GDPR 深入探讨:什么是“合法利益”?

已发表: 2018-03-01
GDPR 深入探讨:什么是“合法利益”?

你知道他们在说什么——你给他们一根手指,他们就会牵手。

给他们一个合法利益例外,他们会冷电子邮件所有的LinkedIn。

GDPR 有六个处理个人数据的合法理由,如第 6 条所述。合法利益被很好地设置为最容易被滥用。 每个想要避免获得同意处理数据的营销人员都会尝试使用合法利益作为请求它的一种方式。

但是要小心……非常小心。 合法利益是比听起来更严格的规定。

那么让我们谈谈它可以应用在哪里,以及我们如何更好地理解它的意图。

个人数据处理的六个合法理由

您必须有有效的合法依据才能处理个人数据,现在有六种数据被认为是合法的。

没有一个基础比其他基础“更好”或更重要。 哪种基础最适合使用将取决于您的目的以及与个人的关系。

需要注意的一件事:您必须在开始处理之前确定您的合法依据。 您应该将其记录在案并可用,以防可能进行审计。 官员们不会善待任何最后一刻的开关。

您的隐私声明还应包括您的合法处理依据以及您的处理目的。 如果您的目的发生变化,您可能能够在原始合法基础下继续处理 - 假设您的新目的与您的初始基础兼容(这是假设您的合法基础未经同意)。 无论哪种方式:您应该确保更新您的隐私政策。

为简单起见,本文不会深入研究特殊数据——如护照、生物特征数据等。

我们将保留与营销人员相关的内容:分析、潜在客户生成、电子邮件和 a/b 测试。

以下是您可以用作合法依据的内容:

  1. 同意
  2. 合同
  3. 法律义务
  4. 切身利益
  5. 公益任务
  6. 合法权益

10秒总结:

1.您需要征得同意(表格上的复选框),
2.您需要与个人或公司签订合同(双方都同意需要处理个人数据)。
3-5。 我们将把这些留到另一次,因为它们不适合营销人员。
6. 合法权益。 这听起来最简单吧? 只需确保您有充分的“合法”理由来处理个人数据并完成处理即可。 再见同意?

合法权益:它是什么?

合法权益是最灵活的处理合法依据,但您不能假设它总是最合适的。

在您以人们合理预期的方式使用人们的数据并且对隐私影响最小的情况下,这可能是最合适的。 或者有令人信服的理由进行处理。这就是 GDPR 独奏会 47 关于合法利益的说法。

控制者的合法利益,包括可能向其披露个人数据的控制者或第三方的合法利益,可以为处理提供法律依据,前提是数据主体的利益或基本权利和自由是不压倒一切,考虑到数据主体基于与控制者的关系的合理期望。 例如,在数据主体是客户或为控制者服务的情况下,如果数据主体与控制者之间存在相关且适当的关系,则可能存在此类合法利益。 无论如何,合法利益的存在需要仔细评估,包括数据主体是否可以合理地预期在收集个人数据的时间和背景下可能会为此目的进行处理。 数据主体的利益和基本权利尤其可以优先于数据控制者的利益,即在数据主体不合理期望进一步处理的情况下处理个人数据。 鉴于立法者应通过法律规定公共当局处理个人数据的法律依据,该法律依据不应适用于公共当局在执行任务时的处理。 为防止欺诈而严格必要的个人数据处理也构成相关数据控制者的合法利益。 为直接营销目的处理个人数据可能被视为出于合法利益而进行。

如果您选择依赖合法利益,您将承担额外的责任来考虑和保护人们的权益

因此,如果您有一个系统,您确实确定您保证了用户的隐私,那么这就是您可以使用合法权益的有力指标。

合法利益基础包括三个要素。 将其视为由三部分组成的测试会有所帮助。 你需要:

  1. 确定合法利益;
  2. 表明处理是实现它所必需的; 和
  3. 平衡它与个人的利益、权利和自由。

合法利益可以是您自己的利益,也可以是第三方的利益。 它们可以包括商业利益、个人利益或更广泛的社会利益。

处理也必须是必要的。 如果您可以通过另一种侵入性较小的方式合理地达到相同的结果——合法利益不再适用,

此外,您需要使用合法权益遵循以下步骤:

  • 您必须平衡您的利益与个人的利益。 如果他们不能合理地期望处理,或者如果它会造成不合理的伤害,他们的利益可能会凌驾于您的合法利益之上。
  • 保留您的合法利益评估 (LIA) 记录,以帮助您在需要时证明合规性。
  • 您必须在隐私声明中包含您合法权益的详细信息。

ICO(英国)合法利益隐私权清单

ICO 网站(信息专员办公室)有一份清单,旨在帮助您确定您的数据处理是否符合合法利益。

如果您希望安全起见,请确保您可以确认以下内容:

  • 我们已经确认合法利益是最合适的依据。
  • 我们理解保护个人利益的责任。
  • 我们已经进行了合法利益评估 (LIA) 并保留了记录,以确保我们能够证明我们的决定是合理的。
  • 我们已经确定了相关的合法权益。
  • 我们已经检查过该处理是必要的,并且没有其他侵入性较小的方法可以达到相同的结果。
  • 我们进行了平衡测试,并相信个人利益不会凌驾于这些合法利益之上。
  • 除非我们有充分的理由,否则我们只会以他们合理预期的方式使用个人数据。
  • 除非我们有充分的理由,否则我们不会以他们认为具有侵入性或可能对他们造成伤害的方式使用人们的数据。
  • 如果我们处理儿童的数据,我们会格外小心以确保我们保护他们的利益。
  • 我们已经考虑了尽可能减少影响的保障措施。
  • 我们已经考虑过是否可以选择退出。
  • 如果我们的 LIA 确定了重大的隐私影响,我们已考虑是否还需要进行 DPIA。
  • 我们会不断审查我们的 LIA,并在情况发生变化时重复审查。
  • 我们在隐私声明中包含有关我们合法利益的信息。

使用合法权益进行 A/B 测试

展望未来,GDPR 和 ePrivacy 指令将成为数字营销人员的两个法律基石。

正如它所概述的:IP 地址、cookies——这些东西现在被认为是“个人数据”。

除了合法利益之外:您很可能需要使用当前的 A/B 测试工具来获得 cookie 和其他标识符的同意。

原因如下:

如果您使用第三方软件来丰富您的细分或存储网站访问者的一举一动,那么很难为平衡的合法利益提出论据。 这种存储是 Heap 等工具或任何具有后分段或预测分析能力的类似程序的常见做法。

借助许多领先的 A/B 测试解决方案,您可以存储大量有关用户的数据。 然后,您可以随心所欲地使用该数据,而无需通知用户该过程。

回顾清单……

进入您网站的用户是否“合理地期望”您会使用他们的数据来预测他们的购买模式?

您是否有“合法需要”存储他们过多的数据,肯定会推翻他们可能对您使用这些数据的反对意见?

这种数据收集可能需要特别同意。 这意味着您不应该在没有特定选择的情况下加载 cookie 或实验。

A/B 测试,减去个人数据存储

自 GDPR 通过以来,我们重新设计了转换体验。 我们将继续努力,以便在 2018 年 5 月 25 日之前 100% 准备好。

这意味着当您在默认设置中使用 Convert 时,它会在无需同意的情况下遵守 GDPR(请参阅此处的路线图)。

没有 cookie ID、唯一标识符和 IP 被存储。 实际上,所有内容都被尽可能地剥离,因此不会存储或使用任何个人数据。

这意味着,不需要同意。

可能需要的是告知网站访问者您处理 A/B 测试的方式。

也许,为了最安全起见,用户应该在他们的隐私政策中包含合法利益——以表明为 A/B 测试软件放置的 cookie 不存储个人数据。 提到您作为一家公司的战略利益,有必要放置此分析 cookie,以提高您的业务绩效。

把它们加起来:

同意和合法利益很可能是数字营销人员最常用的合法基础。

毫无疑问,同意是避免对贵公司采取任何法律行动的最安全方式。

仅在极少数情况下才应使用合法权益,即您发现自己背靠墙,并且您确定没有或极少存储和处理个人数据。

确保 100% 清楚为什么您认为合法利益是可行的,并将其存储起来以备审计。

因为它很复杂,但它不是火箭科学。 如果听起来很偷偷摸摸,请征得同意。 如果它是真正无害的处理,请充分证明对您的客户和网站访问者的影响最小。

请记住:距离 GDPR 仅有几个月的时间。 随时了解情况,与您的供应商交谈,并为更透明的数据处理环境做好准备。