GDPR Deep Dive: สิ่งที่นับเป็น “ผลประโยชน์โดยชอบด้วยกฎหมาย”

เผยแพร่แล้ว: 2018-03-01
GDPR Deep Dive: สิ่งที่นับเป็น “ผลประโยชน์โดยชอบด้วยกฎหมาย”

คุณรู้ว่าพวกเขาพูดอะไร - คุณให้นิ้วพวกเขา พวกเขาจะจับมือ

ให้ข้อยกเว้นผลประโยชน์ที่ถูกต้องแก่พวกเขา และพวกเขาจะระงับอีเมลของ LinkedIn ทั้งหมด

GDPR มีมูลเหตุทางกฎหมายหกประการในการประมวลผลข้อมูลส่วนบุคคล ตามที่ระบุไว้ในมาตรา 6 และผลประโยชน์ที่ชอบด้วยกฎหมายนั้นถูกกำหนดไว้อย่างดีเพื่อใช้ในทางที่ผิดมากที่สุด นักการตลาดทุกคนที่ต้องการหลีกเลี่ยงการได้รับความยินยอมในการประมวลผลข้อมูล จะพยายามและใช้ประโยชน์โดยชอบด้วยกฎหมายเพื่อเป็นการขอข้อมูลดังกล่าว

แต่ระวัง…ระวังให้มาก ผลประโยชน์โดยชอบด้วยกฎหมายเป็นบทบัญญัติที่เข้มงวดกว่าที่คิด

มาพูดถึงกันว่าจะนำไปใช้ที่ไหน และเราจะเข้าใจเจตนาของมันได้ดีขึ้นได้อย่างไร

หกเหตุผลทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล

คุณต้องมีพื้นฐานที่ถูกต้องตามกฎหมายเพื่อประมวลผลข้อมูลส่วนบุคคล และขณะนี้มีหกรายการที่ถือว่าถูกกฎหมาย

ไม่มีพื้นฐานใดที่ 'ดี' หรือสำคัญไปกว่าฐานอื่น และพื้นฐานใดที่เหมาะสมที่สุดที่จะใช้จะขึ้นอยู่กับวัตถุประสงค์และความสัมพันธ์ของคุณกับแต่ละบุคคล

สิ่งหนึ่งที่ควรทราบ: คุณต้องกำหนดพื้นฐานที่ถูกต้องตามกฎหมายของคุณ ก่อนที่จะ เริ่มดำเนินการ คุณควรจัดทำเป็นเอกสารและพร้อมใช้ในกรณีที่อาจมีการตรวจสอบ เจ้าหน้าที่จะไม่ดูถูกสวิตช์ในนาทีสุดท้าย

ประกาศเรื่องความเป็นส่วนตัวของคุณควรมีฐานที่ถูกต้องตามกฎหมายสำหรับการประมวลผลและวัตถุประสงค์ในการประมวลผลของคุณ หากวัตถุประสงค์ของคุณเปลี่ยนไป คุณอาจดำเนินการดำเนินการต่อไปได้ภายใต้หลักพื้นฐานทางกฎหมายดั้งเดิม—โดยสมมติว่าวัตถุประสงค์ใหม่ของคุณเข้ากันได้กับพื้นฐานเริ่มต้นของคุณ (สมมติว่าพื้นฐานทางกฎหมายของคุณไม่ได้รับความยินยอม) ไม่ว่าจะด้วยวิธีใด: คุณควรตรวจสอบให้แน่ใจว่าได้อัปเดตนโยบายความเป็นส่วนตัวของคุณ

เพื่อความเรียบง่าย บทความนี้จะไม่เจาะลึกข้อมูลพิเศษ เช่น หนังสือเดินทาง ข้อมูลไบโอเมตริกซ์ ฯลฯ

เราจะรักษาสิ่งต่าง ๆ ที่เกี่ยวข้องกับนักการตลาด: การวิเคราะห์ การสร้างลูกค้าเป้าหมาย อีเมล และการทดสอบ a/b

สิ่งที่คุณสามารถใช้เป็นเหตุผลทางกฎหมายได้มีดังนี้

  1. ยินยอม
  2. สัญญา
  3. ภาระผูกพันตามกฎหมาย
  4. ความสนใจที่สำคัญ
  5. งานสาธารณประโยชน์
  6. ผลประโยชน์ที่ชอบด้วยกฎหมาย

สรุป 10 วินาที:

1. คุณต้องได้รับความยินยอม (ช่องทำเครื่องหมายในแบบฟอร์มของคุณ)
2. คุณต้องมีสัญญากับบุคคลหรือบริษัท (ที่คุณทั้งคู่ตกลงว่าจำเป็นต้องประมวลผลข้อมูลส่วนบุคคล)
3-5. เราจะปล่อยให้สิ่งเหล่านี้อีกครั้ง เนื่องจากไม่ได้มีไว้สำหรับนักการตลาด
6. ผลประโยชน์ที่ชอบด้วยกฎหมาย ฟังดูง่ายที่สุดใช่มั้ย? เพียงให้แน่ใจว่าคุณมีเหตุผลที่ดี "ถูกต้องตามกฎหมาย" ในการประมวลผลข้อมูลส่วนบุคคลและดำเนินการให้เสร็จสิ้น ลาก่อน ยินยอม?

ผลประโยชน์ที่ชอบด้วยกฎหมาย: มันคืออะไร?

ผลประโยชน์โดยชอบด้วยกฎหมายเป็นพื้นฐานทางกฎหมายที่ยืดหยุ่นที่สุดสำหรับการประมวลผล แต่คุณไม่สามารถสรุปได้ว่ามันจะเหมาะสมที่สุดเสมอไป

มีแนวโน้มว่าคุณจะเหมาะสมที่สุดเมื่อคุณใช้ข้อมูลของบุคคลในลักษณะที่พวกเขาคาดหวังอย่างสมเหตุสมผลและมีผลกระทบต่อความเป็นส่วนตัวเพียงเล็กน้อย หรือที่ซึ่งมีเหตุผลที่น่าสนใจสำหรับการประมวลผล นี่คือสิ่งที่การบรรยายของ GDPR 47 กล่าวถึงผลประโยชน์ที่ชอบด้วยกฎหมาย

ผลประโยชน์ที่ชอบด้วยกฎหมายของผู้ควบคุม รวมถึงผู้ควบคุมที่อาจเปิดเผยข้อมูลส่วนบุคคลหรือของบุคคลที่สาม อาจให้พื้นฐานทางกฎหมายสำหรับการประมวลผล โดยมีเงื่อนไขว่าผลประโยชน์หรือสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล ไม่มีการแทนที่ โดยคำนึงถึงความคาดหวังที่สมเหตุสมผลของเจ้าของข้อมูลตามความสัมพันธ์ของพวกเขากับผู้ควบคุม ผลประโยชน์ที่ชอบด้วยกฎหมายดังกล่าวอาจมีอยู่ ตัวอย่างเช่น เมื่อมีความสัมพันธ์ที่เกี่ยวข้องและเหมาะสมระหว่างเจ้าของข้อมูลและผู้ควบคุมในสถานการณ์เช่น ที่เจ้าของข้อมูลเป็นลูกค้าหรือในบริการของผู้ควบคุม ไม่ว่าในกรณีใด การมีอยู่ของผลประโยชน์ที่ชอบด้วยกฎหมายจะต้องได้รับการประเมินอย่างรอบคอบ ซึ่งรวมถึงว่าเจ้าของข้อมูลสามารถคาดหวังได้อย่างสมเหตุสมผลในขณะนั้นหรือไม่ และในบริบทของการรวบรวมข้อมูลส่วนบุคคลที่การประมวลผลเพื่อวัตถุประสงค์นั้นอาจเกิดขึ้น โดยเฉพาะอย่างยิ่ง ผลประโยชน์และสิทธิ์พื้นฐานของเจ้าของข้อมูลสามารถแทนที่ผลประโยชน์ของผู้ควบคุมข้อมูลซึ่งข้อมูลส่วนบุคคลได้รับการประมวลผลในสถานการณ์ที่เจ้าของข้อมูลไม่คาดหวังให้มีการประมวลผลเพิ่มเติม เนื่องจากเป็นหน้าที่ของสมาชิกสภานิติบัญญัติที่จะต้องจัดให้มีกฎหมายสำหรับพื้นฐานทางกฎหมายสำหรับหน่วยงานสาธารณะในการประมวลผลข้อมูลส่วนบุคคล พื้นฐานทางกฎหมายนั้นจึงไม่ควรใช้กับการประมวลผลโดยหน่วยงานสาธารณะในการปฏิบัติงานของตน การประมวลผลข้อมูลส่วนบุคคลที่จำเป็นอย่างยิ่งเพื่อวัตถุประสงค์ในการป้องกันการฉ้อโกงถือเป็นประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลที่เกี่ยวข้อง การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดแบบตรงอาจถือได้ว่าเป็นการดำเนินการเพื่อผลประโยชน์ที่ชอบด้วยกฎหมาย

หากคุณเลือกที่จะพึ่งพาผลประโยชน์ที่ชอบด้วยกฎหมาย คุณกำลังรับผิดชอบเพิ่มเติมในการพิจารณาและปกป้องสิทธิ์และผลประโยชน์ของผู้คน

ดังนั้น หากคุณมีระบบที่คุณแน่ใจจริงๆ ว่าคุณรับประกันความเป็นส่วนตัวของผู้ใช้ นั่นเป็นตัวบ่งชี้ที่ชัดเจนว่าคุณสามารถใช้ประโยชน์โดยชอบด้วยกฎหมายได้

พื้นฐานผลประโยชน์ที่ชอบด้วยกฎหมายมีสามองค์ประกอบ ช่วยคิดว่านี่เป็นการทดสอบสามส่วน คุณต้อง:

  1. ระบุผลประโยชน์ที่ชอบด้วยกฎหมาย
  2. แสดงว่าการประมวลผลมีความจำเป็นเพื่อให้บรรลุ; และ
  3. สมดุลกับผลประโยชน์ สิทธิ และเสรีภาพของแต่ละบุคคล

ผลประโยชน์ที่ชอบด้วยกฎหมายอาจเป็นผลประโยชน์ของคุณเองหรือผลประโยชน์ของบุคคลที่สาม ซึ่งอาจรวมถึงผลประโยชน์ทางการค้า ผลประโยชน์ส่วนบุคคล หรือผลประโยชน์ทางสังคมในวงกว้าง

การประมวลผลก็จำเป็นเช่นกัน หากคุณสามารถบรรลุผลลัพธ์แบบเดียวกันได้อย่างสมเหตุสมผลด้วยวิธีอื่นที่ไม่เป็นการล่วงล้ำ—ผลประโยชน์โดยชอบด้วยกฎหมายจะไม่นำมาใช้อีกต่อไป

นอกจากนี้ คุณต้องทำตามขั้นตอนต่อไปนี้โดยใช้ประโยชน์โดยชอบด้วยกฎหมาย:

  • คุณต้องสมดุลความสนใจของคุณกับบุคคล หากพวกเขาไม่คาดหวังการประมวลผลอย่างสมเหตุสมผล หรือหากมันจะก่อให้เกิดอันตรายอย่างไม่ยุติธรรม ผลประโยชน์ของพวกเขาก็มีแนวโน้มที่จะแทนที่ผลประโยชน์ที่ชอบด้วยกฎหมายของคุณ
  • เก็บบันทึกการประเมินผลประโยชน์ที่ชอบด้วยกฎหมายของคุณ (LIA) เพื่อช่วยให้คุณแสดงการปฏิบัติตามหากจำเป็น
  • คุณต้องใส่รายละเอียดเกี่ยวกับผลประโยชน์ที่ชอบด้วยกฎหมายของคุณในประกาศเกี่ยวกับความเป็นส่วนตัวของคุณ

รายการตรวจสอบสิทธิ์ความเป็นส่วนตัวของ ICO (สหราชอาณาจักร) เพื่อผลประโยชน์ที่ชอบด้วยกฎหมาย

เว็บไซต์ ICO (สำนักงานกรรมาธิการข้อมูล) มีรายการตรวจสอบที่จะช่วยให้คุณพิจารณาว่าการประมวลผลข้อมูลของคุณนั้นสมเหตุสมผลภายใต้ผลประโยชน์ที่ชอบด้วยกฎหมายหรือไม่

หากคุณต้องการเล่นอย่างปลอดภัย ตรวจสอบให้แน่ใจว่าคุณสามารถยืนยันสิ่งต่อไปนี้:

  • เราได้ตรวจสอบแล้วว่าผลประโยชน์ที่ชอบด้วยกฎหมายเป็นพื้นฐานที่เหมาะสมที่สุด
  • เราเข้าใจความรับผิดชอบของเราในการปกป้องผลประโยชน์ของแต่ละบุคคล
  • เราได้ดำเนินการประเมินผลประโยชน์ที่ชอบด้วยกฎหมาย (LIA) และเก็บบันทึกข้อมูลไว้ เพื่อให้แน่ใจว่าเราสามารถพิสูจน์การตัดสินใจของเราได้
  • เราได้ระบุผลประโยชน์ที่ชอบด้วยกฎหมายที่เกี่ยวข้องแล้ว
  • เราได้ตรวจสอบแล้วว่าการประมวลผลนั้นจำเป็นและไม่มีทางล่วงล้ำเพื่อให้ได้ผลลัพธ์แบบเดียวกัน
  • เราได้ทำการทดสอบการทรงตัว และมั่นใจว่าผลประโยชน์ของแต่ละบุคคลจะไม่แทนที่ผลประโยชน์ที่ชอบด้วยกฎหมายเหล่านั้น
  • เราใช้ข้อมูลของบุคคลในลักษณะที่พวกเขาคาดหวังอย่างสมเหตุสมผลเท่านั้น เว้นแต่เราจะมีเหตุผลที่ดีมาก
  • เราไม่ได้ใช้ข้อมูลของผู้คนในลักษณะที่พวกเขาพบว่าเป็นการล่วงล้ำหรือที่อาจก่อให้เกิดอันตรายแก่พวกเขา เว้นแต่เราจะมีเหตุผลที่ดีมาก
  • หากเราประมวลผลข้อมูลของเด็ก เราจะใช้ความระมัดระวังเป็นพิเศษเพื่อให้แน่ใจว่าเราปกป้องผลประโยชน์ของเด็ก
  • เราได้พิจารณามาตรการป้องกันเพื่อลดผลกระทบที่เป็นไปได้
  • เราได้พิจารณาแล้วว่าเราสามารถเสนอการไม่เข้าร่วมได้หรือไม่
  • หาก LIA ระบุผลกระทบต่อความเป็นส่วนตัวที่สำคัญ เราได้พิจารณาแล้วว่าจำเป็นต้องดำเนินการ DPIA ด้วยหรือไม่
  • เราตรวจสอบ LIA ของเราและทำซ้ำหากสถานการณ์เปลี่ยนไป
  • เรารวมข้อมูลเกี่ยวกับผลประโยชน์ที่ชอบด้วยกฎหมายของเราไว้ในประกาศเรื่องความเป็นส่วนตัวของเรา

การใช้ประโยชน์โดยชอบด้วยกฎหมายสำหรับการทดสอบ A/B

ก้าวไปข้างหน้า GDPR และ ePrivacy Directive จะเป็นสองเสาหลักทางกฎหมายสำหรับนักการตลาดดิจิทัล

และตามที่ระบุไว้: ที่อยู่ IP, คุกกี้—ขณะนี้สิ่งเหล่านี้ถือเป็น "ข้อมูลส่วนบุคคล"

นอกจากผลประโยชน์ที่ชอบด้วยกฎหมายแล้ว: คุณจะต้องได้รับความยินยอมสำหรับคุกกี้และตัวระบุอื่นๆ ด้วยเครื่องมือทดสอบ A/B ปัจจุบันของคุณ

นี่คือเหตุผล:

เป็นการยากที่จะโต้แย้งเพื่อผลประโยชน์ที่สมดุลและชอบด้วยกฎหมาย หากคุณใช้ซอฟต์แวร์ของบริษัทอื่นเพื่อเพิ่มพูนเซ็กเมนต์ของคุณหรือจัดเก็บทุกการเคลื่อนไหวของผู้เยี่ยมชมเว็บไซต์ของคุณ การจัดเก็บข้อมูลประเภทนี้เป็นเรื่องปกติของเครื่องมืออย่าง Heap—หรือโปรแกรมที่คล้ายคลึงกันที่มีการแบ่งส่วนหลังหรือความสามารถในการวิเคราะห์เชิงคาดการณ์

ด้วยโซลูชันการทดสอบ A/B ชั้นนำมากมาย คุณจัดเก็บข้อมูล จำนวนมาก เกี่ยวกับผู้ใช้รายหนึ่งได้ และคุณใช้ข้อมูลนั้นหลังจากนั้น ตามที่คุณต้องการ โดยไม่ต้องแจ้งให้ผู้ใช้ทราบเกี่ยวกับกระบวนการนั้น

มองย้อนกลับไปที่รายการตรวจสอบ...

ผู้ใช้ที่เข้าสู่เว็บไซต์ของคุณ “คาดหวังอย่างสมเหตุสมผล” หรือไม่ว่าคุณจะใช้ข้อมูลของพวกเขาเพื่อคาดการณ์รูปแบบการซื้อของพวกเขา

“ความต้องการโดยชอบด้วยกฎหมาย” ของคุณในการจัดเก็บข้อมูลส่วนเกินของพวกเขา แน่ใจหรือไม่ว่าจะแทนที่การคัดค้านที่พวกเขาอาจมีต่อคุณในการใช้งาน

การเก็บรวบรวมข้อมูลประเภทนี้ต้องได้รับความยินยอมเป็นการเฉพาะ ซึ่งหมายความว่าคุณไม่ควรโหลดคุกกี้หรือการทดสอบโดยไม่ได้เลือกใช้เฉพาะ

การทดสอบ A/B ลบการจัดเก็บข้อมูลส่วนบุคคล

นับตั้งแต่การผ่านของ GDPR เราได้ออกแบบ Convert Experiences ใหม่ และเรากำลังดำเนินการแก้ไขเพื่อให้พร้อม 100% ก่อนวันที่ 25 พฤษภาคม 2018

ซึ่งหมายความว่าเมื่อคุณใช้ Conversion ในการตั้งค่าเริ่มต้น ซึ่งจะเป็นไปตาม GDPR โดยไม่ต้องได้รับความยินยอม (ดูแผนงานของเราที่นี่)

ไม่มีรหัสคุกกี้ ไม่มีตัวระบุที่ไม่ซ้ำกัน และไม่มีการจัดเก็บ IP จริงๆแล้วทุกอย่างถูกถอดออกให้มากที่สุดเพื่อไม่ให้มีการจัดเก็บหรือใช้ข้อมูลส่วนบุคคล

ซึ่งหมายความว่าไม่จำเป็นต้องได้รับความยินยอม

สิ่งที่อาจจำเป็นคือการแจ้งให้ผู้เยี่ยมชมเว็บไซต์ทราบถึงวิธีที่คุณจัดการกับการทดสอบ A/B

เพื่อความปลอดภัย ผู้ใช้ควรรวมผลประโยชน์ที่ชอบด้วยกฎหมายไว้ในนโยบายความเป็นส่วนตัวด้วย เพื่อส่งสัญญาณว่าคุกกี้ที่วางไว้สำหรับซอฟต์แวร์ทดสอบ A/B ไม่ได้เก็บข้อมูลส่วนบุคคล และเพื่อกล่าวถึงความสนใจเชิงกลยุทธ์สำหรับคุณในฐานะบริษัท ทำให้จำเป็นต้องวางคุกกี้การวิเคราะห์นี้ เพื่อปรับปรุงประสิทธิภาพของธุรกิจของคุณ

เพื่อสรุป:

ความยินยอมและผลประโยชน์โดยชอบด้วยกฎหมายมักเป็นพื้นฐานที่ถูกต้องตามกฎหมายสำหรับนักการตลาดดิจิทัล

โดยไม่ต้องสงสัย ความยินยอมเป็นวิธีที่ปลอดภัยที่สุดในการหลีกเลี่ยงการดำเนินการทางกฎหมายกับบริษัทของคุณ

ผลประโยชน์โดยชอบด้วยกฎหมายควรใช้เฉพาะในกรณีที่คุณพบว่าตัวเองเอาหลังพิงกำแพง และในที่ที่คุณแน่ใจว่าไม่มีหรือน้อยมากที่ข้อมูลส่วนตัวถูกจัดเก็บและประมวลผล

ตรวจสอบให้แน่ใจว่าชัดเจน 100% ว่าทำไมคุณถึงคิดว่าผลประโยชน์ที่ชอบด้วยกฎหมายนั้นใช้ได้ และเก็บไว้ในกรณีที่มีการตรวจสอบ

เพราะมันซับซ้อน แต่ไม่ใช่วิทยาศาสตร์จรวด ถ้ามันฟังดูลับๆล่อๆ ก็ขอความยินยอม หากเป็นการประมวลผลที่ไม่เป็นอันตรายอย่างแท้จริง ให้สร้างกรณีที่ชัดเจนสำหรับผลกระทบขั้นต่ำต่อลูกค้าและผู้เยี่ยมชมเว็บไซต์ของคุณ

และจำไว้ว่า GDPR อยู่ห่างออกไปเพียงไม่กี่เดือน รับทราบข้อมูล พูดคุยกับผู้ขายของคุณ และเตรียมตัวสำหรับแนวการประมวลผลข้อมูลที่โปร่งใสยิ่งขึ้น