вами свяжутся, если вы не отметите «нет».

Это не похоже на утвердительное, активное согласие для меня.

7. А

10/10.

Детальная подписка Woolworth NAILS.

Если вам интересно, почему я так иррационально взволнован этим примером — это то, что многие формы портят.

Распространенная ошибка — просить согласия на отправку материалов, но забывать отделять «как».

Итак, напоминание: если вы хотите отправлять тексты, вам нужно специальное согласие на отправку текстов. Если вы хотите отправлять электронные письма, вам необходимо отдельное конкретное согласие на отправку электронных писем.

Woolworth также сообщает вам, какие именно материалы вы будете получать от них. Это хорошая идея как для соблюдения GDPR, так и для того, чтобы убедить вашу аудиторию зарегистрироваться.

8. Б

Минута молчания в связи с мягкой подпиской, потому что GDPR убил ее.

Файлы cookie с уникальными идентификаторами являются персональными данными в соответствии с GDPR.

И, как вы помните, персональные данные требуют активного, недвусмысленного, конкретного согласия.

Это означает, что вся эта чепуха «используя этот сайт, вы соглашаетесь» больше не является законной. И вы не можете запускать файлы cookie, пока не получите утвердительный ответ.

(Это большая, сложная и запутанная тема, связанная с пересечением GDPR и ePrivacy. Подробнее об этом можно прочитать здесь).

9. А

Это делает все, что номер 8 сделал неправильно, правильно.

Он точно сообщает вам, для чего используются эти файлы cookie. И тогда это дает вам четкую возможность принять или не принять их.

И, наконец, вы можете развернуть и выбрать, с какими файлами cookie вы согласны, а с какими нет.

Это красиво с юридической точки зрения.

(Однако с маркетинговой точки зрения вы не дали своим пользователям особых причин соглашаться или нет. Возможно, лучшее объяснение преимуществ файлов cookie вашего сайта могло бы помочь в этом стремлении).

10. С

Итак, вопрос с подвохом.

Как мы уже упоминали, если мы говорим о согласии, одобренном GDPR, это не работает. Предварительно установленные флажки — это «нет».

Но если мы спрашиваем себя: «Имеет ли Lancome право отправлять электронное письмо этому человеку?» — нам нужно оценить еще несколько вещей.

Потому что, если это не было достаточно сложно, согласие — не единственный способ законной обработки персональных данных .

Введите: условие законных интересов.

Но не горячись. Обработка данных из-за предполагаемых «законных интересов» сложна.

Это условие больше подходит для ситуаций «Мне нужно было обработать номер их счета для предоставления услуг по предотвращению мошенничества».

А не «я обоснованно думал, что они заинтересованы, поэтому… я отправил им кучу электронных писем без согласия».

Но одна вещь, которая, кажется, дает людям преимущество, связана с данными о существующих клиентах.

Вот строка в законе, о которой они говорят:

« Такой законный интерес может существовать, например, при наличии соответствующих и надлежащих отношений между субъектом данных и контролером в таких ситуациях, как когда субъект данных является клиентом или находится на службе у контролера. – Сольный концерт 47

Ключевым моментом здесь является вопрос: «Приведет ли выполнение этого действия меня (субъекта данных) к разумным ожиданиям, что мои данные будут использоваться таким образом?»

Итак, если я куплю рубашку, могу ли я ожидать , что получу электронное письмо с подтверждением покупки? (Без явного согласия на получение электронных писем?).

Да, у вас есть довольно хороший случай, когда здесь применим законный интерес.

Как насчет уведомления о том, что на следующей неделе будет огромная скидка на аналогичный товар?

Ваше дело становится немного тоньше.

Еженедельные письма?

Бумага тонкая.

Честно говоря, после стандартных подтверждений заказа мы бы не стали рисковать. Запрашивать согласие (правильно!), это самый безопасный способ гарантировать, что ваши базы защищены.

Но если вы действительно хотите использовать условие законного интереса для обработки персональных данных, мы просим вас сначала прочитать это.

11. С

ЕЩЕ ОДИН ЗАБАВНЫЙ ПОВОРОТ НА ЭТОМ.

GDPR выделяет отдельную категорию данных под названием «конфиденциальные персональные данные». И требования к обработке этого типа информации другие.

Я собираюсь признаться вам прямо сейчас, это не лучший пример. Так что это был своего рода жестокий вопрос, и это своего рода натяжка. (Сейчас идет сложная дискуссия о том, в какой момент чей-то вес считается данными о здоровье с точки зрения конфиденциальности данных, если вам интересно).

Вот точная формулировка того, какие данные считаются «конфиденциальными», из статьи 9:

Конфиденциальные персональные данные означают персональные данные, состоящие из информации о:

(a) расовое или этническое происхождение субъекта данных,

б) его политические взгляды,

(c) его религиозные убеждения или другие убеждения аналогичного характера,

(d) является ли он членом профсоюза (по смыслу Закона о профсоюзах и трудовых отношениях (консолидация) 1992 г.),

(e) его физическое или психическое здоровье или состояние,

(f) его сексуальная жизнь,

(g) совершение или предполагаемое совершение им какого-либо преступления, или

(h) любое судебное разбирательство по любому совершенному или предположительно совершенному им правонарушению, решение по такому судебному разбирательству или приговор любого суда по такому судебному разбирательству.

Итак, скажем, это приложение собирает то, что, безусловно, считается данными о субъектах «физическое или психическое здоровье или состояние». Он спрашивает о предшествующих заболеваниях, регистрирует ваш вес и артериальное давление или режим сна с течением времени.

Если он собирает информацию, которая считается конфиденциальной личной информацией, что тогда?

Если бы личные данные для этого приложения не были конфиденциальными, это выглядело бы как довольно уступчивая форма ввода. Похоже, это должно быть ясное дело о законных интересах.

Вы подписываетесь, чтобы использовать приложение. Вы хотите использовать приложение. Вы даете согласие на использование приложения.

И приложение отслеживает вашу физическую форму.

Конечно, вам кажется законным, что они запрашивают данные о вашей физической форме. Кроме того, там есть доступная политика конфиденциальности и заявление об условиях, если вы хотите знать, как используются эти данные.

Но есть дополнительные условия обработки, которым мы должны следовать, если это «конфиденциальные персональные данные».

1. Законные интересы больше не считаются условием обработки.
2. Если вы решите обрабатывать на основе условия согласия, оно больше не должно быть «недвусмысленным» — оно должно быть «явным».

Это означает, что недостаточно просто нажать кнопку «Зарегистрироваться».

В GDPR говорится, что вам необходимо заявление, в котором «указывался бы характер собираемых данных, детали автоматизированного решения и его последствия или детали данных, подлежащих передаче, и риски передачи» (Директива 95/46/ ЕС, статья 29).

Или, как разбивает это ICO:

Это говорит о том, что согласие лица должно быть абсолютно четким. Он должен охватывать конкретные детали обработки; тип информации (или даже конкретная информация); цели обработки; и любые особые аспекты, которые могут повлиять на человека, такие как любое раскрытие информации, которое может быть сделано.

И ЗАТЕМ, как только люди узнают все об этом, вам нужно добиться от них явных действий. Например, поставить галочку в поле «Я согласен» или «Я согласен».

По сути: они должны знать все, что вы делаете с этими данными. И они должны четко сказать вам, что с ними все в порядке — с помощью позитивных действий.

ТАК, если это конфиденциальные личные данные — недостаточно просто указать свою политику конфиденциальности и условия обслуживания мелким шрифтом после формы. Вы должны были убедиться, что у людей была возможность прочитать его, а затем поставить галочку или нажать кнопку с надписью «Я согласен».