Как да изработим съгласие за GDPR

Както вече обсъждахме в предишните публикации от тази поредица, съгласието е едно от петте законни средства за обработка, дефинирани в GDPR, но в търговския свят съгласието е най-разпространеният и най-значим подход. В тази публикация обсъждаме подробно за управлението на съгласието, а също така разглеждаме и аспектите на дизайна.

Основната цел на съгласието е свободно да предлагат на хората истински избор и да контролират обработката на своите лични данни. Също така за организации, които обработват лични данни, съгласието предоставя законна основа за обработка. Добре разработеното съгласие помага на бизнеса да изгради доверие на клиентите, а също така повишава информираността на клиентите и прозрачността при обработката на данни, а допълнителното съгласие значително подобрява репутацията на бизнеса.

GDPR определя много висок стандарт за управление на съгласията, GDPR определя значителни финансови санкции за нарушения на разпоредбите, свързани с съгласието. Всяка организация, която обработва лични данни на физически лица, трябва да обърне специално внимание на управлението на съгласието и бъдещата обработка на вече събрани лични данни.

Целта на съгласието

Организацията за обработка може да използва съгласието за легитимиране

  1. Използване на данни за специална категория
  2. Ограничена обработка
  3. Автоматизирано вземане на решения
  4. Прехвърляне на данни в чужбина

Много е вероятно да използвате съгласие за повечето маркетингови дейности или съобщения, бисквитки на уебсайтове, методи за проследяване онлайн, за да инсталирате приложения / софтуер на устройствата на хората. Изисква се да се даде съгласие по такъв начин, че потребителите да могат лесно да разберат, че имат съгласие и за какво имат съгласие, без никакви важни подробности, скрити с дребен шрифт.

Също така организациите за обработка не могат да изпращат имейл или текст, за да поискат съгласието на потребителите, тъй като самото такова съобщение представлява директни маркетингови съобщения, вече има някои примери за реален свят.

Въпреки това съгласието не е абсолютно право, може да има законно основание да се игнорира съгласието на индивида за обработка на данни. Например не можете да откажете на банката да сподели вашите данни за кредита с публичните финансови власти, не можете да откажете задължението на работодателя ви да сподели подробностите за заплатите си с публичните данъчни агенции.

Дефиницията на GDPR за съгласие остава същата като настоящата дефиниция на DPD, но GDPR въвежда нова клауза, тъй като съгласието трябва да е недвусмислено и да включва ясни утвърдителни действия.

Определение DPA от 1995 г.

„Всяко свободно дадено конкретно и информирано указание за неговите желания, чрез което субектът на данни означава съгласието си с личните данни, свързани с него, които се обработват“

Определението GDPR

„Всяко свободно дадено, конкретно, информирано и недвусмислено посочване на желанията на субекта на данните, чрез което той, тя, чрез изявление или чрез ясно потвърдително действие, означава съгласие за обработването на лични данни, свързани с него или нея“

Също така трябва да се отбележи, че когато обработката на данни се основава на съгласие, лицата имат право на много силен набор от права, включително правото на изтриване и правото на преносимост на данните.

Ето най-важните точки, извлечени от горното определение.

Свободно дадено - Това е много важен момент, който помага да се реши дали съгласието е правилният избор на дадена обработка на данни или не, използването на организация за обработка на съгласие трябва да е в състояние да предложи реална свобода на хората да направят избор при обработката на данни , Например, повечето от случаите публичните органи не могат да дават съгласие свободно, друг пример е работодателят не винаги може да предостави реален избор на служителите; в такива случаи съгласието не трябва да се използва, а организацията може да бъде един от петте други законни средства за обработка.

конкретно - не е възможно да се иска общо съгласие от лица, съгласието трябва да бъде конкретно за целта му, основополагащ подход за обработка, какъв вид данни се обработва и колко дълго ще се съхраняват данни с бизнеса и т.н.

Информиран - физическото лице трябва да бъде информирано, че дава съгласие за обработване на личните си данни, освен това той трябва да е запознат с правата по дадено съгласие, като правото да оттегли даденото съгласие. По-нататъшните организации за обработка трябва да се уверят, че езикът, изображенията, графиките и т.н., използвани в съгласието, са добре разбрани от хората, не е законно да получават съгласие, като подвеждат индивиди или дават скрита информация.

Изрично съгласие

Има специална категория съгласие, наречена „Изрично съгласие“, която е необходима за обработка на данни от специални категории и автоматизирано вземане на решения. Ключовата разлика е, че „изричното“ съгласие трябва да бъде потвърдено в ясно устно или писмено изявление.

Принципи на проектиране за управление на съгласието

  • Активно включване - Съгласието изисква положително включване и избягвайте предварително поставените отметки в квадратчета или друг метод за съгласие по подразбиране. Всеки път, когато е даден двоичен избор, и двете опции трябва да имат еднакво значение.
  • Информиран - Съгласието трябва да бъде ясно, сбито и конкретно относно съдържанието. Съгласието не трябва да използва двусмислени или общи изявления.
  • Несвързано - Съгласието трябва да бъде представено отделно по различим начин от друго съдържание, като общи условия, известия за поверителност и т.н.
  • Наименовано - Съгласието трябва да предоставя ясна информация за организацията за обработка и информация за всяка трета страна, участваща в обработката на данни.
  • Лесно за оттегляне - Съгласието трябва изрично да споменава за правото на потребителя да оттегли съгласието по всяко време с ясна процедура за отказ. Това също предполага, че организацията за обработка е създала съоръжения за оттегляне на съгласията.
  • Гранулиран - Организациите трябва да предоставят подробни съгласии, така че потребителите да могат да дават съгласие за различни видове обработка отделно.
  • Непрекъснат преглед - Организациите трябва да установят процес за непрекъснат преглед на съгласието с промени в бизнеса / системата, за да се уверят, че те съответстват на GDPR.
  • Документирано - Организацията за обработка трябва да съхранява доказателства за съгласие, като например кой, кога, как и какво сте казали.
  • Няма дисбаланс във взаимоотношенията - когато има неравновесие между физическо лице и обработваща организация (случаи като публични органи и работодатели), не е възможно да се даде съгласие свободно, в такива случаи вместо съгласие трябва да се използва някакъв друг законен начин.
  • Ограничения във времето - Няма изрични правила за това колко дълго можете да съхранявате лични данни, но се препоръчва да споменете колко дълго ще съхранявате и обработвате лични данни със съгласието.

Можете да препратите някои от прототипа на добро съгласие, създаден от projektbyif от тук.

Политика относно съществуващите съгласия и данни

За да се подготвите за съответствие с GDPR, не е задължително да изхвърляте всичките си съществуващи съгласия и да получавате нови съгласии от потребителите, но е абсолютно необходимо да извършите преглед на текущия процес на управление на съгласието, ако процесът е в съответствие с GDPR, тогава можете да вземете предвид съществуващите съгласия са валидни и продължават да обработват данни. В случай, че процесът на управление на съгласието ви е в съответствие с настоящите препоръки за DPA, лесно бихте могли да се подготвите за спазването на GDPR.

В случай, че имате някакви съмнения относно съществуващите съгласие във връзка със спазването на GDPR, винаги е добра идея да изхвърлите данните и да получите ново съгласие в GDPR по начин на съответствие.

Запис на проследяване на съгласие

За да покажат, че имате съгласие от дадено лице, обработващите организации трябва да поддържат следните записи.

  1. Кой се съгласи - името на физическото лице или друг идентификатор
  2. Когато те се съгласиха - копие на датиращ документ или онлайн записи, които включват времева марка.
  3. Какво им беше казано по това време - беше дадено главно копие на документа или формуляра за улавяне на данни, съдържащ изявлението за съгласие, използвано по това време, заедно с всяка отделна политика за поверителност, включително номера на версиите и дати, съответстващи на датата на съгласието за дата. Ако съгласието е дадено устно, вашите записи трябва да включват копие на сценария, използван по това време.
  4. Как са дали съгласие - за писмено съгласие, копие на съответния документ или формуляр за събиране на данни. Ако съгласието е дадено онлайн, вашите записи трябва да включват предоставените данни, както и времева марка, за да ги свържете към съответната версия на формуляра за улавяне на данни. Ако съгласието е дадено устно, трябва да запишете това, направено по време на разговора - не е необходимо да бъде пълен запис на разговора.
  5. Дали са оттеглили съгласието си - и ако да, кога.

Деца съгласие

Ако обработката на данни е насочена към деца и зависи от съгласието на децата, тогава организацията за обработка трябва да вземе предвид следните две изисквания.

  1. Прилага механизъм за проверка на възрастта.
  2. Проверете родителската отговорност

Освен това трябва да гарантирате, че съгласието може да бъде разбрано добре от децата.

Алтернативи за съгласие

Когато съгласието не е подходящата основа за легитимиране на обработката, може да се използва една от следните 5 основи.

  1. Договор с физическото лице
  2. Спазване на законовите задължения.
  3. Жизнени интереси.
  4. Обществена задача.
  5. Законни интереси.

Контролен списък за съгласие

Контролен списък за съгласие, публикуван от Службата на комисаря по информацията на Обединеното кралство, може да се използва, за да се провери дали вашето съгласие отговаря на GDPR или не.

Искане за съгласие

  1. Проверихме дали съгласието е най-подходящата законова основа за обработка?
  2. Направихме искането за съгласие видно и отделно от нашите условия?
  3. Молим хората да се включат положително?
  4. Не използваме предварително маркирани полета или друг тип съгласие по подразбиране?
  5. Ние използваме ясен, обикновен език, който е лесен за разбиране?
  6. Уточняваме защо искаме данните и какво ще правим с тях?
  7. Ние даваме подробни опции за съгласие за независими операции за обработка?
  8. Нарекохме нашата организация и някакви трети страни?
  9. Казваме на хората, че могат да оттеглят съгласието си?
  10. Ние гарантираме, че физическото лице може да откаже да даде съгласие без вреда?
  11. Ние не правим съгласието предварително условие за услуга?
  12. Ако предлагаме онлайн услуги директно на деца, ние търсим съгласие само ако имаме мерки за проверка на възрастта и родителско съгласие?

Съгласие за записване

  1. Водим отчет за това кога и как получихме съгласие от лицето?
  2. Водим ли запис какво точно им е било казано по това време?

Управление на съгласието

  1. Редовно преглеждаме съгласията, за да проверим дали връзката, обработката и целите не са се променили?
  2. Имаме ли процеси за опресняване на съгласието през подходящи интервали, включително всякакви родителски съгласии?
  3. Смятаме използването на табла за поверителност или други инструменти за управление на предпочитанията като въпрос на добра практика?
  4. Ние улесняваме отделните лица да оттеглят съгласието си по всяко време и публикуваме как да го направят?
  5. Действаме при оттегляне на съгласието възможно най-скоро?
  6. Ние не санкционираме лица, които желаят да оттеглят съгласието си

Препратки

  • Ръководство за съгласие с GDPR - https://ico.org.uk/about-the-ico/consultations/gdpr-consent-guidance/
  • ICO предупреждава британските фирми да спазват желанията на клиентите, тъй като глобяват Flybe и Honda - https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/03/ico -warns-UK-посредници към уважението си клиенти-Data-желания, както-си-глоби-Flybe-и-Honda /