• 主頁
  • 文章
  • SEO
  • 知道如何根據 GDPR 處理數據嗎? 然後通過此快速測試。

知道如何根據 GDPR 處理數據嗎? 然後通過此快速測試。

已發表: 2018-03-10
知道如何根據 GDPR 處理數據嗎?然後通過此快速測試。

有些測驗會告訴你你的性格更像是“春天”還是“秋天”。

有些人告訴您數據保護機構是否有權對您的公司處以數百萬美元的罰款。

猜猜這是哪一個。

是時候玩了,這符合 GDPR 嗎?

1.

符合 GDPR 嗎?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

2.

符合 GDPR 嗎?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

3.

Oli Gardner 的 GDPR 合規?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

4.

SuperOffice 符合 GDPR 嗎?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

5.

符合 GDPR 嗎?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

6.

維特羅斯 GDPR 合規?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

7.

Woolworths GDPR 合規?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

8.

桑坦德 GDPR 合規?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息

9.

符合 GDPR 嗎?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

10.

蘭蔻符合 GDPR 嗎?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

11.

符合 GDPR 嗎?
  1. 這是合規的。
  2. 這不合規。
  3. 嗯……我們需要更多信息。

答案鍵

  4. 一個
  7. 一個
  9. 一個
  10. C
  11. C

如果你有……11 分中的 11 分

恭喜! 你是 GDPR 的超級巨星……或者什麼的。

頭銜、榮譽和徽章並不重要。 但 GDPR 合規性非常重要。

而且您似乎知道處理個人數據的方式(除非您猜到了)——無論是 cookie、電子郵件還是敏感數據。

所以拍拍自己的背。 分享你的智慧。 準備好你的同事。 如果有任何不確定的地方,請重新閱讀下面的解釋。

如果你得到......任何小於 11 的 11。

這東西很難

韋爾普。 我們懂了。 這東西很難。

您可能想繼續閱讀……

錯過一個? 猜幾次? 需要提醒嗎? 這是一個快速細分。

1.乙

嘿,這就是你可能在互聯網上看到的那個例子!

這是正確的朋友 - 不要預先檢查您的同意框。 人們現在必須主動表示同意。

“我只是想點擊‘下一步’按鈕。 我什至沒有看到那個複選框。 現在我在你的電子郵件列表上?”——絕不是你的用戶應該考慮的事情。

以下是 GDPR 關於處理同意的說法,以使其正式化:

數據主體的同意是指任何自由給出、具體、知情和明確的數據主體意願指示,通過聲明或明確的肯定行動,他或她表示同意處理與他或她有關的個人數據。她 – 第 4 條

明確,肯定,行動。 將這些框留空。

2.乙

不,不合規。

這裡的關鍵是所謂的“捆綁”——這在 GDPR 中是不允許的。 這裡有幾個不同的引用給出了“不”。

“如果數據主體的同意是在涉及其他事項的書面聲明的情況下給出的,則應以與其他事項明顯區分開來的方式提出同意請求(……) ”——第 7 條第(2)款

“同意應涵蓋為相同目的或多個目的進行的所有處理活動。 當處理有多種目的時,應獲得所有目的的同意” – Recital 32

那麼,參加活動? 這與每月的時事通訊有著明顯的“不同目的”。 必須單獨徵求同意。

3.乙

這看起來像我們標準的、有說服力的選擇加入表格。 這是各種不合規的。

首先,它要求收集大量信息,這些信息對於使數據服從他們的目標(又名:向他們發送他們註冊接收的 PDF)不是必需的。 這違背了 GDPR 對數據最小化或“設計隱私”的要求。 這裡的最佳實踐是:如果您正在收集信息,但不清楚為什麼要收集它,您應該讓您的用戶知道這一點。

Facebook 提供了一個很好的例子來說明如何正確地做到這一點:

Facebook 提供了一個很好的例子

另外,這個例子又是捆綁。

與前面的示例相比,它稍微不那麼令人震驚的捆綁。 在這裡,通過同意接收 PDF,您至少同意接收內容。 在這方面,電子郵件列表訂閱和下載具有相似的“目的”。 儘管如此,儘管如此,你還是很難將它們框定為“相同的”。 因此,應單獨給予同意。

4.一個

嘿不,這個很好!

現在您可以在此處提出他們不需要收集公司名稱或電話號碼的論點。 因此,通過設計適應隱私,應該省略這些字段。

但是考慮到您的用戶目標是測試運行 CRM,並且您知道,為他們的公司管理客戶關係 - SuperOffice 想知道該公司是誰是有道理的。

所以我們會給他們一個通行證。

另外,看看這些框有多漂亮、分段和未選中。 他們要求明確選擇加入他們的隱私政策。 他們已經要求單獨的、主動的同意。

當 GDPR 生效時,這應該會飛。

5.乙

他們。 原來如此。 關。

直到第二個複選框和第三方的提及。

根據 GDPR,您要與之共享數據的任何第三方都必須被命名。 “受信任的第三方”不夠明確。 類別不起作用。 如果有人要選擇聽取第三方的意見,他們必須確切地知道這些當事人是誰。

6.乙

所以,好消息是……他們找到了正確的第三方。

他們獲得了非捆綁式同意權。

但這是選擇退出,而不是選擇加入。

除非您選擇“否”,否則您會被聯繫到。

這聽起來不像是對我的肯定、積極的同意。

7.一個

10/10。

Woolworth NAILS 細粒度選擇加入。

如果你想知道為什麼我對這個例子感到非理性的興奮——這是很多表格搞砸的。

一個常見的錯誤是請求同意發送材料,但忘記區分“如何”。

所以提醒一下:如果你想發送短信,你需要特別同意才能發送短信。 如果您想發送電子郵件,您需要單獨的、具體的同意才能發送電子郵件。

Woolworth 還準確地告訴您將從他們那裡收到什麼樣的材料。 對於 GDPR 合規性和說服您的受眾註冊而言,這是一個好主意。

8.乙

為軟選擇默哀片刻,因為 GDPR 已經扼殺了它。

具有唯一標識符的 Cookie 是 GDPR 下的個人數據。

正如您所記得的,個人數據需要主動、明確、具體、yada yada yada 同意。

這意味著整個“使用本網站即表示您同意”的廢話不再合法。 在你得到肯定的肯定之前,你不能開始運行 cookie。

(這是一個龐大、複雜、混亂的主題——與 GDPR 和 ePrivacy 的交叉點有關。您可以在此處閱讀更多相關信息)。

9.一個

壯麗的

這完成了 8 號做錯的所有事情,對。

它會準確地告訴您這些 cookie 的用途。 然後它為您提供了一個明確的選擇來接受或不接受它們。

最後,它可以讓您擴展並選擇您可以接受和不可以接受的 cookie。

從法律的角度來看,這是一件美麗的事情。

(不過,從營銷的角度來看,您並沒有給您的用戶選擇加入或不加入的太多理由。也許更好地解釋您網站的 cookie 的好處,可能有助於這一努力)。

10. C

所以,有點棘手的問題。

正如我們所提到的,如果我們談論的是 GDPR 批准的同意,那就失敗了。 預先選中的框是“否”。

但如果我們問自己“Lancome 是否有權向此人發送電子郵件?”——我們還有一些事情需要評估。

因為如果這還不夠棘手,同意並不是合法處理個人數據的唯一方式

輸入:合法權益條件。

但不要激動。 由於感知到的“合法利益”而處理數據是很棘手的。

這種情況更適用於“我需要處理他們的帳號以執行欺詐預防服務”的情況。

不是“我理所當然地認為他們感興趣,所以……我未經同意就向他們發送了一堆電子郵件”案例。

但似乎讓人們繼續前進的一件事與現有客戶的數據有關。

這是他們正在談論的立法中的一行:

例如,在數據主體是客戶或為控制者服務的情況下,如果數據主體與控制者之間存在相關且適當的關係,則可能存在此類合法利益。 ”——獨奏會 47

這裡的關鍵是問自己:“執行此操作會導致我(數據主體)合理地期望我的數據將以這種方式使用嗎?”

那麼,如果我買了一件襯衫——我是否有理由期望我會收到一封確認購買的電子郵件? (沒有明確同意接收電子郵件?)。

是的,你有一個很好的案例合法利益適用於此。

下週類似產品有大幅折扣的通知呢?

你的箱子越來越薄了。

每週電子郵件?

紙薄薄。

老實說,通過您的標準訂單確認,我們不會冒險。 徵求同意(正確地!),是確保你的基地被覆蓋的最安全的方法。

但是,如果您真的想使用合法權益條件來處理個人數據,我們懇求您,請先閱讀此內容。

11. C

另一個有趣的轉折。

GDPR 概述了一個單獨的數據類別,稱為“敏感個人數據”。 並且對這類信息的處理要求不同。

我現在要向你承認,這不是最好的例子。 所以這是一個殘酷的問題,有點牽強。 (從數據隱私的角度來看,關於在什麼時候某人的體重算作健康數據,如果你感興趣的話,現在正在進行一個複雜的討論)。

以下是第 9 條中關於哪些數據被視為“敏感”的確切語言:

敏感的個人資料是指由以下信息組成的個人資料——

(a) 數據主體的種族或民族血統,

(b) 他的政治觀點,

(c) 他的宗教信仰或其他類似性質的信仰,

(d) 他是否是工會的成員(在 1992 年工會和勞資關係(綜合)法的含義內),

(e) 他的身體或精神健康或狀況,

(f) 他的性生活,

(g) 他犯下或涉嫌犯下任何罪行,或

(h) 針對他犯下或指稱犯下的任何罪行而進行的任何法律程序、該等法律程序的處置或任何法院在該等法律程序中的判決。

因此,假設這個應用程序收集了可以肯定地被視為關於“身體或心理健康或狀況”主題的數據。 它會詢問您之前的醫療狀況,它會隨著時間的推移記錄您的體重和血壓或睡眠模式。

如果它收集的信息被視為敏感的個人數據,那該怎麼辦?

如果此應用程序的個人數據不敏感,這似乎是一個非常合規的接收表格。 看起來這應該是一個明確的合法利益案例。

您正在註冊使用該應用程序。 您想使用該應用程序。 您同意使用該應用程序。

該應用程序會跟踪您的健康狀況。

當然,對你來說,他們要求你的健康數據似乎是合法的。 另外,如果您想知道如何使用這些數據,那裡還有一個可訪問的隱私政策和條件聲明。

但是,如果這是“敏感的個人數據”,我們必須遵守其他處理條件。

  1. 合法權益不再算作處理條件。
  2. 如果您選擇基於同意的條件進行處理,它不僅必須是“明確的”,還必須是“明確的”。

這意味著僅單擊“註冊我”按鈕是不夠的。

GDPR 說您需要一份聲明,“指定正在收集的數據的性質、自動決策的詳細信息及其影響,或者要傳輸的數據的詳細信息和傳輸的風險”(指令 95/46/歐共體,第 29 條)。

或者,正如 ICO 將其分解:

這表明個人的同意應該是絕對明確的。 應涵蓋具體的處理細節; 信息類型(甚至是具體信息); 處理的目的; 以及可能影響個人的任何特殊方面,例如可能進行的任何披露。

然後,一旦人們知道了這一切——你需要向他們徵求明確的行動。 比如,勾選“我同意”或“我同意”的方框。

基本上:他們應該知道你對這些數據所做的一切。 他們應該清楚地告訴你他們可以接受——採取平權行動。

所以,如果這是敏感的個人數據——僅僅在表格後面用小字寫出你的隱私政策和服務條款是不夠的。 您必須確保人們有機會閱讀它,然後選中一個框或單擊一個顯示“我同意”的按鈕。