• 主页
  • 文章
  • SEO
  • 知道如何根据 GDPR 处理数据吗? 然后通过此快速测试。

知道如何根据 GDPR 处理数据吗? 然后通过此快速测试。

已发表: 2018-03-10
知道如何根据 GDPR 处理数据吗?然后通过此快速测试。

有些测验会告诉你你的性格更像是“春天”还是“秋天”。

有些人告诉您数据保护机构是否有权对您的公司处以数百万美元的罚款。

猜猜这是哪一个。

是时候玩了,这符合 GDPR 吗?

1.

符合 GDPR 吗?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

2.

符合 GDPR 吗?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

3.

Oli Gardner 的 GDPR 合规?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

4.

SuperOffice 符合 GDPR 吗?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

5.

符合 GDPR 吗?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

6.

维特罗斯 GDPR 合规?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

7.

Woolworths GDPR 合规?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

8.

桑坦德 GDPR 合规?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息

9.

符合 GDPR 吗?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

10.

兰蔻符合 GDPR 吗?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

11.

符合 GDPR 吗?
  1. 这是合规的。
  2. 这不合规。
  3. 嗯……我们需要更多信息。

答案键

  4. 一个
  7. 一个
  9. 一个
  10. C
  11. C

如果你有……11 分中的 11 分

恭喜! 你是 GDPR 的超级巨星……或者什么的。

头衔、荣誉和徽章并不重要。 但 GDPR 合规性非常重要。

而且您似乎知道处理个人数据的方式(除非您猜到了)——无论是 cookie、电子邮件还是敏感数据。

所以拍拍自己的背。 分享你的智慧。 准备好你的同事。 如果有任何不确定的地方,请重新阅读下面的解释。

如果你得到......任何小于 11 的 11。

这东西很难

韦尔普。 我们懂了。 这东西很难。

您可能想继续阅读……

错过一个? 猜几次? 需要提醒吗? 这是一个快速细分。

1.乙

嘿,这就是你可能在互联网上看到的那个例子!

这是正确的朋友 - 不要预先检查您的同意框。 人们现在必须主动表示同意。

“我只是想点击‘下一步’按钮。 我什至没有看到那个复选框。 现在我在你的电子邮件列表上?”——绝不是你的用户应该考虑的事情。

以下是 GDPR 关于处理同意的说法,以使其正式化:

数据主体的同意是指任何自由给出、具体、知情和明确的数据主体意愿指示,通过声明或明确的肯定行动,他或她表示同意处理与他或她有关的个人数据。她 – 第 4 条

明确,肯定,行动。 将这些框留空。

2.乙

不,不合规。

这里的关键是所谓的“捆绑”——这在 GDPR 中是不允许的。 这里有几个不同的引用给出了“不”。

“如果数据主体的同意是在涉及其他事项的书面声明的情况下给出的,则应以与其他事项明显区分开来的方式提出同意请求(……) ”——第 7 条第(2)款

“同意应涵盖为相同目的或多个目的进行的所有处理活动。 当处理有多种目的时,应获得所有目的的同意” – Recital 32

那么,参加活动? 这与每月的时事通讯有着明显的“不同目的”。 必须单独征求同意。

3.乙

这看起来像我们标准的、有说服力的选择加入表格。 这是各种不合规的。

首先,它要求收集大量信息,这些信息对于使数据服从他们的目标(又名:向他们发送他们注册接收的 PDF)不是必需的。 这违背了 GDPR 对数据最小化或“设计隐私”的要求。 这里的最佳实践是:如果您正在收集信息,但不清楚为什么要收集它,您应该让您的用户知道这一点。

Facebook 提供了一个很好的例子来说明如何正确地做到这一点:

Facebook 提供了一个很好的例子

另外,这个例子又是捆绑。

与前面的示例相比,它稍微不那么令人震惊的捆绑。 在这里,通过同意接收 PDF,您至少同意接收内容。 在这方面,电子邮件列表订阅和下载具有相似的“目的”。 尽管如此,尽管如此,你还是很难将它们框定为“相同的”。 因此,应单独给予同意。

4.一个

嘿不,这个很好!

现在您可以在此处提出他们不需要收集公司名称或电话号码的论点。 因此,通过设计适应隐私,应该省略这些字段。

但是考虑到您的用户目标是测试运行 CRM,并且您知道,为他们的公司管理客户关系 - SuperOffice 想知道该公司是谁是有道理的。

所以我们会给他们一个通行证。

另外,看看这些框有多漂亮、分段和未选中。 他们要求明确选择加入他们的隐私政策。 他们已经要求单独的、主动的同意。

当 GDPR 生效时,这应该会飞。

5.乙

他们。 原来如此。 关。

直到第二个复选框和第三方的提及。

根据 GDPR,您要与之共享数据的任何第三方都必须被命名。 “受信任的第三方”不够明确。 类别不起作用。 如果有人要选择听取第三方的意见,他们必须确切地知道这些当事人是谁。

6.乙

所以,好消息是……他们找到了正确的第三方。

他们获得了非捆绑式同意权。

但这是选择退出,而不是选择加入。

除非您选择“否”,否则您会被联系到。

这听起来不像是对我的肯定、积极的同意。

7.一个

10/10。

Woolworth NAILS 细粒度选择加入。

如果你想知道为什么我对这个例子感到非理性的兴奋——这是很多表格搞砸的。

一个常见的错误是请求同意发送材料,但忘记区分“如何”。

所以提醒一下:如果你想发送短信,你需要特别同意才能发送短信。 如果您想发送电子邮件,您需要单独的、具体的同意才能发送电子邮件。

Woolworth 还准确地告诉您将从他们那里收到什么样的材料。 对于 GDPR 合规性和说服您的受众注册而言,这是一个好主意。

8.乙

为软选择默哀片刻,因为 GDPR 已经扼杀了它。

具有唯一标识符的 Cookie 是 GDPR 下的个人数据。

正如您所记得的,个人数据需要主动、明确、具体、yada yada yada 同意。

这意味着整个“使用本网站即表示您同意”的废话不再合法。 在你得到肯定的肯定之前,你不能开始运行 cookie。

(这是一个庞大、复杂、混乱的主题——与 GDPR 和 ePrivacy 的交叉点有关。您可以在此处阅读更多相关信息)。

9.一个

壮丽的

这完成了 8 号做错的所有事情,对。

它会准确地告诉您这些 cookie 的用途。 然后它为您提供了一个明确的选择来接受或不接受它们。

最后,它可以让您扩展并选择您可以接受和不可以接受的 cookie。

从法律的角度来看,这是一件美丽的事情。

(不过,从营销的角度来看,您并没有给您的用户选择加入或不加入的太多理由。也许更好地解释您网站的 cookie 的好处,可能有助于这一努力)。

10. C

所以,有点棘手的问题。

正如我们所提到的,如果我们谈论的是 GDPR 批准的同意,那就失败了。 预先选中的框是“否”。

但如果我们问自己“Lancome 是否有权向此人发送电子邮件?”——我们还有一些事情需要评估。

因为如果这还不够棘手,同意并不是合法处理个人数据的唯一方式

输入:合法权益条件。

但不要激动。 由于感知到的“合法利益”而处理数据是很棘手的。

这种情况更适用于“我需要处理他们的帐号以执行欺诈预防服务”的情况。

不是“我理所当然地认为他们感兴趣,所以……我未经同意就向他们发送了一堆电子邮件”案例。

但似乎让人们继续前进的一件事与现有客户的数据有关。

这是他们正在谈论的立法中的一行:

例如,在数据主体是客户或为控制者服务的情况下,如果数据主体与控制者之间存在相关且适当的关系,则可能存在此类合法利益。 ”——独奏会 47

这里的关键是问自己:“执行此操作会导致我(数据主体)合理地期望我的数据将以这种方式使用吗?”

那么,如果我买了一件衬衫——我是否有理由期望我会收到一封确认购买的电子邮件? (没有明确同意接收电子邮件?)。

是的,你有一个很好的案例合法利益适用于此。

下周类似产品有大幅折扣的通知呢?

你的箱子越来越薄了。

每周电子邮件?

纸薄薄。

老实说,通过您的标准订单确认,我们不会冒险。 征求同意(正确地!),是确保你的基地被覆盖的最安全的方法。

但是,如果您真的想使用合法权益条件来处理个人数据,我们恳求您,请先阅读此内容。

11. C

另一个有趣的转折。

GDPR 概述了一个单独的数据类别,称为“敏感个人数据”。 并且对这类信息的处理要求不同。

我现在要向你承认,这不是最好的例子。 所以这是一个残酷的问题,有点牵强。 (从数据隐私的角度来看,关于在什么时候某人的体重算作健康数据,如果你感兴趣的话,现在正在进行一个复杂的讨论)。

以下是第 9 条中关于哪些数据被视为“敏感”的确切语言:

敏感的个人资料是指由以下信息组成的个人资料——

(a) 数据主体的种族或民族血统,

(b) 他的政治观点,

(c) 他的宗教信仰或其他类似性质的信仰,

(d) 他是否是工会的成员(在 1992 年工会和劳资关系(综合)法的含义内),

(e) 他的身体或精神健康或状况,

(f) 他的性生活,

(g) 他犯下或涉嫌犯下任何罪行,或

(h) 针对他犯下或指称犯下的任何罪行而进行的任何法律程序、该等法律程序的处置或任何法院在该等法律程序中的判决。

因此,假设这个应用程序收集了可以肯定地被视为关于“身体或心理健康或状况”主题的数据。 它会询问您之前的医疗状况,它会随着时间的推移记录您的体重和血压或睡眠模式。

如果它收集的信息被视为敏感的个人数据,那该怎么办?

如果此应用程序的个人数据不敏感,这似乎是一个非常合规的接收表格。 看起来这应该是一个明确的合法利益案例。

您正在注册使用该应用程序。 您想使用该应用程序。 您同意使用该应用程序。

该应用程序会跟踪您的健康状况。

当然,对你来说,他们要求你的健康数据似乎是合法的。 另外,如果您想知道如何使用这些数据,那里还有一个可访问的隐私政策和条件声明。

但是,如果这是“敏感的个人数据”,我们必须遵守其他处理条件。

  1. 合法权益不再算作处理条件。
  2. 如果您选择基于同意的条件进行处理,它不仅必须是“明确的”,还必须是“明确的”。

这意味着仅单击“注册我”按钮是不够的。

GDPR 说您需要一份声明,“指定正在收集的数据的性质、自动决策的详细信息及其影响,或者要传输的数据的详细信息和传输的风险”(指令 95/46/欧共体,第 29 条)。

或者,正如 ICO 将其分解:

这表明个人的同意应该是绝对明确的。 应涵盖具体的处理细节; 信息类型(甚至是具体信息); 处理的目的; 以及可能影响个人的任何特殊方面,例如可能进行的任何披露。

然后,一旦人们知道了这一切——你需要向他们征求明确的行动。 比如,勾选“我同意”或“我同意”的方框。

基本上:他们应该知道你对这些数据所做的一切。 他们应该清楚地告诉你他们可以接受——采取平权行动。

所以,如果这是敏感的个人数据——仅仅在表格后面用小字写出你的隐私政策和服务条款是不够的。 您必须确保人们有机会阅读它,然后选中一个框或单击一个显示“我同意”的按钮。