для обеспечения соответствия требованиям для веб-сайтов, приложений и организаций: собирайте согласие GDPR, документируйте подписки и отказы CCPA через свои веб-формы.

www.iubenda.com

См. Также

Каковы требования к согласию GDPR?

Один из простых способов избежать крупных штрафов GDPR – всегда получать разрешение от пользователей перед использованием их личных данных. В этой статье объясняются требования к согласию GDPR, которые помогут вам соответствовать.

Вопреки распространенному мнению, GDPR (Общий регламент по защите данных) ЕС не требует, чтобы компании получали согласие людей перед использованием их личной информации в деловых целях.Скорее, согласие – это лишь одна из шести правовых основ, изложенных в статье 6 GDPR. Компании должны определить правовую основу для обработки своих данных.

Согласие является одним из самых простых для удовлетворения, поскольку оно позволяет вам делать с данными практически все, что угодно – при условии, что вы четко объясните, что собираетесь делать, и получите явное разрешение от субъекта данных. Однако, как недавно узнала компания Google, оштрафовав ее на 50 миллионов евро, нельзя срезать углы. Французские органы по защите данных заявили, что версия компании о получении согласия не является «осознанной», «однозначной» и «конкретной».”

В этой статье основное внимание уделяется тому, как удовлетворить требования GDPR для получения согласия в качестве правовой основы.

Чтобы получить более подробную информацию о GDPR, прочтите нашу статью «Что такое GDPR?» Он дает концептуальный обзор закона. Мы также опубликовали полный текст GDPR.

GDPR требует правовой основы для обработки данных

«Чтобы обработка была законной, личные данные должны обрабатываться на основании согласия соответствующего субъекта данных или на каком-либо другом законном основании», – поясняет GDPR в Recital 40.Другими словами, согласие – это лишь одна из юридических оснований, которую вы можете использовать для оправдания сбора, обработки и / или хранения личных данных людей. В статье 6 говорится о пяти других оправданиях.

Как мы объясняем в нашем обзоре GDPR, это и другие правовые основания:

1. Обработка необходима для выполнения контракта, стороной которого является субъект данных.
2. Вам необходимо обработать данные в соответствии с юридическим обязательством.
3. Вам нужно обработать данные, чтобы спасти чью-то жизнь.
4. Обработка необходима для выполнения задачи в общественных интересах или для выполнения некоторых официальных функций.
5. У вас есть законный интерес в обработке чьих-либо личных данных. Это наиболее гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда имеют приоритет над вашими интересами, особенно если это данные ребенка.

Вам нужно выбрать только одно правовое основание для обработки данных, но как только вы выберете его, вы должны его придерживаться.Вы не можете изменить свое правовое основание позже, хотя вы можете указать несколько оснований. Перед обработкой персональных данных вам следует провести оценку воздействия на защиту данных GDPR.

Определение согласия GDPR

Если вы обрабатываете чьи-либо данные на основании их согласия, GDPR четко объясняет обязательства, которые вы должны выполнить. Статья 4 (11) определяет согласие:

Согласие субъекта данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку относящихся к нему персональных данных.

GDPR дополнительно разъясняет условия согласия в статье 7:

1. Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее личных данных. .

2. Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, просьба о согласии должна быть представлена ​​способом, который четко отличается от других вопросов, в понятной и легко доступной форме. , используя ясный и понятный язык.Любая часть такого заявления, которая представляет собой нарушение настоящего Регламента, не является обязательной.

3. Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки на основании согласия до его отзыва. Прежде чем дать согласие, субъект данных должен быть проинформирован об этом. Отзыв должен быть таким же легким, как и дать согласие.

4. При оценке того, было ли дано согласие свободно, в максимальной степени учитывается, обусловлено ли, среди прочего, выполнение контракта, включая предоставление услуги, согласием на обработку персональных данных, в которых нет необходимости. для выполнения этого контракта.

Теперь, когда у вас есть определение, давайте разберемся с некоторыми из этих понятий.

Согласие должно быть предоставлено свободно.

Согласие «добровольно данное» по существу означает, что вы не заставили субъекта данных дать согласие на использование вами его данных. Во-первых, это означает, что вы не можете требовать согласия на обработку данных в качестве условия использования службы. Им нужно иметь возможность сказать «нет». Согласно декларации 42, «согласие не должно рассматриваться как предоставленное свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказать или отозвать согласие без ущерба.”

Единственное исключение – если вам нужны данные от кого-то, чтобы предоставить им вашу услугу. Например, вам может потребоваться информация об их кредитной карте для обработки транзакции или почтовый адрес для отправки продукта.

Подробное описание 43 обсуждает добровольно данное согласие. В нем объясняется, что вы должны получать отдельное согласие на каждую операцию обработки данных. Поэтому, если вам нужен их адрес электронной почты для маркетинговых целей и их IP-адрес для целей аналитики веб-сайта, вы должны предоставить пользователю возможность подтвердить или отклонить каждое использование.

Согласие должно быть конкретным

«Запрос на согласие должен быть представлен в форме, которая четко отличается от других вопросов». Должно быть ясно, какие действия по обработке данных вы собираетесь выполнять, давая субъекту возможность дать согласие на каждое действие.

В примере с адресом электронной почты и IP-адресом вы не можете объяснить их использование в рамках одного длинного абзаца с подробным описанием деятельности вашей маркетинговой группы с единственным флажком согласия в конце.Вместо этого вы должны объяснять каждый вариант использования данных отдельно, давая субъектам данных возможность давать согласие на каждое действие индивидуально.

Если у вас есть несколько причин для выполнения действий по обработке данных, вы должны получить согласие для всех этих целей. Поэтому, если вы храните номера телефонов как для маркетинговых целей, так и для проверки личности, вы должны получать согласие для каждой цели.

Согласие должно быть проинформировано

Информированное согласие означает, что субъект данных знает вашу личность, какие действия по обработке данных вы собираетесь проводить, цель обработки данных и что он может отозвать свое согласие в любое время.

Это также означает, что запрос на согласие и объяснение действий по обработке данных и их цели описаны простым языком («в понятной и легко доступной форме, используя ясный и простой язык»). Это не означает никакого технического жаргона или юридического языка. Любой, кто обращается к вашим услугам, должен понимать, на что вы просите его согласиться.

Случай с Google представляет собой поучительный пример из реальной жизни. Французские власти заявили, что компания не выполнила требования информированного согласия:

Информация об операциях обработки для персонализации рекламы представлена ​​в нескольких документах и ​​не позволяет пользователю узнать об их объеме.Например, в разделе «Персонализация рекламы» невозможно узнать о множестве служб, веб-сайтов и приложений, участвующих в этих операциях обработки… и, следовательно, об объеме обработанных и объединенных данных.

Управление британского комиссара по информации предоставляет дополнительный контекст: «Если запрос о согласии является расплывчатым, всеобъемлющим или трудным для понимания, то он будет недействительным. В частности, формулировка, которая может ввести в заблуждение – например, использование двойного отрицания или противоречивой формулировки – сделает согласие недействительным.

Согласие должно быть недвусмысленным

То есть не должно быть никаких сомнений в том, дал ли субъект данных согласие. Согласно GDPR Recital 32.

Однозначное согласие, «молчание, предварительно отмеченные поля или бездействие не должны означать согласие», «может включать в себя установку флажка при посещении веб-сайта, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которое четко указывает в этом контексте на согласие субъекта данных с предлагаемой обработкой его или ее личных данных.”

Согласие можно отозвать

GDPR не указывает срок хранения согласия. Теоретически согласие человека бессрочно, хотя могут быть ситуации, в которых становится ясно, что согласие больше не является действительным или разумным или нарушает какой-либо принцип обработки данных.

Однако субъект данных имеет право отозвать согласие в любое время. Более того, вы должны упростить им это. В общем, для них должно быть так же легко отозвать согласие, как и для вас, чтобы получить согласие.

Требования GDPR относительно легко понять, но, возможно, сложнее реализовать. Вы можете столкнуться с техническими препятствиями или проблемами, связанными с согласованием потребностей вашего бизнеса с требованиями соответствия GDPR. Может помочь заполнение вашей оценки воздействия на защиту данных. Так же можно поговорить с юристом GDPR. Соответствие
GDPR – это непрерывный процесс. Обратитесь к нашему контрольному списку GDPR, чтобы убедиться, что ваша организация честно.

Примеры согласия GDPR и инновационные методы для включения

Рост списка рассылки для рассылки по электронной почте становится все труднее с согласием GDPR и предстоящим регулированием ePrivacy.Но еще не все потеряно, исследования указывают путь к лучшему из всех миров. При использовании правильного метода возможно соблюдение как согласия GDPR, так и продолжающийся значительный рост списка адресов электронной почты , как показывают результаты тестирования и примеры согласия GDPR ниже.

Статья 4 (11) GDPR устанавливает высокую планку для согласия на подписку. В частности, в нем говорится:

любое свободно данное, конкретное, информированное и недвусмысленное указание его или ее пожеланий, с помощью которых субъект данных, либо заявлением, либо четким положительным действием, означает согласие с обрабатываемыми личными данными, относящимися к ним;

и продолжает разъяснять значение четкого позитивного действия в Рекитале 25:

… Молчание, предварительно отмеченные поля или бездействие не должны означать согласие.

Специалист по комплаенсу в Communicator Стив Хендерсон говорит об этом так:

«GDPR поднимает планку согласия. Маркетологи должны больше объяснять, быть более прозрачными, но при этом язык должен быть простым и лаконичным. Согласно GDPR согласие не может быть связано с каким-либо другим соглашением, не может быть условием предоставления услуги, а поля согласия не могут быть отмечены заранее ».

Это имеет большое значение для роста списка адресов электронной почты. Но прежде чем я расскажу, почему и как это исправить с помощью некоторых примеров согласия GDPR, необходимо немного предыстории.

GDPR не одинок.

Для рассылки маркетинговых сообщений по электронной почте требуется соответствие как PECR, , так и GDPR.

Это отдельные правила. GDPR заменяет DPA (закон о защите данных), но не удаляет PECR. PECR будет заменен новым регламентом ЕС по электронной конфиденциальности, но в настоящее время это ожидается не раньше 2019 года.

Отказ от электронной почты, которого достаточно для маркетингового разрешения в соответствии с PECR (регулирование конфиденциальности и электронных коммуникаций) для клиентов, недостаточно для согласия GDPR. Текущий проект нового регламента ePrivacy предоставляет ограниченные возможности для рассылки маркетинговых сообщений по электронной почте существующим клиентам . Подробнее об этом позже.

В итоге

• GDPR заменяет DPA
• ePrivacy заменяет PECR (вероятно, в 2019 году)
• Старый мир, соответствие означает удовлетворение потребностей как PECR, так и DPA.
• Новый мир (25 мая 2018 г.), соответствие означает удовлетворение потребностей как PECR, так и GDPR
• Мир будущего (2019?), Соответствие означает удовлетворение потребностей как ePrivacy, так и GDPR

Подумайте об этом, как вам нужно разрешение для маркетинг (регулирование PECR / ePrivacy) и правовая основа для обработки персональных данных (GDPR).

В новом мире подписки на электронную почту может быть достаточно для PECR, но для GDPR необходима правовая основа. Поскольку мягкая подписка не соответствует стандарту, необходимому для GDPR, необходима альтернатива. Для электронного маркетинга наиболее вероятным является законный интерес. Подробнее об этом позже, но сначала я займусь получением положительного согласия , которое соответствует стандартам PECR и GDPR.

Небольшое примечание для B2B, эта статья в основном предназначена для B2C. GDPR применяется к личным корпоративным адресам электронной почты, тогда как PECR не применяется к некоторым категориям предприятий.Таким образом, не вся следующая информация применима к B2B.

Один из лучших источников адресов электронной почты как по качеству, так и по количеству – получение маркетинговых разрешений от клиентов во время онлайн-оплаты. Или аналогичные процессы, такие как создание учетной записи, при заполнении форм котировок и запросов информации.

Примеры формы подписки по электронной почте

Многие бренды используют предварительно отмеченный флажок для получения согласия по той простой причине, что он получает разрешение от большего числа клиентов, чем использование поля, которое необходимо заранее отметить.Вот лишь несколько примеров форм.

Virgin Giving делает благотворительное пожертвование

Форма создания учетной записи ASDA

Форма согласия на оформление заказа Lancome

Это не сократит расходы в мае 2018 года. Тихая или программная подписка недопустима для согласия GDPR. Продолжение использования программной подписки для клиентов и адресов электронной почты, предоставленных во время переговоров о продаже, означает рассмотрение использования законных интересов, а не согласия в качестве правовой основы GDPR.

На первый взгляд ответ на получение утвердительного согласия состоит в том, чтобы изменить смысл поля, а это означает, что поле не отмечено заранее, и используйте настройку «отметьте, если вы хотите получать маркетинг» – хотя и с копией письмо, чтобы обеспечить очевидную пользу и сделать его убедительным.

Вот пример такого подхода от Jimmy Choo.

Что произойдет с ростом списка адресов электронной почты, если молчаливое согласие станет молчаливым отказом?

Копию Джимми Чу можно улучшить, чтобы подчеркнуть преимущества; «Пожалуйста, присылайте мне электронные письма о специальных предложениях и новых продуктах».

Убедительная копия – хорошее начало для максимального увеличения числа подписок в соответствии с GDPR, но этого недостаточно , чтобы повернуть вспять рост списка. Требуется нечто большее.

Поскольку люди склонны принимать значения по умолчанию как рекомендацию, фактически предпочитая не выбирать, то переключение на поля, которые необходимо отметить , радикально снизит рост списка .

В книге Sunstain 2015 «Выбор не выбирать: понимание ценности выбора» он документирует множество случаев, когда изменение смысла значений по умолчанию имело драматические последствия.Университет Рутгерса изменил настройки печати по умолчанию с печати на одной странице на печать на лицевой и оборотной сторонах.

Результат? За первые 3 года использование бумаги сократилось на 44%, сэкономив более 55 миллионов листов и 4650 деревьев. Люди просто придерживались значения по умолчанию.

Или пример в США, когда пенсионные планы компании меняются на подписку по умолчанию. Количество людей с пенсионным планом увеличилось на 30 процентных пунктов.

Это из-за того, как работает наш мозг.

В исследовании Стивена Флеминга «Преодоление предвзятого отношения к статус-кво в человеческом мозге» использовалось сканирование мозга с помощью фМРТ.Вывод заключался в том, что по мере того, как варианты становятся сложнее оценивать, люди с большей вероятностью будут придерживаться выбора по умолчанию. Выбор ничего не делать.

Активный выбор не только требует больше размышлений, но и люди уклоняются от принятия на себя ответственности за выбор и риска сожаления: «Хотел бы я не подписаться на этот бренд».

Пример результатов теста согласия на подписку

В исследовании Эрика Джонсона «Настройки по умолчанию, фрейминг, конфиденциальность: почему отказ от участия-отказ» были протестированы результаты предоставления и отказа.

В ходе исследования были протестированы четыре различных способа получения разрешения. Вот результаты.

Столбец процента участия означает количество людей, дающих разрешение.

Беспокоящий и не неожиданный результат – это тихая подписка, (2) и (3) захватывают значительно больше разрешений, чем когда смысл перевернут в (1) и (4).

В случае (1) и (2) с использованием снятых флажков и простого изменения смысла сообщения, «уведомить» на «не уведомлять», что означает, что количество раз, когда получено согласие, уменьшается вдвое. .

Очевидно, что , получив действительное согласие GDPR, сократит рост списка вдвое.

Делая больше, чтобы продать причину согласия, поможет уменьшить влияние.

• Обеспечьте визуальную фокусировку. В то время как предварительно отмеченные флажки опционы часто выделяются мелким шрифтом, светлыми цветами и размещаются так, чтобы их легко не заметить, сделайте наоборот. Используйте крупные шрифты, привлекайте внимание людей к варианту с помощью значков, стрелок или других элементов, которые привлекают и направляют взгляд.
• Используйте язык, основанный на преимуществах, а не сосредотачивайтесь на функции, «уведомите меня», дайте возможность получать уведомления.

Но есть кое-что получше, чтобы получить согласие GDPR и зарегистрироваться.

Не предоставляйте вариант по умолчанию , поэтому клиент должен сделать осознанный выбор. Точно так же, как в настоящее время люди спят, переходя на то, чтобы быть включенными, в новом мире они вполне могут спать, пока их не принимают.

Не ставьте одну отметку, укажите и , и вариант «да» или «нет», а – ни один из предварительно не отмеченных .

Исследование Джонсона также рассматривало именно этот вариант с приведенными ниже результатами.

Обнадеживающий результат для (5), версия с вариантами «да» и «нет», ни одна из которых не была предварительно выбрана, означает, что 88,5% дали разрешение. В версии (5) заказчик должен был ответить, чтобы заполнить форму, продолжить, не выбрав ни одного варианта, не было вариантом.

Результат для (5) лишь частично отстает от значения по умолчанию для тихого согласия (6). Это означает, что согласие , соответствующее GDPR, может быть получено с таким же успехом, как и скрытое согласие .

Есть больше потенциальных преимуществ, если идти по маршруту без выбора по умолчанию.

В исследовании Джеффри Брауна «Обратная сторона дефолтов» он подчеркивает, что пассивный выбор почти по определению снижает у людей чувство идентификации с результатом.

Когда люди делают активный выбор , результат полностью принадлежит им. Помните, что приверженность и последовательность – один из шести принципов Чалдини.

Это имеет поведенческие последствия: активный выбор подписки, вероятно, даст более заинтересованного подписчика, чем подписчик, включенный по умолчанию.Даже если один и тот же человек был очень счастлив, что его выбрали по умолчанию, предоставление им возможности сделать его более заинтересованным!

Sainsbury’s применили этот подход при регистрации своего аккаунта.

Так же, как и Readers Digest, при оформлении заказа.

Во всплывающих окнах использовалось требование, чтобы люди делали выбор «да / нет», что дает дополнительные доказательства, подтверждающие этот метод.

В приведенном ниже примере всплывающего окна от Copy Hackers они отмечают, что добавление этого всплывающего окна с использованием «да / нет» на их веб-сайт принесло в 4 раза больше подписчиков из этого всплывающего окна, чем все остальные действия по увеличению списка на сайте вместе взятые.

Хакеры-копировщики подчеркивают, что такой подход означает, что люди более четко понимают отсутствие выбора. Отрицательные последствия заставляют их задуматься более внимательно, в отличие от безболезненного щелчка невинно выглядящего «X» для выхода из всплывающего окна.

Хотя они советуют вам не быть и не должно быть грубым или грубым, если у вас нет выбора. Вместо «Я слишком глуп, чтобы хотеть скидок», более уместно сказать «Нет, я не сторонник скидок».

Контрольный список для получения согласия на формы подписки

ICO опубликовало краткий контрольный список для пунктов, которые следует учитывать в форме отказа и процессе регистрации.Контрольный список включает следующие пункты.

• Мы проверили, что согласие является наиболее подходящим законным основанием для обработки.
• Мы сделали запрос о согласии заметным и отдельным от наших условий.
• Мы просим людей дать положительный ответ.
• Мы не используем предварительно отмеченные флажки или какие-либо другие типы согласия по умолчанию.
• Мы используем ясный, простой язык, который легко понять.
• Мы указываем, зачем нам нужны данные и что мы собираемся с ними делать.
• Мы предоставляем индивидуальные («гранулярные») варианты согласия отдельно на разные цели и типы обработки.
• Мы указываем нашу организацию и всех сторонних контролеров, которые будут полагаться на согласие.
• Мы говорим людям, что они могут отозвать свое согласие.
• Мы гарантируем, что люди могут отказать в согласии без ущерба.
• Мы избегаем делать согласие предварительным условием предоставления услуги.
• Если мы предлагаем онлайн-услуги непосредственно детям, мы запрашиваем согласие только в том случае, если у нас есть меры по проверке возраста (и меры согласия родителей для детей младшего возраста).

Обязательно ли согласие в соответствии с GDPR?

Использование согласия в качестве законного основания для обработки данных – лишь один из вариантов, доступных в соответствии с GDPR. Есть семь различных вариантов, бренды могут выбрать наиболее подходящий.

Возможно, вы читали о законных интересах . Это очень полезный подход для брендов, который следует учитывать при принятии решения о том, требуется ли согласие GDPR в качестве правовой основы для хранения и обработки данных. Для платежеспособных клиентов, с которыми существуют четкие отношения, может быть достаточно законного интереса.Но это всего лишь препятствие GDPR, помните, что вам также нужно соответствие PECR / ePrivacy.

Очень хорошее руководство по использованию законных интересов доступно в сети защиты данных. Ключевой частью этого является выполнение теста на балансировку.

Законный интерес оставляет некоторые вопросы:

• Как долго кто-то является покупателем. Месяц с последней покупки, год или больше? Как долго вы можете хранить и обрабатывать их данные?
• Использование законного интереса в конечном итоге субъективно.Есть риск, что ваша точка зрения не будет точкой зрения правоохранительных органов.

Положительное согласие привлекает ясностью. Если согласие было дано свободно и проинформировано, у вас есть надежные основания для PECR и GDPR.

Стив Хендерсон рекомендует: «Если вы отправляете электронное письмо клиентам с программной подпиской», вы должны использовать каждую точку взаимодействия для обновления до согласия, пока они являются активными клиентами ». Без этого вы рискуете потерять возможность хранить и обрабатывать данные ускользнувших клиентов.

И для потенциальных клиентов, а не для клиентов, похоже, мало альтернативы согласию с использованием позитивного действия, действительного согласия GDPR.

Использование без выбора по умолчанию Подход к получению согласия также подходит для маркетинга людям в Канаде, поскольку в CASL существует требование о явном согласии. Как и в случае с GDPR, автоматическая подписка не может использоваться для получения явного согласия CASL.

В настоящее время правила CAN-SPAM в США означают, что отказ от рассылки является приемлемым.В ЕС с 2003 года требуется разрешение на подписку, в отличие от США. Электронный маркетинг столь же эффективен по обе стороны Атлантики. Будет интересно посмотреть, не станет ли в США более распространенным принцип «отсутствие по умолчанию» для получения согласия по мере того, как бренды объединяют подход, или обнаружит, что это лучший метод полной остановки.

GDPR – это больше, чем просто получение согласия

Использование вышеуказанного подхода должно дать хорошие результаты и соответствовать GDPR с точки зрения получения согласия. GDPR имеет еще несколько аспектов, таких как удаление данных, ведение записей.Убедитесь, что вы отметили все поля GDPR. DMA опубликовало множество полезных статей, а ICO опубликовало руководства и инструментарий для самооценки.

В следующем году PECR должен быть заменен на ePrivacy. Это было написано для работы вместе с GDPR, что означает (надеюсь) никаких дальнейших больших изменений. Текущее представление PECR о мягкой подписке для получения разрешения на отправку маркетинговых изменений в «существующих отношениях с клиентами». Здесь возможна разница, поскольку во время переговоров о продаже может применяться мягкая подписка PECR.Принимая во внимание, что «существующие отношения с клиентами», похоже, исключают потенциальных клиентов из переговоров о продаже. Следите за новостями в ближайшие месяцы, и я опубликую любые полезные советы, когда они станут понятны.

Как написать уведомление о конфиденциальности данных GDPR – бесплатный шаблон

Закон о защите данных в Великобритании изменился в результате Brexit. Вы можете найти последние инструкции здесь .

Согласно GDPR (Общий регламент по защите данных), организации должны предоставлять физическим лицам определенную информацию с помощью заявления о конфиденциальности данных или уведомления о конфиденциальности.

Но что такое уведомление о конфиденциальности данных и что оно должно содержать? В этом блоге мы объясняем все, что вам нужно знать, вместе с примером заявления GDPR.

Уведомление о конфиденциальности – это один из нескольких документов, необходимых для соответствия GDPR.

Но поскольку многие из этих документов являются строго внутренними, для клиентов и других заинтересованных сторон предоставляется уведомление о конфиденциальности, в котором объясняется, как организация обрабатывает их личные данные.

Для этого есть две причины. Во-первых, это предотвращает путаницу в том, как используются личные данные, и обеспечивает уровень доверия между организацией и отдельным лицом.

Во-вторых, это дает людям больше контроля, когда организация собирает их личные данные. Если их что-то не устраивает, они могут запросить это через DSAR (запрос доступа к данным) и попросить организацию приостановить эту обработку.

Статья 30 GDPR объясняет, что соответствующий документ должен включать следующие данные:

1) Контактные данные

Первое, что нужно указать в уведомлении о конфиденциальности, – это имя, адрес, адрес электронной почты и номер телефона вашей организации.

Если вы назначили представителя DPO (сотрудника по защите данных) или представителя в ЕС, вы также должны указать их контактные данные.

2) Типы персональных данных, которые вы обрабатываете

Определение личных данных намного шире, чем вы думаете, поэтому вы должны убедиться, что включили все необходимое – и в конкретных деталях.

Например, вместо того, чтобы просто говорить «финансовая информация», укажите, какие это номера счетов, номера кредитных карт и т. Д.

Вам также следует указать, где вы получили информацию, если она не была предоставлена ​​непосредственно субъектом данных.

Чтобы получить представление о том, как это может выглядеть, взгляните на наш шаблон уведомления о конфиденциальности:

Как можно точнее укажите тип информации, которую вы собираете, и то, как вы ее получили.

3) Законное основание для обработки персональных данных

Согласно GDPR, организации могут обрабатывать персональные данные только при наличии для этого законных оснований.В вашей политике конфиденциальности следует указать, на какую из них вы полагаетесь для каждой цели обработки.

Если вы полагаетесь на законные интересы, вы должны их описать. Аналогичным образом, если вы полагаетесь на согласие, вы должны указать, что его можно отозвать в любой момент.

Помните, что существуют особые правила, когда дело касается обработки особых категорий персональных данных.

4) Как вы обрабатываете личные данные

Вы должны объяснить, будете ли вы передавать личные данные третьим лицам.

Мы предлагаем также указать, как вы будете защищать общие данные, особенно если третья сторона находится за пределами ЕС.

Вы можете указать, будут ли данные передаваться организациям за пределами ЕС.

5) Как долго вы будете хранить их данные

GDPR гласит, что вы можете хранить личные данные только до тех пор, пока применима правовая основа для обработки.

В большинстве случаев это легко определить.Например, данные, обработанные для выполнения контрактов, должны храниться до тех пор, пока организация выполняет задачу, к которой применяется контракт.

Аналогичным образом, организации должны хранить любые данные, обрабатываемые на основании юридических обязательств, общественных задач или жизненных интересов, пока эти действия актуальны.

С согласием и законными интересами дела обстоят сложнее, поскольку нет четкого момента, когда они перестают действовать.

Таким образом, мы рекомендуем пересматривать свои методы хранения данных не реже одного раза в два года.

6) Права субъекта данных

GDPR дает физическим лицам восемь прав субъектов данных, которые вы должны перечислить и пояснить в своем уведомлении о конфиденциальности:

• Право на получение информации : организации должны сообщать людям, какие их данные собираются, как они используются, как долго они будут храниться и будут ли они переданы третьим лицам.
• Право доступа : физические лица имеют право запрашивать копию информации, которую организация хранит о них.
• Право на исправление : физические лица имеют право исправлять неточные или неполные данные.
• Право на забвение : при определенных обстоятельствах люди могут попросить организации стереть любые личные данные, которые хранятся на них.
• Право на переносимость : физические лица могут потребовать от организации передать любые данные, которые она хранит, другой компании.
• Право на ограничение обработки : отдельные лица могут потребовать от организации ограничить способ использования личных данных.
• Право на возражение : физические лица имеют право оспаривать определенные типы обработки, такие как прямой маркетинг.
• Права, связанные с автоматическим принятием решений, включая профилирование : отдельные лица могут попросить организации предоставить копию своей автоматизированной обработки, если они считают, что данные обрабатываются незаконно. Вам также следует напомнить людям, что они могут пользоваться своими правами, и объяснить, как они могут это сделать.

Создайте собственное уведомление о конфиденциальности, соответствующее GDPR, с помощью нашего шаблона.

Уведомления о конфиденциальности являются юридическим требованием в соответствии с GDPR, гарантируя, что люди знают, как обрабатываются их личные данные.

Однако они также могут принести пользу организациям несколькими способами.

Например, политика конфиденциальности предоставляет документальное подтверждение ваших действий по обработке данных. Это поможет вам оправдать вашу обработку, если кто-то подаст жалобу в надзорный орган.

GDPR также могут помочь вам выиграть бизнес, поскольку они доказывают, что у вас есть соответствующие меры защиты информации.

Хотя они охватывают многие из тех же тем, не следует путать уведомления о конфиденциальности с политиками конфиденциальности.

В контексте GDPR уведомление о конфиденциальности – это общедоступный документ, созданный для субъектов данных.

В отличие от этого, политика конфиденциальности GDPR – это внутренний документ, который объясняет обязательства и методы организации по соблюдению их требований соответствия.

Контроллеры данных должны предоставлять уведомление о конфиденциальности всякий раз, когда они получают личную информацию субъектов данных.

В этом нет необходимости только тогда, когда:

• Субъект данных уже имеет информацию, указанную в уведомлении о конфиденциальности;
• Предоставление такой информации было бы невозможным или потребовало бы непропорциональных усилий;
• Организация обязана получать информацию; или
• Персональные данные должны оставаться конфиденциальными при условии соблюдения профессиональной тайны.

Когда организация получает личную информацию от третьей стороны, она должна предоставить уведомление о конфиденциальности в течение месяца.

Это должно быть сделано в первый раз, когда организация связывается с субъектом данных или когда личные данные впервые передаются другому получателю.

Самый простой способ предоставить уведомление о конфиденциальности – это разместить его на своем веб-сайте и дать на него ссылку, когда это необходимо.

Если у вас нет веб-сайта, сделайте физическую копию своей политики конфиденциальности.

Ваша политика конфиденциальности должна быть написана ясным и понятным языком, понятным субъектам данных.

Это особенно важно, когда вы обрабатываете личные данные детей, так как существует множество концепций, которые вам придется объяснить более подробно.

Как правило, политика конфиденциальности должна быть написана активным голосом и избегать ненужной юридической и технической терминологии.

Точно так же вам следует избегать таких определителей, как «может», «мог бы», «некоторые» и «часто», поскольку они намеренно расплывчаты. Заявление о том, что вы «можете» что-то сделать, не помогает субъекту данных понять, при каких обстоятельствах это произойдет.

Наконец, полис должен быть бесплатным и легкодоступным. Не скрывайте его в ссылке внизу формы, где его вряд ли увидят.

Вместо этого вы должны предоставить им политику в письменной форме или дать ссылку на нее при запросе их личных данных.

Вам нужны дополнительные советы о том, как задокументировать соответствие GDPR? В таком случае наш настраиваемый шаблон уведомления о конфиденциальности идеально подходит.

Наш шаблон уведомления о конфиденциальности содержит аннотации, чтобы гарантировать соответствие требованиям GDPR.

Написанный экспертами по защите данных, этот шаблон GDPR поможет вам создать уведомление о конфиденциальности в соответствии с требованиями Регламента всего за несколько минут.