GDPR 深入探討:什麼是“合法利益”?

已發表: 2018-03-01
GDPR 深入探討:什麼是“合法利益”?

你知道他們在說什麼——你給他們一根手指,他們就會牽手。

給他們一個合法利益例外,他們會冷電子郵件所有的LinkedIn。

GDPR 有六個處理個人數據的合法理由,如第 6 條所述。合法利益被很好地設置為最容易被濫用。 每個想要避免獲得同意處理數據的營銷人員都會嘗試使用合法利益作為請求它的一種方式。

但是要小心……非常小心。 合法利益是比聽起來更嚴格的規定。

那麼讓我們談談它可以應用在哪裡,以及我們如何更好地理解它的意圖。

個人數據處理的六個合法理由

您必須有有效的合法依據才能處理個人數據,現在有六種數據被認為是合法的。

沒有一個基礎比其他基礎“更好”或更重要。 哪種基礎最適合使用將取決於您的目的以及與個人的關係。

需要注意的一件事:您必須在開始處理之前確定您的合法依據。 您應該將其記錄在案並可用,以防可能進行審計。 官員們不會善待任何最後一刻的開關。

您的隱私聲明還應包括您的合法處理依據以及您的處理目的。 如果您的目的發生變化,您可能能夠在原始合法基礎下繼續處理 - 假設您的新目的與您的初始基礎兼容(這是假設您的合法基礎未經同意)。 無論哪種方式:您應該確保更新您的隱私政策。

為簡單起見,本文不會深入研究特殊數據——如護照、生物特徵數據等。

我們將保留與營銷人員相關的內容:分析、潛在客戶生成、電子郵件和 a/b 測試。

以下是您可以用作合法依據的內容:

  1. 同意
  2. 合同
  3. 法律義務
  4. 切身利益
  5. 公益任務
  6. 合法權益

10秒總結:

1.您需要徵得同意(表格上的複選框),
2.您需要與個人或公司簽訂合同(雙方都同意需要處理個人數據)。
3-5。 我們將把這些留到另一次,因為它們不適合營銷人員。
6. 合法權益。 這聽起來最簡單吧? 只需確保您有充分的“合法”理由來處理個人數據並完成處理即可。 再見同意?

合法權益:它是什麼?

合法權益是最靈活的處理合法依據,但您不能假設它總是最合適的。

在您以人們合理預期的方式使用人們的數據並且對隱私影響最小的情況下,這可能是最合適的。 或者有令人信服的理由進行處理。這就是 GDPR 獨奏會 47 關於合法利益的說法。

控制者的合法利益,包括可能向其披露個人數據的控制者或第三方的合法利益,可以為處理提供法律依據,前提是數據主體的利益或基本權利和自由是不壓倒一切,考慮到數據主體基於與控制者的關係的合理期望。 例如,在數據主體是客戶或為控制者服務的情況下,如果數據主體與控制者之間存在相關且適當的關係,則可能存在此類合法利益。 無論如何,合法利益的存在需要仔細評估,包括數據主體是否可以合理地預期在收集個人數據的時間和背景下可能會為此目的進行處理。 數據主體的利益和基本權利尤其可以優先於數據控制者的利益,即在數據主體不合理期望進一步處理的情況下處理個人數據。 鑑於立法者應通過法律規定公共當局處理個人數據的法律依據,該法律依據不應適用於公共當局在執行任務時的處理。 為防止欺詐而嚴格必要的個人數據處理也構成相關數據控制者的合法利益。 為直接營銷目的處理個人數據可能被視為出於合法利益而進行。

如果您選擇依賴合法利益,您將承擔額外的責任來考慮和保護人們的權益

因此,如果您有一個系統,您確實確定您保證了用戶的隱私,那麼這就是您可以使用合法權益的有力指標。

合法利益基礎包括三個要素。 將其視為由三部分組成的測試會有所幫助。 你需要:

  1. 確定合法利益;
  2. 表明處理是實現它所必需的; 和
  3. 平衡它與個人的利益、權利和自由。

合法利益可以是您自己的利益,也可以是第三方的利益。 它們可以包括商業利益、個人利益或更廣泛的社會利益。

處理也必須是必要的。 如果您可以通過另一種侵入性較小的方式合理地達到相同的結果——合法利益不再適用,

此外,您需要使用合法權益遵循以下步驟:

  • 您必須平衡您的利益與個人的利益。 如果他們不能合理地期望處理,或者如果它會造成不合理的傷害,他們的利益可能會凌駕於您的合法利益之上。
  • 保留您的合法利益評估 (LIA) 記錄,以幫助您在需要時證明合規性。
  • 您必須在隱私聲明中包含您合法權益的詳細信息。

ICO(英國)合法利益隱私權清單

ICO 網站(信息專員辦公室)有一份清單,旨在幫助您確定您的數據處理是否符合合法利益。

如果您希望安全起見,請確保您可以確認以下內容:

  • 我們已經確認合法利益是最合適的依據。
  • 我們理解保護個人利益的責任。
  • 我們已經進行了合法利益評估 (LIA) 並保留了記錄,以確保我們能夠證明我們的決定是合理的。
  • 我們已經確定了相關的合法權益。
  • 我們已經檢查過該處理是必要的,並且沒有其他侵入性較小的方法可以達到相同的結果。
  • 我們進行了平衡測試,並相信個人利益不會凌駕於這些合法利益之上。
  • 除非我們有充分的理由,否則我們只會以他們合理預期的方式使用個人數據。
  • 除非我們有充分的理由,否則我們不會以他們認為具有侵入性或可能對他們造成傷害的方式使用人們的數據。
  • 如果我們處理兒童的數據,我們會格外小心以確保我們保護他們的利益。
  • 我們已經考慮了盡可能減少影響的保障措施。
  • 我們已經考慮過是否可以選擇退出。
  • 如果我們的 LIA 確定了重大的隱私影響,我們已考慮是否還需要進行 DPIA。
  • 我們會不斷審查我們的 LIA,並在情況發生變化時重複審查。
  • 我們在隱私聲明中包含有關我們合法利益的信息。

使用合法權益進行 A/B 測試

展望未來,GDPR 和 ePrivacy 指令將成為數字營銷人員的兩個法律基石。

正如它所概述的:IP 地址、cookies——這些東西現在被認為是“個人數據”。

除了合法利益之外:您很可能需要使用當前的 A/B 測試工具來獲得 cookie 和其他標識符的同意。

原因如下:

如果您使用第三方軟件來豐富您的細分或存儲網站訪問者的一舉一動,那麼很難為平衡的合法利益提出論據。 這種存儲是 Heap 等工具或任何具有後分段或預測分析能力的類似程序的常見做法。

借助許多領先的 A/B 測試解決方案,您可以存儲大量有關用戶的數據。 然後,您可以隨心所欲地使用該數據,而無需通知用戶該過程。

回顧清單……

進入您網站的用戶是否“合理地期望”您會使用他們的數據來預測他們的購買模式?

您是否有“合法需要”存儲他們過多的數據,肯定會推翻他們可能對您使用這些數據的反對意見?

這種數據收集可能需要特別同意。 這意味著您不應該在沒有特定選擇的情況下加載 cookie 或實驗。

A/B 測試,減去個人數據存儲

自 GDPR 通過以來,我們重新設計了轉換體驗。 我們將繼續努力,以便在 2018 年 5 月 25 日之前 100% 準備好。

這意味著當您在默認設置中使用 Convert 時,它會在無需同意的情況下遵守 GDPR(請參閱此處的路線圖)。

沒有 cookie ID、唯一標識符和 IP 被存儲。 實際上,所有內容都被盡可能地剝離,因此不會存儲或使用任何個人數據。

這意味著,不需要同意。

可能需要的是告知網站訪問者您處理 A/B 測試的方式。

也許,為了最安全起見,用戶應該在他們的隱私政策中包含合法利益——以表明為 A/B 測試軟件放置的 cookie 不存儲個人數據。 提到您作為一家公司的戰略利益,有必要放置此分析 cookie,以提高您的業務績效。

把它們加起來:

同意和合法利益很可能是數字營銷人員最常用的合法基礎。

毫無疑問,同意是避免對貴公司採取任何法律行動的最安全方式。

僅在極少數情況下才應使用合法權益,即您發現自己背靠牆,並且您確定沒有或極少存儲和處理個人數據。

確保 100% 清楚為什麼您認為合法利益是可行的,並將其存儲起來以備審計。

因為它很複雜,但它不是火箭科學。 如果聽起來很偷偷摸摸,請徵得同意。 如果它是真正無害的處理,請充分證明對您的客戶和網站訪問者的影響最小。

請記住:距離 GDPR 僅有幾個月的時間。 隨時了解情況,與您的供應商交談,並為更透明的數據處理環境做好準備。