Разрешение на использование персональных данных образец: Согласие на обработку персональных данных – бланк 2020 – 2021
Отзыв согласия на обработку персональных данных
]]>Подборка наиболее важных документов по запросу Отзыв согласия на обработку персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Формы документов: Отзыв согласия на обработку персональных данныхСтатьи, комментарии, ответы на вопросы: Отзыв согласия на обработку персональных данныхНормативные акты: Отзыв согласия на обработку персональных данных Справочная информация: “Правовой календарь на I квартал 2021 года”(Материал подготовлен специалистами КонсультантПлюс)Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения установленных требований или обратиться с таким требованием в суд. Лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение 3 рабочих дней с момента вступления решения суда в законную силу. Федеральный закон от 27.07.2006 N 152-ФЗ
“О персональных данных”
(с изм. и доп., вступ. в силу с 01.03.2021)2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Примерная Форма согласия на обработку персональных данных
Наши документы → О персональных данных
[ Скачать ]__________________________________
(наименование оператора, получающего согласие субъекта персональных данных)
________________________________
(адрес оператора, получающего согласие субъекта персональных данных)
Согласие
субъекта персональных данных на обработку его персональных данных
Я,___________________________________________________________________________
_____________________________________________________________________________
(фамилия, имя, отчество субъекта персональных данных)
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
(адрес субъекта персональных данных)
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
(номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе)
своей волей и в своем интересе выражаю согласие на обработку Оператором моих персональных данных, в том числе автоматизированную, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, а также оформления доверенностей, безналичных платежей на мой счет.
В перечень персональных данных, на обработку которых дается согласие, входят следующие сведения:
- фамилия, имя, отчество;
- дата и место рождения;
- номер основного документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе;
- адрес регистрации; адрес проживания;
- сведения о гражданстве Российской Федерации и гражданстве (подданстве) иностранных государств;
- сведения о судимости и (или) факте уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
- профессия, специальность;
- сведения об образовании, квалификации или наличии специальных знаний;
- сведения о местах и стаже работы;
- номер страхового свидетельства государственного пенсионного страхования;
- идентификационный налоговый номер;
- сведения о воинском учете;
- номер полиса обязательного медицинского страхования;
- иные сведения, необходимые для заполнения унифицированной формы Т-2 (Т-2ГС (МС)).
Настоящим также выражаю согласие на получение и передачу указанных в перечне персональных данных путем подачи и получения запросов (ходатайств) органам местного самоуправления, государственным органам в случаях, предусмотренных федеральными законами Российской Федерации.
Вышеприведенное согласие на обработку моих персональных данных представлено с учетом п. 2 ст. 6 и п. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в соответствии с которыми обработка персональных данных, осуществляемая на основе федерального закона либо для исполнения договора, стороной в котором я являюсь, может осуществляться Оператором без моего дополнительного согласия.
Настоящее согласие дано на срок действия трудового договора с Оператором и может быть отозвано путем подачи Оператору письменного заявления.
«____»________________20____г. ________________________
(подпись)
Согласие на обработку персональных данных
Я ознакомлен с тем, что в соответствии с требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», включая положения пунктов 2-4 части 1 статьи 6 указанного Федерального закона, будет осуществляться обработка предоставляемых мною персональных данных, в том числе фамилии, имени, отчества; даты рождения; адреса проживания; сведений о номере основного документа, удостоверяющего личность, сведений о дате выдачи указанного документа и выдавшем его органе; номерах телефонов; адресах электронной почты (е-mail), а так же иных предоставляемых мною данных.
Одновременно подтверждаю свое согласие на обработку и осуществление Департаментом информационных технологи города Москвы следующих действий с моими персональными данными: сбор, запись, систематизацию, накопление, хранение, извлечение, уточнение, обновление, изменение, использование, обезличивание, распространение (в том числе передачу третьим лицам), блокирование, уничтожение. Настоящее согласие не устанавливает предельных сроков обработки персональных данных.
Персональные данные предоставляются мною и обрабатываются для обеспечения моей возможности использования информационных систем города Москвы, а также в целях получения мною доступа к различным информационным ресурсам города Москвы, предоставления государственных услуг и исполнения функций органами исполнительной власти города Москвы и подведомственными им организациями, иными организациями.
Настоящим также подтверждаю свое согласие на получение информации о предоставлении мне государственных услуг, а так же о деятельности органов государственной власти города Москвы и подведомственных им учреждений, иных организаций. Указанная информация может быть предоставлена мне с применением неголосовых коммуникаций (путем рассылки по сети подвижной радиотелефонной связи коротких текстовых sms-сообщений, рассылки ussd-сообщений и др.), посредством направления мне сведений по информационно-телекоммуникационной сети «Интернет» на предоставленные мной номер телефона и (или) адрес электронной почты.
Согласия на обработку персональных данных, образец 2020 и 2021
Скачать бланк разрешения на обработку персональных данных
Скачать образец разрешения на обработку персональных данных
Что понимают под термином «персональные данные»
Заключение трудовых отношений между работником и работодателем обязывает последнего надлежащим образом осуществлять сбор, систематизацию, накопление, обновление, хранение и использование любой информации, относящейся к конкретному сотруднику или позволяющей его идентифицировать. Такая информация объединяется понятием персональных данных, а перечисленные процессы и операции называются обработкой. На законодательном уровне оба термина определяются и регулируются Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и главой 14 Трудового кодекса Российской Федерации. Образец разрешения на использование персональных данных, — это обязательный документ, который необходимо оформить на каждого работника и дать ему на подпись. В случае его отсутствия предприятие ждет штраф.
Состав личных данных работника
Законодательные документы не содержат строгого перечисления личных данных. Как правило, сотрудник предоставляет в распоряжение работодателя следующие сведения:
- об образовании;
- трудовом и общем стаже;
- составе семьи;
- воинском учете;
- заработной плате;
- социальных льготах;
- занимаемой должности;
- наличии судимостей;
- адресе по месту регистрации и проживания;
- контактных телефонах;
- местах работы или учебы членов семьи;
- условиях трудового договора;
- наличии декларируемых материальных ценностей;
- материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и прочие.
Что написать в заявлении
Прежде всего, в нем надо сформулировать само разрешение на обработку персональных данных, как бы банально это ни звучало.
«согласие… дано субъектом… или его представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено Федеральным законом».
Работодателю рекомендуется разработать бланк разрешения на обработку личных данных, который содержит:
- Ф.И.О. и паспортные данные сотрудника или его представителя;
- полное наименование и адрес работодателя;
- цель обработки информации;
- перечень подлежащих обработке данных;
- срок действия разрешения;
- способы отзыва согласия;
- подпись работника.
Для чего формируется согласие на обработку при трудоустройстве
Фактически работодатель получает доступ к личным данным работника в момент ознакомления с резюме или анкетой, т. е. до официального трудоустройства. Следовательно, с этого момента работодатель вправе привлечь, согласно ст. 90 ТК РФ, к административной, дисциплинарной или уголовной ответственности в случае некорректного обращения с полученной информацией. Чтобы защитить интересы обеих сторон, сперва необходимо предоставить работнику для ознакомления образец заявления на разрешение обработки персональных данных. Соответствующий документ следует подписать до заключения трудового договора.
Если сотрудник отказывается подписывать согласие
В соответствии с п. 1 ст. 9 закона № 152-ФЗ, предоставление данных о себе дается субъектом добровольно. Таким образом, работник вправе не давать согласие, если использование данных о нем не связано напрямую с выполнением должностных обязанностей. Иными словами, отказ подписать разрешение не должен препятствовать трудовым отношениям. Тем более оно не требуется, когда речь идет о передаче сведений в Пенсионный фонд РФ, налоговую службу и другие установленные законодательством органы. Однако на практике отказ иногда влечет за собой невозможность осуществлять трудовую деятельность, например, когда у работодателя установлен пропускной режим.
Как правильно организовать работу с персональными данными в организации, видео
Образец согласия на обработку персональных данных
Согласие на обработку персональных данных — официальный документ, позволяющий организациям работать с личной информацией гражданина. Он должен быть у любого юридического и физического лица, которое получает, использует, передает или хранит такие сведения. В статье — образец соглашения на обработку персональных данных и требования к его оформлению.
Что относят к личной информации граждан
Персданные и порядок обращения с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. В соответствии с этим документом, личной информацией гражданина считаются любые сведения, относящиеся к нему. Какая именно это информация о человеке, в законе не раскрывается, но на практике подлежат защите:
- Ф.И.О.;
- дата и место рождения;
- адрес проживания и регистрации;
- семейный статус и имущественное положение;
- образование;
- национальность и политические взгляды;
- вероисповедание и состояние здоровья;
- прочая общая и специфичная информация, позволяющая идентифицировать гражданина.
Обычно все эти сведения человек сообщает сам. Пользователями такой информации становятся государственные органы, медицинские, образовательные и кредитные организации, коммерческие структуры. Все они считаются операторами персональных данных и должны иметь соглашение с гражданами об обработке их личных сведений.
Хотите заявить о себе на отраслевых конференциях? Мы подготовим для вас специальный выпуск с качественными журналистскими материалами – под ключ.
Какие действия с персданными требуют согласия граждан
В законе № 152-ФЗ указано, что согласие требуется при любом действии (или их совокупности), совершаемом с личной информацией:
- сбор и запись;
- систематизация и накопление;
- уточнение и использование;
- извлечение и обезличивание;
- передача и самой информации, и доступа к ней;
- блокирование и хранение;
- удаление и уничтожение сведений.
Неважно, как именно происходит обработка: на бумаге, с использованием средств автоматизации или без, онлайн-способом — оператор должен получить от каждого владельца согласие на обработку персональных данных (на сайте, например, вывесить). При этом деятельность работодателей с персданными — это отдельный случай, поскольку она дополнительно регулируется главой 14 ТК РФ. И они должны получать письменное заявление о согласии на обработку персональных данных от каждого работника — документ, который немного отличается от общего образца.
Образец формы согласия на обработку персональных данных
Чиновники не дают типовой формы разрешения на манипуляции с личной информацией граждан. Но само соглашение обязательно оформляется в письменном виде, и к нему есть ряд требований (ст. 9 закона № 152-ФЗ):
- основные критерии документа — конкретика, информированность и сознательность;
- среди обязательных реквизитов субъекта персданных — Ф.И.О., адрес, паспортные данные;
- об операторе следует сообщать наименование, адрес, по желанию — контакты;
- в согласии указывают:
- цель получения сведений и действия с ними;
- перечень данных, которые передает гражданин;
- наименования третьих лиц, которые могут получить доступ к сведениям;
- срок действия соглашения и способ его отзыва;
- личная подпись владельца персданных.
Для работодателей все эти требования также актуальны, но они должны руководствоваться еще нормами ТК РФ. В частности, им запрещено работать со специфичной личной информацией сотрудников, а все общие персональные данные разрешено использовать только для реализации функций работодателя (сдача отчетности, подготовка пакета документов при трудоустройстве, направление на обучение или оценку квалификации, пр.).
Образец заполнения согласия на обработку персональных данных от сотрудника выглядит так:
Бланк согласия на обработку персональных данных (2019)
Согласие на обработку персональных данных
(Полное наименование оператора) |
Приказ об утверждении формы Согласия на обработку персональных данных
Руководствуясь ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”.
1.Утвердить прилагаемую форму Согласия на обработку персональных данных.
2.Ответственному за организацию обработки персональных данных :
– Обеспечить оформление Согласий со всеми субъектами персональных данных, обработка персональных данных которых должна осуществляться по их согласию.
3.Контроль за исполнением приказа оставляю за собой.
Руководитель | |||||
(должность) | (личная подпись) | (расшифровка подписи) |
на обработку персональных данных
1.Я, , даю согласие следующему лицу (“Оператор”):
Наименование оператора | Адрес регистрации |
на обработку принадлежащих мне персональных данных.
2.разрешаю передачу персональных данных следующим лицам:
2.1.организации, оказывающей Оператору услуги по ведению кадрового, налогового и бухгалтерского учета ( ) на . Цель и объем передаваемых персональных данных: персональные данные, обработка которых необходима для кадрового, налогового или бухгалтерского учета.
2.2.Следующим лицам в целях . Срок действия согласия: . Перечень обрабатываемых персональных данных: .
Наименование третьего лица | Адрес регистрации | Цель передачи данных третьему лицу | Перечень персональных данных | Срок действия согласия |
в целях разрешаю в течение обработку следующих персональных данных, отнесенных законодательством к категории специальных: .
4.в целях разрешаю в течение принятие следующих решений, затрагивающих мои права и интересы, на основании исключительно автоматизированной обработки персональных данных: . Осознаю, что указанное решение может повлечь для меня следующие последствия: . Информирован, что в случае принятия указанного решения я вправе заявить Оператору возражение в следующем порядке в следующие сроки: . Оператор обязан рассмотреть мое возражение в течение тридцати дней со дня его получения и уведомить меня о результатах его рассмотрения (п.4 ст. 16 Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных). Для принятия указанных выше решений разрешаю Оператору получать и обрабатывать персональные данные:
4.1.полученные с помощью онлайн-сервиса . Перечень персональных данных: .
– на обработку следующих персональных данных: , в следующих целях: .
5.Обработка персональных данных включает в себя совершение следующих действий: .
6.Обработка персональных данных осуществляется без использования средств автоматизации.
7.Настоящее согласие может быть отозвано субъектом персональных данных досрочно тем же способом, которым было предоставлено. Независимо от способа предоставления согласия, оно может быть отозвано субъектом персональных данных следующими способами:
– путем предоставления Оператору собственноручно подписанного заявления об отзыве согласия заказным письмом с описью вложения по почтовому адресу Оператора (). Заявление должно содержать: ФИО, данные документа, удостоверяющего личность заявителя, дату составления заявления;
– путем предоставления Оператору заявления в электронной форме, подписанного усиленной квалифицированной электронной подписью заявителя, по электронной почте .
В случае отзыва Пользователем согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных законодательством.
8.Настоящее согласие оформлено в бумажной форме и подписано заявителем собственноручно.
Мне понятны порядок принятия затрагивающего мои права и интересы решения на основании исключительно автоматизированной обработки персональных данных, порядок заявления возражений против такого решения, порядок защиты своих прав и законных интересов.
_____________________________ / __________________________________________
(подпись) (расшифровка подписи)
Шаблоны соглашений на обработку персональных данных для ваших сайтов
В блогНедавно в Тинькофф-журнале вышла статья, которая доступно и подробно объясняет какими штрафами грозит неисполнение формальностей нового закона и как этих штрафов избежать.
Самая главная работа, которую нужно проделать на своих сайтах – добавить обязательное поле-галочку, отмечая которое, посетители соглашаются с вашими правилами обработки их данных. Соответственно, необходимо эти правила разместить.
Для облегчения жизни своим клиентам, мы подготовили два шаблона – для корпоративных сайтов, где только форма обратной связи и форма заказа звонка, и для интернет магазинов, где форм побольше. И нам не жалко поделиться ими :)
Обязательно прочитайте то, что будете копировать на свой сайт – можете удалить строчки про цели использования и перечень персональных данных, если какие-то из них вас не касаются.
Если у вас уже есть соглашение на сайте, добавьте в него блок про обработку данных и сделайте ссылку на это соглашение.
Для корпоративного сайта
Предоставляя свои персональные данные Пользователь даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27. 07.2006 г. в следующих целях:
- Осуществление клиентской поддержки
- Получения Пользователем информации о маркетинговых событиях
- Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.
Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Пользователя/Покупателя такая как:
- Фамилия, Имя, Отчество
- Дата рождения
- Контактный телефон
- Адрес электронной почты
- Почтовый адрес
Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.
Компания обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:
- По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
- Стратегическим партнерам, которые работают с Компанией для предоставления продуктов и услуг, или тем из них, которые помогают Компании реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.
Компания оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.
Для интернет-магазинов
Предоставляя свои персональные данные Покупатель даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:
- Регистрации Пользователя на сайте
- Осуществление клиентской поддержки
- Получения Пользователем информации о маркетинговых событиях
- Выполнение Продавцом обязательств перед Покупателем
- Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.
Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:
- Фамилия, Имя, Отчество
- Дата рождения
- Контактный телефон
- Адрес электронной почты
- Почтовый адрес
Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.
Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:
- По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
- Стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.
Продавец оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.
Примеры согласия GDPR – Политика конфиденциальности
В последнее время началась активная деятельность по получению согласия. Веб-сайты представляли «баннеры cookie». Компании рассылают электронные письма с вопросом, хотят ли пользователи по-прежнему подписываться на списки рассылки. Этот список можно продолжить.
Это все из-за Общего регламента ЕС по защите данных (GDPR) , закона о конфиденциальности, который устанавливает более высокий стандарт согласия, чем многие компании привыкли. Согласно GDPR, согласие на самом деле означает согласие . Некоторые методы, которые ранее использовались для получения согласия, больше не действуют.
Давайте посмотрим, как ваша компания может убедиться, что она получает согласие правильным и правильным образом.
Что такое GDPR?
GDPR – почти наверняка самый строгий закон о конфиденциальности в мире. Но в строгих законах ЕС о конфиденциальности и защите данных нет ничего нового. Директива о защите данных , более старый закон о конфиденциальности, который заменяет GDPR, и директива ePrivacy , иногда известная как «закон о файлах cookie», уже обеспечивали людям в ЕС высокий уровень защиты конфиденциальности.
GDPR оказал особенно значительное влияние, отчасти потому, что он также применяется к компаниям за пределами ЕС .
Кому нужно соблюдать GDPR?
GDPR применяется к вашей компании вне зависимости от того, находитесь вы в ЕС или нет, до тех пор, пока вы:
- Предлагать товары и услуги жителям ЕС. Это независимо от того, преследуете ли вы прибыль.
- Мониторинг поведения людей в ЕС. Это может включать « профилирование » людей – попытку предсказать, как они могут действовать, основываясь на наблюдениях за их прошлым поведением.На самом деле это очень распространено, так как это то, что делают многие рекламные файлы cookie.
Что покрывает GDPR?
Всякий раз, когда ваша компания обрабатывает персональные данные , она должна соответствовать GDPR. Обработка персональных данных – это то, чем компании занимаются каждый день.
« Персональные данные » – это информация, которая может использоваться для идентификации человека. Если вам интересно, может ли что-то квалифицироваться как личные данные, вы можете поспорить, что это, вероятно, так.
Например,динамических IP-адресов были признаны высшим судом ЕС персональными данными. Это связано с тем, что динамический IP-адрес теоретически может быть в сочетании с другой информацией для идентификации человека. Некоторые файлы cookie также подходят.
« Обработка » персональных данных означает что-то с ними делать. Опять же, если вам интересно, можно ли что-то квалифицировать как обработку, скорее всего, это так.
Помимо очевидных вещей, таких как получение платежных реквизитов или составление списка рассылки, такие действия, как сохранение чьего-либо IP-адреса в файлах журнала вашего веб-сервера, также могут представлять собой «обработку личных данных».«
Чем отличается согласие согласно GDPR
В большинстве законов о конфиденциальности существует два типа согласия: подразумевается и выражает .
Они могут иметь разные названия. Например, в законах Австралии о коммерческой электронной почте Закона о спаме 2003 года подразумеваемое согласие называется « подразумеваемое согласие ». А в Соединенных Штатах закон о конфиденциальности CAN-SPAM называет явное согласие « положительное согласие ».
В то время как большинство законов о конфиденциальности признают оба типа согласия, подразумеваемого согласия не существует в GDPR .Гораздо сложнее продемонстрировать, что у вас есть согласие клиента в соответствии с GDPR, чем в соответствии с другими законами о конфиденциальности.
Подразумеваемое согласие
По сути, «подразумеваемое согласие» означает, что у вас есть основания полагать, что лицо даст вам свое согласие , если вы его попросите.
Подразумеваемое согласие может существовать в отношениях между клиентом и компанией. Если кто-то регулярно покупает продукты у компании, у этой компании есть основания полагать, что они согласились получать от нее маркетинговые электронные письма.Бизнесу почти всегда придется предлагать клиенту « opt-out » от такого общения через средство отказа от подписки.
Например, в Законе Канады о борьбе со спамом (CASL), канадском законе о конфиденциальности, подразумеваемое согласие автоматически существует при определенных условиях. Правительство Канады объясняет это на своем веб-сайте:
Экспресс-согласие
Прямое согласие – это то, что означает «согласие» в соответствии с GDPR. Вы спрашиваете у чье-то согласие, они понимают вопрос и последствия, и они делают правильный выбор .
Закон Новой Зеландии о незапрашиваемых электронных сообщениях 2007 года, закон о спаме признает как явное, так и подразумеваемое согласие. Вот как Департамент внутренних дел Новой Зеландии характеризует явное согласие на отправку коммерческих электронных писем:
Пять элементов согласия в соответствии с GDPR
Статья 4 GDPR определяет согласие как « любое , предоставленное бесплатно , конкретное , информированное и однозначное […] четкое позитивное действие », посредством которого лицо дает разрешение чтобы их личные данные обрабатывались определенным образом.
Мы можем разбить это на пять элементов:
- Выдается бесплатно – лицо не должно быть принуждено дать согласие или понести какой-либо ущерб, если он откажется.
- Конкретный – необходимо попросить человека дать согласие на отдельные типы обработки данных.
- Информировано – человеку нужно сказать, на что он соглашается.
- Однозначно – язык должен быть ясным и простым.
- Четкое позитивное действие – человек должен прямо дать согласие, делая или говоря что-то.
Если вам не хватает одного из этих пяти элементов, , у вас нет согласия согласно GDPR.
Когда требуется согласие?
Один из распространенных мифов о GDPR заключается в том, что он требует согласия для всех типов обработки данных. Это неправда.
GDPR – это только одна из шести законных оснований для обработки персональных данных, предусмотренных GDPR. Они резюмированы Офисом комиссара по информации (Управление по защите данных Великобритании):
Вообще говоря, вы не должны запрашивать согласие, если:
- Вы выполняете базовую услугу (вместо этого используйте контракт).
- Вам требуется для обработки личных данных в соответствии с законом (юридическое обязательство).
- Вы обрабатываете персональные данные в пользу для выгоды вашей компании или других лиц таким образом, что ваши пользователи разумно ожидали бы , с минимальным риском и воздействием на частных лиц (законные интересы).
Вам, , следует запросить согласие, если вы действительно предлагаете реальный выбор несущественной услуги. Типичные примеры включают:
- Использование отслеживания / рекламы cookie
- Отправка маркетинговых электронных писем или информационных бюллетеней
- Передача персональных данных другим компаниям в коммерческих целях
Как получить согласие в соответствии с GDPR
Вы должны реализовать пять элементов согласия каждый раз, когда вы запрашиваете согласие у своих пользователей.
Согласие на использование файлов cookie
С момента внедрения GDPR выросло баннеров cookie. выросло. Многие из них были бы хороши в системе, допускающей «подразумеваемое» согласие, но помните – GDPR признает только явное согласие .
Также есть баннеры cookie, которые почти просят согласия, но все же не дают результата, как в этом примере из Southbank Center:
В этом примере согласие даже не запрашивается, а файлы cookie размещаются по умолчанию.Пользователи будут перенаправлены к дополнительной информации, которая информирует их, как отказаться от файлов cookie.
Но помните о пяти элементах. Согласие не предоставляется бесплатно при таком подходе. Также это не однозначно или , сделанное с помощью четкого утвердительного акта .
Вот пример гораздо лучшего уведомления о файлах cookie от Европейского центрального банка:
Все пять элементов здесь. Согласие:
- Выдается бесплатно – нет акцента ни на «принимать», ни на «не принимать».«
- Информировано – пользователю сообщается причина обработки и предлагается узнать больше.
- Однозначно – язык ясный и понятный.
- Определенный – пользователю предлагается дать согласие только на один тип обработки данных.
- Получено посредством четкого положительного действия – пользователь должен нажать «Я понимаю и принимаю».
Обратите внимание, что дополнительный флажок «Я согласен» не требуется.Одного клика достаточно для одного запроса согласия.
Это довольно простой случай – веб-сайт Европейского центрального банка использует только самые простые файлы cookie. Вот пример от Experian того, как вы можете запросить конкретное согласие для различных типов файлов cookie:
Вы должны сообщить своим пользователям об использовании файлов cookie в своей Политике конфиденциальности (или Политике использования файлов cookie). Вот как Makermet объясняет различные типы файлов cookie, которые он использует:
Помните, что согласие – это не только то, что вы говорите, но и то, что вы делаете.Не устанавливайте рекламные файлы cookie, если ваши пользователи не дали на них согласия.
Согласие на отправку маркетинговых материалов
GDPR должен сигнализировать об окончании предварительно отмеченного поля – тактики, используемой в течение многих лет компаниями, надеющимися обмануть подписчиков, чтобы они случайно присоединились к их спискам рассылки.
Может показаться, что есть довольно незначительное различие между просьбой кого-то поставить галочку и просить кого-то снять галочку. Однако « не снимает отметку с поля » не соответствует ни одному из пяти элементов согласия в соответствии с GDPR.Следовательно, это не может использоваться для демонстрации того, что у вас есть согласие человека.
Вы можете легко реализовать пять элементов согласия GDPR, когда просите людей подписаться на ваш список рассылки. Вот пример от Dynastar:
Как это соотносится с пятью элементами?
- Предоставляется бесплатно – у пользователя есть очевидный выбор, предоставлять ли свой адрес электронной почты.
- Информировано – пользователю сообщается причина обработки, однако слово «маркетинг» напечатано мелким шрифтом.Пользователю предлагается ознакомиться с Политикой конфиденциальности Dynastar.
- Однозначно – язык ясный и понятный.
- Конкретный – было бы яснее, что информационный бюллетень является формой маркетинга, но это второстепенный момент.
- Получено в результате четкого позитивного действия. – ввод адреса электронной почты и нажатие кнопки «подписаться на рассылку новостей» является четким позитивным действием.
Это довольно хороший пример механизма подписки на список рассылки.
Вот еще один пример от Cooper Vision. Во-первых, пользователю сообщается, на что он подписывается:
Затем пользователю предлагается выбрать способ получения информации:
Запрос согласияCooper Vision легко соответствует требованиям GDPR.
Часто согласие на отправку маркетинговых материалов достигается, когда пользователь подписывается на какую-либо другую услугу или взаимодействует с вашей компанией каким-либо иным образом. Вот пример из Protect Your Gadget.На этом этапе пользователь собирается подписаться, чтобы получить расценку на страхование:
Пока ясно, что это отдельный вариант , а ответ по умолчанию – «нет», тогда здесь нет никаких проблем. Проблема возникает, если пользователь подписывается на маркетинговые материалы, не осознавая, что они это сделали или активно делают.
В этой связи хорошей практикой также является внедрение « double opt-in », при котором пользователей просят подтвердить свою подписку по электронной почте с подтверждением. Вот пример от Textbroker:
Согласие на сторонний маркетинг
Есть два способа привлечь пользователей к маркетингу других компаний. Вы можете отправить сторонние маркетинговые материалы напрямую , или вы можете поделиться их контактными данными с другими компаниями.
Ни один из этих случаев не запрещен GPDR. Но, как и во всех аспектах обработки данных, вы должны быть четкими и прозрачными . Для этих целей почти всегда нужно запрашивать согласие.
Вы не должны объединять свой запрос согласия на обмен личными данными с другими запросами на согласие. Взгляните на этот запрос согласия от Escapio:
Пользователям сообщают, что они подписываются на «наши советы и предложения [Escapio]». Но прокрутка страницы вниз показывает больше:
Пользователь будет получать стороннюю маркетинговую информацию, рекомендации отелей, конкурсы – больше, чем просто «советы и предложения» от Escapio. Согласие на все это объединено в один запрос.Это, по-видимому, не соответствует требованию о том, что согласие должно быть «, специфичным для ».
Вот пример отдельного запроса согласия от Steam Railway:
Это три разные цели, для которых будет использоваться адрес электронной почты пользователей. Поэтому уместно запрашивать согласие в тремя разными способами с тремя разными флажками.
Примечание. Никогда не устанавливайте заранее какие-либо флажки, которые вы используете при запросе какого-либо согласия.
Вот еще один пример разделенных запросов согласия от Alfa Romeo:
Это отличный пример добровольно предоставленного, информированного, конкретного, недвусмысленного согласия, выраженного посредством четкого позитивного действия .
Шестой элемент согласия – легко отозвать
Существует шестое требование GDPR – согласие должно быть , легко отозвать .
Конечно, вы должны включить в свои маркетинговые электронные письма пункт для отказа от подписки .Вот как это делает Гермес:
Другие способы отзыва согласия должны быть четко объяснены в вашей Политике конфиденциальности. Вот как это делает Bauer Publishing:
Файлы cookie часто можно управлять с помощью «диспетчера файлов cookie». Вот пример от Onedox:
Обратите внимание, что многие из этих настроек по умолчанию должны быть отключены.
Согласие на мобильное приложение
Принципы получения согласия в мобильных приложениях такие же, как и в любых других средах.
Вот пример запроса согласия из мобильного приложения Swiftkey:
Swiftkey претендует на получение согласия при установке приложения пользователем. Установка приложения, возможно, не является однозначным или четким утвердительным актом , который обязательно показывает согласие.
Это не обязательно проблема, если приложение не собирает информацию, которая будет использоваться для таргетинга рекламы (для чего требуется конкретное согласие). Беглый взгляд на Заявление о конфиденциальности Swiftkey (управляется Microsoft) показывает, что в идеале следует запрашивать конкретное согласие , поскольку собранная информация используется для таргетинга рекламы.
В мобильных приложениях часто бывает такая информация, как сбор данных о местоположении для несущественных услуг. Вы должны дать своим пользователям некоторый контроль над этим. Вот отличный пример информированного согласия от Google:
Резюме – Получение согласия в соответствии с GDPR
Чтобы согласие было значимым согласно GDPR, оно должно быть:
- Предоставляется бесплатно – не пытайтесь «обманом» заставить вас дать согласие. Не отменяйте любые другие услуги, если они не соглашаются.
- Конкретный – если вы хотите обрабатывать согласие человека для нескольких целей, вы должны попросить его дать согласие на каждый тип обработки.
- Информированный – предоставьте четкую информацию о том, на что пользователя просят дать согласие, и что делать, если он передумает.
- Однозначно – используйте ясный и простой язык и сделайте простой выбор.
- Выдается посредством четкого позитивного действия – никогда не предполагайте, что у вас есть чье-то согласие, пока они не дадут на что-то активного согласия.
И, наконец, как только у вас есть согласие человека, вы должны упростить ему его отзыв.
Форма согласияGDPR – Офис президента
ДЛЯ ИСПОЛЬЗОВАНИЯ ПРИ СБОРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В / ИЗ ЕВРОПЕЙСКОГО СОЮЗА
Требуется Общим регламентом ЕС о защите данных 2016/679 («EUGDPR»)
Подпись лица, предоставляющего личные данные
Государственный университет Монклера контролирует ваши личные данные.Вы можете связаться с Государственным университетом Монклера по адресу 1 Normal Avenue, Montclair, NJ 07043 или по телефону и электронной почте: [Введите имя и контактную информацию лица в подразделении, запрашивающем личные данные].
Ваши личные данные будут использоваться для следующих целей (отметьте все подходящие варианты):
___ маркетинговые академические программы;
___ информирование о деятельности и достижениях Университета;
___ сбор пожертвований;
___ набор студентов;
___ набор сотрудников;
___ исследование;
___ Другое [включить подробное описание использования личных данных].
Категории персональных данных, которые вас просят дать согласие на сбор и использование Университетом, включают ваше имя, адрес, адрес электронной почты, номер телефона и [включить описание любых других собранных персональных данных].
Университет будет передавать ваши персональные данные сторонним поставщикам программного обеспечения, которые собирают, хранят и обрабатывают ваши персональные данные от имени Университета и которые по контракту обязаны сохранять конфиденциальность ваших персональных данных при соблюдении соответствующих мер безопасности для предотвращения их несанкционированного раскрытия. Университет также намеревается передать ваши персональные данные: [указать все подразделения Университета и третьих лиц, которые будут получать персональные данные].
Ваши личные данные будут переданы за пределы Европейского Союза в Государственный университет Монклера, расположенный в США.
Ваши личные данные будут храниться в соответствии с требованиями к хранению записей, применимыми к Государственному университету Монтклера как государственному исследовательскому учреждению Нью-Джерси, а также к любому другому применимому U.С. законы. В соответствии с EUGDPR вы имеете право запрашивать доступ, исправлять, стирать и ограничивать обработку ваших личных данных. Вы также имеете право отозвать это согласие на использование ваших личных данных. Если вы считаете, что Университет нарушил EUGDPR, вы имеете право подать жалобу в соответствующий надзорный орган ЕС. Эти права более подробно описаны в Уведомлении о конфиденциальности, размещенном на веб-сайте Университета по адресу www. montclair.edu .
Пожалуйста, [подпишите / поставьте электронную подпись / установите флажок ниже], укажите дату и отправьте [электронная почта / отправить], указав ниже:
Я соглашаюсь с тем, что Государственный университет Монклера использует мои личные данные для целей, описанных в этом уведомлении, и понимаю, что могу отозвать свое согласие в любое время.
___ дает согласие ___ не дает согласия
Имя лица, дающего согласие: _______________________________________________________
Адрес индивидуального предоставления согласия: ______________________________________________________
Подпись: ______________________________________________________________________________
Дата подписи: ______________________________________________________________
Примеры согласияGDPR – TermsFeed
В мае 2018 года Евросоюз сделал снимок о конфиденциальности в Интернете, который слышали во всем мире.Вы это пропустили? Скорее всего, нет.
Если вы открыли свой почтовый ящик в мае, вы, вероятно, заметили одну вещь: поток писем с адресов, которые вы знаете и не знаете, с информацией о том, что они «обновили свою политику конфиденциальности».
Для европейцев это было очередным ежедневным напоминанием о том, что скоро вступит в силу новый закон о данных. Но поток писем о согласии заставил остальной мир почесать в затылках: почему все обновляют свои политики и просят согласия одновременно?
Причиной стало введение Общего регламента защиты данных (GDPR) .
Большая часть GDPR касается получения согласия от посетителей. Для этого вам, вероятно, потребуется обновить стандарты и механизмы согласия.
Мы упростим обновление стандартов вашего согласия и оставим вас в сети.
GDPR: что это такое?
GDPR – вам не враг. Это уровень защиты граждан, а также некоторые преимущества для бизнеса.
По своей сути GDPR – это любовное письмо европейских бюрократов к правам на цифровую конфиденциальность . Он взял некоторые из лучших частей предыдущей политики – Директивы о защите данных – и обновил ее для современного социального Интернета.
Целью правил было синхронизировать политику данных каждой европейской страны, чтобы в равной степени защитить всех граждан ЕС. Европейская комиссия и лидеры на всем континенте увидели, что мир стал все более ориентированным на данные в период между первой директивой о данных в 1995 году и тем, как Интернет используется сейчас.
GDPR не похож ни на что в настоящее время в Соединенных Штатах.США представляют собой смесь федеральных законов и законов штата о защите детей и медицинских данных. В Европе GDPR – это всеобъемлющая политика, охватывающая все типы данных для всех членов Европейского Союза. Будь вы британец или ирландец, чех или словак, если вы состоите в Союзе, на вас распространяется GDPR.
Самое важное изменение, которое следует отметить, касается юрисдикции закона. Это применимо к каждой компании, которая взаимодействует с персональными данными субъектов в Европейском Союзе, независимо от того, где находится организация.
Неважно, в Нью-Йорке вы или в Никарагуа. Если вы собираете данные из любого европейца от Голуэя до Греции, то GDPR относится к вам .
Изменения в способах получения согласия
GDPR уделяет большое внимание согласию. Прошли те времена, когда были предварительно отмечены флажки, неразборчивый жаргон и скрытые, но обязательные Условия обслуживания. GDPR гласит, что:
«Согласие должно быть четким и отличаться от других вопросов и должно быть предоставлено в понятной и легко доступной форме, с использованием ясного и простого языка.Отозвать согласие должно быть так же легко, как и дать его ».
Что это значит для вас? Ваши механизмы согласия должны отражать новые требования.
Согласие и роль, которую оно играет в обработке, не новость, и GDPR использует то же определение и роль, которые указаны в Законе о защите данных и других политиках. Вместо того, чтобы заново изобретать согласие, оно укрепляет любые области, где в прошлом, возможно, было пространство для маневра.
Примеры ранее приемлемого согласия
Многие из ваших предыдущих методов согласия больше не квалифицируются как согласие в соответствии с новым законом.
Вот два самых популярных метода согласия, которые сейчас нарушают закон ЕС :
Browsewrap
Browsewrap – это способ побудить пользователей дать согласие, просто используя веб-сайт или службу. Средний метод обтекания обозначает заявление в соглашении (например, Политике конфиденциальности), в котором говорится:
«Обратите внимание, что использование вами нашего Сайта означает ваше согласие следовать и соблюдать условия этого соглашения».
Вот пример общего оператора обзора в юридическом соглашении:
По сути, предполагается, что пользователи соглашаются с вашими Условиями обслуживания и Политикой конфиденциальности при использовании вашего сайта.Не имеет значения, читал ли пользователь когда-либо Условия обслуживания. Согласие подразумевается и предполагается.
ЕС больше не разрешает использовать соглашения о просмотре для получения согласия. Заявления о согласии, спрятанные на странице Условий использования, нечеткие и недоступные. В них также нет положительного согласия. GDPR требует, чтобы пользователь предпринял определенные позитивные действия, чтобы продемонстрировать согласие.
Ящики с предварительной отметкой
Любимый прием согласия экспертов по интернет-маркетингу – это предварительно отмеченный флажок.Эти поля часто используются для подписки на рассылку новостей, они присутствуют в формах и требуют, чтобы пользователь снял флажок, если они не хотят с чем-то соглашаться.
Это больше не разрешено.
На изображении ниже оба поля должны быть представлены пользователям как снятые:
Обязательное согласие
Вам не разрешается наказывать пользователей за несогласие с вашими политиками. Если пользователь не согласен с вашей политикой использования файлов cookie, вы не можете запретить им доступ к своему сайту.
До 25 мая 2018 года согласие было разовым решением, которое могло или не могло требовать от человека установки флажка или нажатия кнопки для согласия с вашими политиками. Если вы использовали обтекание по страницам, то это требовалось только при использовании сайта.
Согласие случается не один раз. Это органично и живо. Согласие – это постоянные отношения, которые позволяют людям соглашаться и отказываться от различных видов использования данных по своему усмотрению.
GDPR требует:
- Ведение записей о согласии
- Предоставление детализированных методов подписки
- Предоставление простых и легких способов отзыва согласия
Итак, как вы обновите свои механизмы согласия, чтобы соответствовать GDPR и избежать этих штрафов?
Как получить согласие на соответствие GDPR
Офис комиссара по информации в Великобритании предоставляет полезный и подробный обзор согласия в мире GDPR.По их совету мы составили контрольный список для создания значимого согласия, соответствующего GDPR:
.- Обновите механизм подписки
- Держите пользователей в курсе, направляя их к своей Политике конфиденциальности
- Добавить новое согласие для файлов cookie
- Обновите политики, чтобы удалить браузер.
- Сообщить пользователям, как отозвать согласие
Обновите механизм подписки
Consent требует активного и положительного согласия на вашу политику в отношении данных при обновлении GDPR и всякий раз, когда вы вносите в нее существенные изменения.
При первом переходе на ваш сайт после серьезного изменения политики необходимо получить согласие. Дайте им поле для проверки вручную или нажмите кнопку «Согласен».
Если вы добавляете несколько вариантов, например, разрешаете им соглашаться с вашими Условиями использования в одном пункте и ваше Уведомление о конфиденциальности отдельно, тогда оба должны иметь одинаковую известность.
Вот пример согласия The Atlantic в соответствии с GDPR:
Посетители должны активно нажимать кнопку «Я согласен», чтобы согласиться с политикой The Atlantic в отношении данных.
Вот пример того, как Adobe ID получает согласие на свои юридические соглашения, а также согласие на общение с пользователями по электронной почте в той же форме регистрации, используя два отдельных флажка для отказа:
Держите пользователей в курсе: перенаправьте их к своей Политике конфиденциальности
Согласие – это не просто получение положительного согласия. Это также требует, чтобы вы помогли людям понять, что означает их согласие.
Хотя большинство из нас не просматривают Уведомление о конфиденциальности сайта перед просмотром, ЕС хочет, чтобы вы изложили свою Политику конфиденциальности прямо перед посетителями.Он также хочет, чтобы эти правила были легкими для чтения и понимания. Никакой юридический язык не допускается. Никаких крошечных шрифтов. Никаких бесконечных абзацев.
В приведенном выше примере от The Atlantic обратите внимание, как Политика конфиденциальности связана с уведомлением, в котором запрашивается согласие. Пользователи могут легко получить доступ к политике для получения дополнительной информации. То же самое и с примером из Adobe ID.
Всегда делайте ваши политики и соглашения легкодоступными, особенно в момент, когда вы запрашиваете согласие.
Добавить новое согласие на использование файлов cookie
Файлы cookie не являются предметом особого внимания GDPR, но они прямо упоминаются.Файлы cookie теперь являются личными данными , когда их можно использовать для идентификации человека .
Распространенный способ получения согласия на использование файлов cookie – это уведомление пользователей с помощью всплывающего баннера при первом посещении веб-сайта. В уведомлении должна быть кнопка «согласен» или «принимаю».
Помните, что отклонять файлы cookie должно быть так же легко, как и принимать их.
Hertz показывает уведомление, посвященное исключительно тому, как веб-сайт использует файлы cookie, и подробно объясняет его политику. Он показывает пользователям, как отключить файлы cookie для Hertz.com и создает согласие не с помощью кнопки соглашения, а путем нажатия кнопки «Закрыть X» или выхода из сообщения.
Вот как Computerworld запрашивает согласие на размещение файлов cookie на мобильных устройствах:
Обратите внимание на четкий способ, которым пользователям предлагаются варианты принять или отклонить. Ссылка на Политику использования файлов cookie включена в начало запроса на согласие.
Обновите свои политики, чтобы удалить Browsewrap
Как упоминалось ранее, практика просмотра веб-страниц больше не считается согласием согласно GDPR.Это означает, что если вы ранее использовали этот метод получения согласия, пора обновить свои соглашения и политики, чтобы удалить этот язык.
Информировать пользователей, как отозвать согласие
Согласие больше не действие, а процесс. Европейские пользователи теперь имеют право предоставлять и отзывать согласие, когда они выбирают, не влияя на их обслуживание.
Вы обязаны информировать пользователей, как отозвать согласие. Отказ должен быть таким же простым, как и сам подписка, и вы не можете наказывать пользователей за то, что они отказались.
Когда пользователи подписываются на что-то, вы можете сообщить им, что они могут отозвать согласие или отказаться в любое время, как в этой форме подписки от WebMD:
Вы можете включить в свою Политику конфиденциальности и / или Условия использования инструкции, как отказаться от участия или изменить настройки согласия.
Вот как это делает DPN с пунктом в своем Заявлении о конфиденциальности:
Вы также можете использовать формы и интерфейсы, чтобы пользователям было удобнее, проще и удобнее вносить изменения.
Популярный информационный сайт HelloGiggles включает ссылку на запросы субъектов данных ЕС в нижнем колонтитуле веб-сайта.
Интерактивная ссылка ведет к простой форме, которая позволяет пользователям выполнять ряд различных действий и делать запросы, включая запрос на отказ.
Более традиционный метод, позволяющий пользователям отказаться или отозвать согласие, включает добавление контактных данных в вашу Политику конфиденциальности. New York Times так и поступила:
Чтобы решить проблемы конфиденциальности, вы можете отправить электронное письмо, письмо или позвонить в New York Times.
Помните
GDPR ищет простые механизмы согласия. При запросе согласия пользователя сделайте следующее:
- Добавьте кнопку «Я согласен» или какой-нибудь четкий, активный способ дать согласие.
- Используйте детализированные методы. Спрашивайте согласие на разные вещи отдельно.
- Свяжите различные политики и соглашения с тем, где вы запрашиваете согласие.
- Сделайте отзыв таким же простым, как и дать согласие.
- Избавьтесь от браузера, предварительно отмеченных флажков и обязательных требований согласия.
Примеры форм согласия GDPR – Что делать и чего не делать
GDPR требует, чтобы у организаций была законная основа для обработки данных. Одним из таких оснований является согласие, которое в соответствии с GDPR должно быть явным и добровольным. Это означает, что механизм получения согласия должен быть однозначным, а предполагает четкое позитивное действие .
Хотя вы не должны просить об этом, если вы оказываете основную услугу или обрабатываете личные данные по закону, вам следует запрашивать согласие, когда вы предлагаете второстепенную услугу, такую как отправка маркетинговых электронных писем и информационных бюллетеней .
Вот разбивка самых важных вещей, которые вы должны знать о согласии по электронной почте в соответствии с GDPR, с множеством шаблонов и примеров того, как их применять.
1. Будьте прозрачны в своих запросах на согласие GDPR
Избегайте сложных формулировок при объяснении причин согласия: укажите, зачем вам нужны данные и что вы собираетесь с ними делать, на «простом английском». Кроме того, не забудьте четко указать свою организацию и любых третьих лиц, полагающихся на согласие пользователя.
2. Не устанавливайте флажки в формах согласия.
Попросите пользователей дать положительный ответ, потому что в соответствии с GDPR предварительно отмеченные флажки (или любой другой тип согласия по умолчанию) не разрешены.
Пример
Согласие по электронной почте должно быть предоставлено бесплатно: пользователи всегда должны иметь возможность загрузить ваше руководство без подписки на ваш информационный бюллетеньДвойная подписка
Хотя это и не требуется GDPR, самый безопасный способ обработки списка рассылки – это двойное согласие, процесс, который включает в себя два этапа:
- На шаге 1 потенциальные подписчики заполняют и отправляют форму согласия.
- На шаге 2 они получат электронное письмо с подтверждением и щелкнут ссылку, чтобы подтвердить свой адрес электронной почты, который будет добавлен в ваш список рассылки.
Этот метод регистрации считается лучшей практикой во многих странах, особенно в Германии и в ЕС.
Если в формах согласия не нужны флажки
. Флажки необходимы, когда вы пытаетесь получить согласие GDPR на отдельные вещи, но они не требуются, если цель механизма регистрации однозначна.
Пример
В сценарии, когда на вашем сайте есть всплывающее окно, предлагающее пользователям подписаться на вашу рассылку, используя четкую фразу , например: « Подпишитесь на нашу рассылку, чтобы получить доступ к купонам на скидку и обновлениям продуктов! “, утвердительное действие, которое пользователь выполняет, вводя свой адрес электронной почты, будет считаться действительным согласием.
3. Отдельные запросы согласия GDPR от условий
Согласно GDPR, согласие по электронной почте должно быть отдельным.
Например, никогда не связывайте согласие с вашими положениями и условиями: согласие с условиями и согласие на различные действия (например, подписка на информационный бюллетень) – это не одно и то же. Сделайте их легко отличимыми друг от друга и предоставьте индивидуальные варианты согласия.
Пример
4. Дайте отдельные варианты детального согласия
Ваши формы должны позволять клиентам давать согласие на независимые операции обработки. Помогите пользователям получить полный контроль над своими согласиями и разрешениями, создав обзор каждого действия, которое вам нужно.
Пример
5. Упростите отзыв согласия
Пользователиимеют право отозвать свое согласие в любое время, и вы должны четко указать им, где и как это сделать без ущерба. Как следствие, согласие не обязательно должно быть предварительным условием предоставления услуги.
Включите опцию отказа от получения электронных писем в нижнем колонтитуле каждого рекламного письма, которое вы отправляете. В идеале пользователи также должны иметь возможность управлять своими предпочтениями электронной почты из своей учетной записи.
Пример
Всегда включайте видимую ссылку для отказа от подписки в свой информационный бюллетень«Вы получили это электронное письмо, потому что…» – Как написать хорошее напоминание о разрешении
Напоминание о разрешении – это короткий абзац в электронном письме (обычно в нижнем колонтитуле), который помогает получателям запомнить, как вы получили их адрес электронной почты. Это может помочь уменьшить количество жалоб на спам и запросов на отказ от подписки.
Соответствующее сообщение о разрешении выглядит примерно так: «Вы получили это письмо, потому что являетесь клиентом или зарегистрировались через [источник]» .
6. Сохраните подтверждение согласия
GDPR не только устанавливает правила сбора согласия, но также требует от компаний вести учет этих согласий . Это означает, что вы должны предоставить подтверждение:
- , когда и как вы получили согласие, и
- , что пользователи сказали в то время.
Как iubenda может помочь с требованиями GDPR для ваших форм согласия
Наше решение для получения согласия упрощает процесс приведения ваших форм в соответствие с GDPR, помогая вам:
- легко хранить доказательства согласия, а
- управлять настройками согласия и конфиденциальности.
С помощью нашего решения для получения согласия вы можете посмотреть на каждого отдельного подписчика, узнать, когда они сделали выбор и в какой форме они это делали.
Получите согласие GDPR для ваших форм
Ознакомьтесь с нашим решением для получения согласияВсе, что вам нужно знать о соответствии
за один курс!
В нашем бесплатном электронном курсе Intro to Online Compliance вы узнаете:
- Основы онлайн-соответствия
- Какие законы применяются к вам
- Как соблюдать
О нас
Решениядля обеспечения соответствия требованиям для веб-сайтов, приложений и организаций: собирайте согласие GDPR, документируйте подписки и отказы CCPA через свои веб-формы.
www.iubenda.com
См. Также
Каковы требования к согласию GDPR?
Один из простых способов избежать крупных штрафов GDPR – всегда получать разрешение от пользователей перед использованием их личных данных. В этой статье объясняются требования к согласию GDPR, которые помогут вам соответствовать.
Вопреки распространенному мнению, GDPR (Общий регламент по защите данных) ЕС не требует, чтобы компании получали согласие людей перед использованием их личной информации в деловых целях.Скорее, согласие – это лишь одна из шести правовых основ, изложенных в статье 6 GDPR. Компании должны определить правовую основу для обработки своих данных.
Согласие является одним из самых простых для удовлетворения, поскольку оно позволяет вам делать с данными практически все, что угодно – при условии, что вы четко объясните, что собираетесь делать, и получите явное разрешение от субъекта данных. Однако, как недавно узнала компания Google, оштрафовав ее на 50 миллионов евро, нельзя срезать углы. Французские органы по защите данных заявили, что версия компании о получении согласия не является «осознанной», «однозначной» и «конкретной».”
В этой статье основное внимание уделяется тому, как удовлетворить требования GDPR для получения согласия в качестве правовой основы.
Чтобы получить более подробную информацию о GDPR, прочтите нашу статью «Что такое GDPR?» Он дает концептуальный обзор закона. Мы также опубликовали полный текст GDPR.
GDPR требует правовой основы для обработки данных
«Чтобы обработка была законной, личные данные должны обрабатываться на основании согласия соответствующего субъекта данных или на каком-либо другом законном основании», – поясняет GDPR в Recital 40.Другими словами, согласие – это лишь одна из юридических оснований, которую вы можете использовать для оправдания сбора, обработки и / или хранения личных данных людей. В статье 6 говорится о пяти других оправданиях.
Как мы объясняем в нашем обзоре GDPR, это и другие правовые основания:
- Обработка необходима для выполнения контракта, стороной которого является субъект данных.
- Вам необходимо обработать данные в соответствии с юридическим обязательством.
- Вам нужно обработать данные, чтобы спасти чью-то жизнь.
- Обработка необходима для выполнения задачи в общественных интересах или для выполнения некоторых официальных функций.
- У вас есть законный интерес в обработке чьих-либо личных данных. Это наиболее гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда имеют приоритет над вашими интересами, особенно если это данные ребенка.
Вам нужно выбрать только одно правовое основание для обработки данных, но как только вы выберете его, вы должны его придерживаться.Вы не можете изменить свое правовое основание позже, хотя вы можете указать несколько оснований. Перед обработкой персональных данных вам следует провести оценку воздействия на защиту данных GDPR.
Определение согласия GDPR
Если вы обрабатываете чьи-либо данные на основании их согласия, GDPR четко объясняет обязательства, которые вы должны выполнить. Статья 4 (11) определяет согласие:
Согласие субъекта данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку относящихся к нему персональных данных.
GDPR дополнительно разъясняет условия согласия в статье 7:
1. Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее личных данных. .
2. Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, просьба о согласии должна быть представлена способом, который четко отличается от других вопросов, в понятной и легко доступной форме. , используя ясный и понятный язык.Любая часть такого заявления, которая представляет собой нарушение настоящего Регламента, не является обязательной.
3. Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки на основании согласия до его отзыва. Прежде чем дать согласие, субъект данных должен быть проинформирован об этом. Отзыв должен быть таким же легким, как и дать согласие.
4. При оценке того, было ли дано согласие свободно, в максимальной степени учитывается, обусловлено ли, среди прочего, выполнение контракта, включая предоставление услуги, согласием на обработку персональных данных, в которых нет необходимости. для выполнения этого контракта.
Теперь, когда у вас есть определение, давайте разберемся с некоторыми из этих понятий.
Согласие должно быть предоставлено свободно.
Согласие «добровольно данное» по существу означает, что вы не заставили субъекта данных дать согласие на использование вами его данных. Во-первых, это означает, что вы не можете требовать согласия на обработку данных в качестве условия использования службы. Им нужно иметь возможность сказать «нет». Согласно декларации 42, «согласие не должно рассматриваться как предоставленное свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказать или отозвать согласие без ущерба.”
Единственное исключение – если вам нужны данные от кого-то, чтобы предоставить им вашу услугу. Например, вам может потребоваться информация об их кредитной карте для обработки транзакции или почтовый адрес для отправки продукта.
Подробное описание 43 обсуждает добровольно данное согласие. В нем объясняется, что вы должны получать отдельное согласие на каждую операцию обработки данных. Поэтому, если вам нужен их адрес электронной почты для маркетинговых целей и их IP-адрес для целей аналитики веб-сайта, вы должны предоставить пользователю возможность подтвердить или отклонить каждое использование.
Согласие должно быть конкретным
«Запрос на согласие должен быть представлен в форме, которая четко отличается от других вопросов». Должно быть ясно, какие действия по обработке данных вы собираетесь выполнять, давая субъекту возможность дать согласие на каждое действие.
В примере с адресом электронной почты и IP-адресом вы не можете объяснить их использование в рамках одного длинного абзаца с подробным описанием деятельности вашей маркетинговой группы с единственным флажком согласия в конце.Вместо этого вы должны объяснять каждый вариант использования данных отдельно, давая субъектам данных возможность давать согласие на каждое действие индивидуально.
Если у вас есть несколько причин для выполнения действий по обработке данных, вы должны получить согласие для всех этих целей. Поэтому, если вы храните номера телефонов как для маркетинговых целей, так и для проверки личности, вы должны получать согласие для каждой цели.
Согласие должно быть проинформировано
Информированное согласие означает, что субъект данных знает вашу личность, какие действия по обработке данных вы собираетесь проводить, цель обработки данных и что он может отозвать свое согласие в любое время.
Это также означает, что запрос на согласие и объяснение действий по обработке данных и их цели описаны простым языком («в понятной и легко доступной форме, используя ясный и простой язык»). Это не означает никакого технического жаргона или юридического языка. Любой, кто обращается к вашим услугам, должен понимать, на что вы просите его согласиться.
Случай с Google представляет собой поучительный пример из реальной жизни. Французские власти заявили, что компания не выполнила требования информированного согласия:
Информация об операциях обработки для персонализации рекламы представлена в нескольких документах и не позволяет пользователю узнать об их объеме.Например, в разделе «Персонализация рекламы» невозможно узнать о множестве служб, веб-сайтов и приложений, участвующих в этих операциях обработки… и, следовательно, об объеме обработанных и объединенных данных.
Управление британского комиссара по информации предоставляет дополнительный контекст: «Если запрос о согласии является расплывчатым, всеобъемлющим или трудным для понимания, то он будет недействительным. В частности, формулировка, которая может ввести в заблуждение – например, использование двойного отрицания или противоречивой формулировки – сделает согласие недействительным.
Согласие должно быть недвусмысленным
То есть не должно быть никаких сомнений в том, дал ли субъект данных согласие. Согласно GDPR Recital 32.
Однозначное согласие, «молчание, предварительно отмеченные поля или бездействие не должны означать согласие», «может включать в себя установку флажка при посещении веб-сайта, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которое четко указывает в этом контексте на согласие субъекта данных с предлагаемой обработкой его или ее личных данных.”
Согласие можно отозвать
GDPR не указывает срок хранения согласия. Теоретически согласие человека бессрочно, хотя могут быть ситуации, в которых становится ясно, что согласие больше не является действительным или разумным или нарушает какой-либо принцип обработки данных.
Однако субъект данных имеет право отозвать согласие в любое время. Более того, вы должны упростить им это. В общем, для них должно быть так же легко отозвать согласие, как и для вас, чтобы получить согласие.
Требования GDPR относительно легко понять, но, возможно, сложнее реализовать. Вы можете столкнуться с техническими препятствиями или проблемами, связанными с согласованием потребностей вашего бизнеса с требованиями соответствия GDPR. Может помочь заполнение вашей оценки воздействия на защиту данных. Так же можно поговорить с юристом GDPR. Соответствие
GDPR – это непрерывный процесс. Обратитесь к нашему контрольному списку GDPR, чтобы убедиться, что ваша организация честно.
Примеры согласия GDPR и инновационные методы для включения
Рост списка рассылки для рассылки по электронной почте становится все труднее с согласием GDPR и предстоящим регулированием ePrivacy.Но еще не все потеряно, исследования указывают путь к лучшему из всех миров. При использовании правильного метода возможно соблюдение как согласия GDPR, так и продолжающийся значительный рост списка адресов электронной почты , как показывают результаты тестирования и примеры согласия GDPR ниже.
Статья 4 (11) GDPR устанавливает высокую планку для согласия на подписку. В частности, в нем говорится:
любое свободно данное, конкретное, информированное и недвусмысленное указание его или ее пожеланий, с помощью которых субъект данных, либо заявлением, либо четким положительным действием, означает согласие с обрабатываемыми личными данными, относящимися к ним;
и продолжает разъяснять значение четкого позитивного действия в Рекитале 25:
… Молчание, предварительно отмеченные поля или бездействие не должны означать согласие.
Специалист по комплаенсу в Communicator Стив Хендерсон говорит об этом так:
«GDPR поднимает планку согласия. Маркетологи должны больше объяснять, быть более прозрачными, но при этом язык должен быть простым и лаконичным. Согласно GDPR согласие не может быть связано с каким-либо другим соглашением, не может быть условием предоставления услуги, а поля согласия не могут быть отмечены заранее ».
Это имеет большое значение для роста списка адресов электронной почты. Но прежде чем я расскажу, почему и как это исправить с помощью некоторых примеров согласия GDPR, необходимо немного предыстории.
GDPR не одинок.
Для рассылки маркетинговых сообщений по электронной почте требуется соответствие как PECR, , так и GDPR.
Это отдельные правила. GDPR заменяет DPA (закон о защите данных), но не удаляет PECR. PECR будет заменен новым регламентом ЕС по электронной конфиденциальности, но в настоящее время это ожидается не раньше 2019 года.
Отказ от электронной почты, которого достаточно для маркетингового разрешения в соответствии с PECR (регулирование конфиденциальности и электронных коммуникаций) для клиентов, недостаточно для согласия GDPR. Текущий проект нового регламента ePrivacy предоставляет ограниченные возможности для рассылки маркетинговых сообщений по электронной почте существующим клиентам . Подробнее об этом позже.
В итоге
- GDPR заменяет DPA
- ePrivacy заменяет PECR (вероятно, в 2019 году)
- Старый мир, соответствие означает удовлетворение потребностей как PECR, так и DPA.
- Новый мир (25 мая 2018 г.), соответствие означает удовлетворение потребностей как PECR, так и GDPR
- Мир будущего (2019?), Соответствие означает удовлетворение потребностей как ePrivacy, так и GDPR
Подумайте об этом, как вам нужно разрешение для маркетинг (регулирование PECR / ePrivacy) и правовая основа для обработки персональных данных (GDPR).
В новом мире подписки на электронную почту может быть достаточно для PECR, но для GDPR необходима правовая основа. Поскольку мягкая подписка не соответствует стандарту, необходимому для GDPR, необходима альтернатива. Для электронного маркетинга наиболее вероятным является законный интерес. Подробнее об этом позже, но сначала я займусь получением положительного согласия , которое соответствует стандартам PECR и GDPR.
Небольшое примечание для B2B, эта статья в основном предназначена для B2C. GDPR применяется к личным корпоративным адресам электронной почты, тогда как PECR не применяется к некоторым категориям предприятий.Таким образом, не вся следующая информация применима к B2B.
Один из лучших источников адресов электронной почты как по качеству, так и по количеству – получение маркетинговых разрешений от клиентов во время онлайн-оплаты. Или аналогичные процессы, такие как создание учетной записи, при заполнении форм котировок и запросов информации.
Примеры формы подписки по электронной почте
Многие бренды используют предварительно отмеченный флажок для получения согласия по той простой причине, что он получает разрешение от большего числа клиентов, чем использование поля, которое необходимо заранее отметить.Вот лишь несколько примеров форм.
Virgin Giving делает благотворительное пожертвование
Форма создания учетной записи ASDA
Форма согласия на оформление заказа Lancome
Это не сократит расходы в мае 2018 года. Тихая или программная подписка недопустима для согласия GDPR. Продолжение использования программной подписки для клиентов и адресов электронной почты, предоставленных во время переговоров о продаже, означает рассмотрение использования законных интересов, а не согласия в качестве правовой основы GDPR.
На первый взгляд ответ на получение утвердительного согласия состоит в том, чтобы изменить смысл поля, а это означает, что поле не отмечено заранее, и используйте настройку «отметьте, если вы хотите получать маркетинг» – хотя и с копией письмо, чтобы обеспечить очевидную пользу и сделать его убедительным.
Вот пример такого подхода от Jimmy Choo.
Что произойдет с ростом списка адресов электронной почты, если молчаливое согласие станет молчаливым отказом?
Копию Джимми Чу можно улучшить, чтобы подчеркнуть преимущества; «Пожалуйста, присылайте мне электронные письма о специальных предложениях и новых продуктах».
Убедительная копия – хорошее начало для максимального увеличения числа подписок в соответствии с GDPR, но этого недостаточно , чтобы повернуть вспять рост списка. Требуется нечто большее.
Поскольку люди склонны принимать значения по умолчанию как рекомендацию, фактически предпочитая не выбирать, то переключение на поля, которые необходимо отметить , радикально снизит рост списка .
В книге Sunstain 2015 «Выбор не выбирать: понимание ценности выбора» он документирует множество случаев, когда изменение смысла значений по умолчанию имело драматические последствия.Университет Рутгерса изменил настройки печати по умолчанию с печати на одной странице на печать на лицевой и оборотной сторонах.
Результат? За первые 3 года использование бумаги сократилось на 44%, сэкономив более 55 миллионов листов и 4650 деревьев. Люди просто придерживались значения по умолчанию.
Или пример в США, когда пенсионные планы компании меняются на подписку по умолчанию. Количество людей с пенсионным планом увеличилось на 30 процентных пунктов.
Это из-за того, как работает наш мозг.
В исследовании Стивена Флеминга «Преодоление предвзятого отношения к статус-кво в человеческом мозге» использовалось сканирование мозга с помощью фМРТ.Вывод заключался в том, что по мере того, как варианты становятся сложнее оценивать, люди с большей вероятностью будут придерживаться выбора по умолчанию. Выбор ничего не делать.
Активный выбор не только требует больше размышлений, но и люди уклоняются от принятия на себя ответственности за выбор и риска сожаления: «Хотел бы я не подписаться на этот бренд».
Пример результатов теста согласия на подписку
В исследовании Эрика Джонсона «Настройки по умолчанию, фрейминг, конфиденциальность: почему отказ от участия-отказ» были протестированы результаты предоставления и отказа.
В ходе исследования были протестированы четыре различных способа получения разрешения. Вот результаты.
Столбец процента участия означает количество людей, дающих разрешение.
Беспокоящий и не неожиданный результат – это тихая подписка, (2) и (3) захватывают значительно больше разрешений, чем когда смысл перевернут в (1) и (4).
В случае (1) и (2) с использованием снятых флажков и простого изменения смысла сообщения, «уведомить» на «не уведомлять», что означает, что количество раз, когда получено согласие, уменьшается вдвое. .
Очевидно, что , получив действительное согласие GDPR, сократит рост списка вдвое.
Делая больше, чтобы продать причину согласия, поможет уменьшить влияние.
- Обеспечьте визуальную фокусировку. В то время как предварительно отмеченные флажки опционы часто выделяются мелким шрифтом, светлыми цветами и размещаются так, чтобы их легко не заметить, сделайте наоборот. Используйте крупные шрифты, привлекайте внимание людей к варианту с помощью значков, стрелок или других элементов, которые привлекают и направляют взгляд.
- Используйте язык, основанный на преимуществах, а не сосредотачивайтесь на функции, «уведомите меня», дайте возможность получать уведомления.
Но есть кое-что получше, чтобы получить согласие GDPR и зарегистрироваться.
Не предоставляйте вариант по умолчанию , поэтому клиент должен сделать осознанный выбор. Точно так же, как в настоящее время люди спят, переходя на то, чтобы быть включенными, в новом мире они вполне могут спать, пока их не принимают.
Не ставьте одну отметку, укажите и , и вариант «да» или «нет», а – ни один из предварительно не отмеченных .
Исследование Джонсона также рассматривало именно этот вариант с приведенными ниже результатами.
Обнадеживающий результат для (5), версия с вариантами «да» и «нет», ни одна из которых не была предварительно выбрана, означает, что 88,5% дали разрешение. В версии (5) заказчик должен был ответить, чтобы заполнить форму, продолжить, не выбрав ни одного варианта, не было вариантом.
Результат для (5) лишь частично отстает от значения по умолчанию для тихого согласия (6). Это означает, что согласие , соответствующее GDPR, может быть получено с таким же успехом, как и скрытое согласие .
Есть больше потенциальных преимуществ, если идти по маршруту без выбора по умолчанию.
В исследовании Джеффри Брауна «Обратная сторона дефолтов» он подчеркивает, что пассивный выбор почти по определению снижает у людей чувство идентификации с результатом.
Когда люди делают активный выбор , результат полностью принадлежит им. Помните, что приверженность и последовательность – один из шести принципов Чалдини.
Это имеет поведенческие последствия: активный выбор подписки, вероятно, даст более заинтересованного подписчика, чем подписчик, включенный по умолчанию.Даже если один и тот же человек был очень счастлив, что его выбрали по умолчанию, предоставление им возможности сделать его более заинтересованным!
Sainsbury’s применили этот подход при регистрации своего аккаунта.
Так же, как и Readers Digest, при оформлении заказа.
Во всплывающих окнах использовалось требование, чтобы люди делали выбор «да / нет», что дает дополнительные доказательства, подтверждающие этот метод.
В приведенном ниже примере всплывающего окна от Copy Hackers они отмечают, что добавление этого всплывающего окна с использованием «да / нет» на их веб-сайт принесло в 4 раза больше подписчиков из этого всплывающего окна, чем все остальные действия по увеличению списка на сайте вместе взятые.
Хакеры-копировщики подчеркивают, что такой подход означает, что люди более четко понимают отсутствие выбора. Отрицательные последствия заставляют их задуматься более внимательно, в отличие от безболезненного щелчка невинно выглядящего «X» для выхода из всплывающего окна.
Хотя они советуют вам не быть и не должно быть грубым или грубым, если у вас нет выбора. Вместо «Я слишком глуп, чтобы хотеть скидок», более уместно сказать «Нет, я не сторонник скидок».
Контрольный список для получения согласия на формы подписки
ICO опубликовало краткий контрольный список для пунктов, которые следует учитывать в форме отказа и процессе регистрации.Контрольный список включает следующие пункты.
- Мы проверили, что согласие является наиболее подходящим законным основанием для обработки.
- Мы сделали запрос о согласии заметным и отдельным от наших условий.
- Мы просим людей дать положительный ответ.
- Мы не используем предварительно отмеченные флажки или какие-либо другие типы согласия по умолчанию.
- Мы используем ясный, простой язык, который легко понять.
- Мы указываем, зачем нам нужны данные и что мы собираемся с ними делать.
- Мы предоставляем индивидуальные («гранулярные») варианты согласия отдельно на разные цели и типы обработки.
- Мы указываем нашу организацию и всех сторонних контролеров, которые будут полагаться на согласие.
- Мы говорим людям, что они могут отозвать свое согласие.
- Мы гарантируем, что люди могут отказать в согласии без ущерба.
- Мы избегаем делать согласие предварительным условием предоставления услуги.
- Если мы предлагаем онлайн-услуги непосредственно детям, мы запрашиваем согласие только в том случае, если у нас есть меры по проверке возраста (и меры согласия родителей для детей младшего возраста).
Обязательно ли согласие в соответствии с GDPR?
Использование согласия в качестве законного основания для обработки данных – лишь один из вариантов, доступных в соответствии с GDPR. Есть семь различных вариантов, бренды могут выбрать наиболее подходящий.
Возможно, вы читали о законных интересах . Это очень полезный подход для брендов, который следует учитывать при принятии решения о том, требуется ли согласие GDPR в качестве правовой основы для хранения и обработки данных. Для платежеспособных клиентов, с которыми существуют четкие отношения, может быть достаточно законного интереса.Но это всего лишь препятствие GDPR, помните, что вам также нужно соответствие PECR / ePrivacy.
Очень хорошее руководство по использованию законных интересов доступно в сети защиты данных. Ключевой частью этого является выполнение теста на балансировку.
Законный интерес оставляет некоторые вопросы:
- Как долго кто-то является покупателем. Месяц с последней покупки, год или больше? Как долго вы можете хранить и обрабатывать их данные?
- Использование законного интереса в конечном итоге субъективно.Есть риск, что ваша точка зрения не будет точкой зрения правоохранительных органов.
Положительное согласие привлекает ясностью. Если согласие было дано свободно и проинформировано, у вас есть надежные основания для PECR и GDPR.
Стив Хендерсон рекомендует: «Если вы отправляете электронное письмо клиентам с программной подпиской», вы должны использовать каждую точку взаимодействия для обновления до согласия, пока они являются активными клиентами ». Без этого вы рискуете потерять возможность хранить и обрабатывать данные ускользнувших клиентов.
И для потенциальных клиентов, а не для клиентов, похоже, мало альтернативы согласию с использованием позитивного действия, действительного согласия GDPR.
Использование без выбора по умолчанию Подход к получению согласия также подходит для маркетинга людям в Канаде, поскольку в CASL существует требование о явном согласии. Как и в случае с GDPR, автоматическая подписка не может использоваться для получения явного согласия CASL.
В настоящее время правила CAN-SPAM в США означают, что отказ от рассылки является приемлемым.В ЕС с 2003 года требуется разрешение на подписку, в отличие от США. Электронный маркетинг столь же эффективен по обе стороны Атлантики. Будет интересно посмотреть, не станет ли в США более распространенным принцип «отсутствие по умолчанию» для получения согласия по мере того, как бренды объединяют подход, или обнаружит, что это лучший метод полной остановки.
GDPR – это больше, чем просто получение согласия
Использование вышеуказанного подхода должно дать хорошие результаты и соответствовать GDPR с точки зрения получения согласия. GDPR имеет еще несколько аспектов, таких как удаление данных, ведение записей.Убедитесь, что вы отметили все поля GDPR. DMA опубликовало множество полезных статей, а ICO опубликовало руководства и инструментарий для самооценки.
В следующем году PECR должен быть заменен на ePrivacy. Это было написано для работы вместе с GDPR, что означает (надеюсь) никаких дальнейших больших изменений. Текущее представление PECR о мягкой подписке для получения разрешения на отправку маркетинговых изменений в «существующих отношениях с клиентами». Здесь возможна разница, поскольку во время переговоров о продаже может применяться мягкая подписка PECR.Принимая во внимание, что «существующие отношения с клиентами», похоже, исключают потенциальных клиентов из переговоров о продаже. Следите за новостями в ближайшие месяцы, и я опубликую любые полезные советы, когда они станут понятны.
Как написать уведомление о конфиденциальности данных GDPR – бесплатный шаблон
Закон о защите данных в Великобритании изменился в результате Brexit. Вы можете найти последние инструкции здесь .
Согласно GDPR (Общий регламент по защите данных), организации должны предоставлять физическим лицам определенную информацию с помощью заявления о конфиденциальности данных или уведомления о конфиденциальности.
Но что такое уведомление о конфиденциальности данных и что оно должно содержать? В этом блоге мы объясняем все, что вам нужно знать, вместе с примером заявления GDPR.
Что такое уведомление о конфиденциальности?
Уведомление о конфиденциальности – это один из нескольких документов, необходимых для соответствия GDPR.
Но поскольку многие из этих документов являются строго внутренними, для клиентов и других заинтересованных сторон предоставляется уведомление о конфиденциальности, в котором объясняется, как организация обрабатывает их личные данные.
Для этого есть две причины. Во-первых, это предотвращает путаницу в том, как используются личные данные, и обеспечивает уровень доверия между организацией и отдельным лицом.
Во-вторых, это дает людям больше контроля, когда организация собирает их личные данные. Если их что-то не устраивает, они могут запросить это через DSAR (запрос доступа к данным) и попросить организацию приостановить эту обработку.
Как написать уведомление о конфиденциальности
Статья 30 GDPR объясняет, что соответствующий документ должен включать следующие данные:
1) Контактные данные
Первое, что нужно указать в уведомлении о конфиденциальности, – это имя, адрес, адрес электронной почты и номер телефона вашей организации.
Если вы назначили представителя DPO (сотрудника по защите данных) или представителя в ЕС, вы также должны указать их контактные данные.
2) Типы персональных данных, которые вы обрабатываете
Определение личных данных намного шире, чем вы думаете, поэтому вы должны убедиться, что включили все необходимое – и в конкретных деталях.
Например, вместо того, чтобы просто говорить «финансовая информация», укажите, какие это номера счетов, номера кредитных карт и т. Д.
Вам также следует указать, где вы получили информацию, если она не была предоставлена непосредственно субъектом данных.
Чтобы получить представление о том, как это может выглядеть, взгляните на наш шаблон уведомления о конфиденциальности:
Как можно точнее укажите тип информации, которую вы собираете, и то, как вы ее получили.
3) Законное основание для обработки персональных данных
Согласно GDPR, организации могут обрабатывать персональные данные только при наличии для этого законных оснований.В вашей политике конфиденциальности следует указать, на какую из них вы полагаетесь для каждой цели обработки.
Если вы полагаетесь на законные интересы, вы должны их описать. Аналогичным образом, если вы полагаетесь на согласие, вы должны указать, что его можно отозвать в любой момент.
Помните, что существуют особые правила, когда дело касается обработки особых категорий персональных данных.
4) Как вы обрабатываете личные данные
Вы должны объяснить, будете ли вы передавать личные данные третьим лицам.
Мы предлагаем также указать, как вы будете защищать общие данные, особенно если третья сторона находится за пределами ЕС.
Вы можете указать, будут ли данные передаваться организациям за пределами ЕС.
5) Как долго вы будете хранить их данные
GDPR гласит, что вы можете хранить личные данные только до тех пор, пока применима правовая основа для обработки.
В большинстве случаев это легко определить.Например, данные, обработанные для выполнения контрактов, должны храниться до тех пор, пока организация выполняет задачу, к которой применяется контракт.
Аналогичным образом, организации должны хранить любые данные, обрабатываемые на основании юридических обязательств, общественных задач или жизненных интересов, пока эти действия актуальны.
С согласием и законными интересами дела обстоят сложнее, поскольку нет четкого момента, когда они перестают действовать.
Таким образом, мы рекомендуем пересматривать свои методы хранения данных не реже одного раза в два года.
6) Права субъекта данных
GDPR дает физическим лицам восемь прав субъектов данных, которые вы должны перечислить и пояснить в своем уведомлении о конфиденциальности:
- Право на получение информации : организации должны сообщать людям, какие их данные собираются, как они используются, как долго они будут храниться и будут ли они переданы третьим лицам.
- Право доступа : физические лица имеют право запрашивать копию информации, которую организация хранит о них.
- Право на исправление : физические лица имеют право исправлять неточные или неполные данные.
- Право на забвение : при определенных обстоятельствах люди могут попросить организации стереть любые личные данные, которые хранятся на них.
- Право на переносимость : физические лица могут потребовать от организации передать любые данные, которые она хранит, другой компании.
- Право на ограничение обработки : отдельные лица могут потребовать от организации ограничить способ использования личных данных.
- Право на возражение : физические лица имеют право оспаривать определенные типы обработки, такие как прямой маркетинг.
- Права, связанные с автоматическим принятием решений, включая профилирование : отдельные лица могут попросить организации предоставить копию своей автоматизированной обработки, если они считают, что данные обрабатываются незаконно. Вам также следует напомнить людям, что они могут пользоваться своими правами, и объяснить, как они могут это сделать.
Создайте собственное уведомление о конфиденциальности, соответствующее GDPR, с помощью нашего шаблона.
Зачем вам нужно уведомление о конфиденциальности
Уведомления о конфиденциальности являются юридическим требованием в соответствии с GDPR, гарантируя, что люди знают, как обрабатываются их личные данные.
Однако они также могут принести пользу организациям несколькими способами.
Например, политика конфиденциальности предоставляет документальное подтверждение ваших действий по обработке данных. Это поможет вам оправдать вашу обработку, если кто-то подаст жалобу в надзорный орган.
Политика и процедурыGDPR также могут помочь вам выиграть бизнес, поскольку они доказывают, что у вас есть соответствующие меры защиты информации.
Уведомление о конфиденциальности – это то же самое, что и политика конфиденциальности?
Хотя они охватывают многие из тех же тем, не следует путать уведомления о конфиденциальности с политиками конфиденциальности.
В контексте GDPR уведомление о конфиденциальности – это общедоступный документ, созданный для субъектов данных.
В отличие от этого, политика конфиденциальности GDPR – это внутренний документ, который объясняет обязательства и методы организации по соблюдению их требований соответствия.
Когда следует предоставлять уведомление о конфиденциальности GDPR?
Контроллеры данных должны предоставлять уведомление о конфиденциальности всякий раз, когда они получают личную информацию субъектов данных.
В этом нет необходимости только тогда, когда:
- Субъект данных уже имеет информацию, указанную в уведомлении о конфиденциальности;
- Предоставление такой информации было бы невозможным или потребовало бы непропорциональных усилий;
- Организация обязана получать информацию; или
- Персональные данные должны оставаться конфиденциальными при условии соблюдения профессиональной тайны.
Когда организация получает личную информацию от третьей стороны, она должна предоставить уведомление о конфиденциальности в течение месяца.
Это должно быть сделано в первый раз, когда организация связывается с субъектом данных или когда личные данные впервые передаются другому получателю.
Самый простой способ предоставить уведомление о конфиденциальности – это разместить его на своем веб-сайте и дать на него ссылку, когда это необходимо.
Если у вас нет веб-сайта, сделайте физическую копию своей политики конфиденциальности.
Написание уведомления о конфиденциальности
Ваша политика конфиденциальности должна быть написана ясным и понятным языком, понятным субъектам данных.
Это особенно важно, когда вы обрабатываете личные данные детей, так как существует множество концепций, которые вам придется объяснить более подробно.
Как правило, политика конфиденциальности должна быть написана активным голосом и избегать ненужной юридической и технической терминологии.
Точно так же вам следует избегать таких определителей, как «может», «мог бы», «некоторые» и «часто», поскольку они намеренно расплывчаты. Заявление о том, что вы «можете» что-то сделать, не помогает субъекту данных понять, при каких обстоятельствах это произойдет.
Наконец, полис должен быть бесплатным и легкодоступным. Не скрывайте его в ссылке внизу формы, где его вряд ли увидят.
Вместо этого вы должны предоставить им политику в письменной форме или дать ссылку на нее при запросе их личных данных.
Не гадайте в своем уведомлении о конфиденциальности
Вам нужны дополнительные советы о том, как задокументировать соответствие GDPR? В таком случае наш настраиваемый шаблон уведомления о конфиденциальности идеально подходит.
Наш шаблон уведомления о конфиденциальности содержит аннотации, чтобы гарантировать соответствие требованиям GDPR.
Написанный экспертами по защите данных, этот шаблон GDPR поможет вам создать уведомление о конфиденциальности в соответствии с требованиями Регламента всего за несколько минут.