Jak navrhnout souhlas s GDPR

Jak jsme již diskutovali v předchozích příspěvcích této řady, souhlas je jedním z pěti zákonných zpracovatelských prostředků definovaných v GDPR, ale v komerčním světě je souhlas nejběžnějším a nejvýznamnějším přístupem. V tomto příspěvku diskutujeme podrobně o řízení souhlasu a také se podíváme na aspekty designu.

Hlavním účelem souhlasu je svobodně nabídnout jednotlivcům skutečný výběr a dát pod kontrolu zpracování jejich osobních údajů. Také pro organizace zpracovávající souhlas s osobními údaji poskytují zákonný základ pro zpracování. Dobře navržený souhlas pomáhá podnikům budovat důvěru zákazníků a také zvyšuje povědomí zákazníků a transparentnost při zpracování dat, další souhlas výrazně zlepšuje pověst firmy.

GDPR stanoví velmi vysoký standard pro správu souhlasu, GDPR definuje značné finanční pokuty za porušení předpisů souvisejících se souhlasem. Každá organizace zpracovávající osobní údaje jednotlivců musí věnovat zvláštní pozornost správě souhlasu a budoucímu zpracování již shromážděných osobních údajů.

Účel souhlasu

Zpracovatelská organizace může použít souhlas k legitimizaci

  1. Použití údajů o zvláštní kategorii
  2. Omezené zpracování
  3. Automatizované rozhodování
  4. Zámořské přenosy dat

Je velmi pravděpodobné, že k instalaci aplikací / softwaru na zařízení jednotlivců použijete souhlas pro většinu marketingových aktivit nebo zpráv, soubory cookie na webu, metody sledování online. Je třeba poskytnout souhlas takovým způsobem, aby spotřebitelé mohli snadno pochopit, že mají souhlas a k čemu mají souhlas, bez jakýchkoli důležitých podrobností skrytých malým potiskem.

Zpracovatelské organizace také nemohou e-mailem nebo textem žádat o souhlas spotřebitele, protože taková zpráva sama o sobě představuje zprávy přímého marketingu, existují příklady skutečného světa.

Souhlas však není absolutním právem, může existovat legitimní základ pro ignorování souhlasu jednotlivce se zpracováním údajů. Nemůžete například odmítnout bance sdílet vaše kreditní údaje s veřejnými finančními úřady, nemůžete odmítnout povinnost svého zaměstnavatele sdílet vaše platy s veřejnými daňovými agenturami.

Definice souhlasu GDPR zůstává stejná jako stávající definice DPD, ale GDPR zavádí novou doložku, protože souhlas musí být jednoznačný a musí zahrnovat jasnou kladnou akci.

1995 DPA Definice

„Jakýkoli volně daný konkrétní a informovaný údaj o jeho přání, kterým subjekt údajů vyjadřuje svůj souhlas se zpracováním osobních údajů, které se ho týkají“

Definice GDPR

„Jakékoli svobodné, konkrétní, informované a jednoznačné uvedení přání subjektu údajů, kterým on nebo ona prohlášením nebo jasným kladným jednáním vyjadřuje souhlas se zpracováním osobních údajů, které se jej týkají“

Rovněž je třeba poznamenat, že pokud je zpracování údajů založeno na souhlasu, jednotlivci mají nárok na velmi silný soubor práv, včetně práva na vymazání a práva na přenositelnost údajů.

Zde jsou nejdůležitější body extrahované z výše uvedené definice.

Volně dané - jedná se o velmi významný bod, který pomáhá rozhodnout, zda souhlas je správným výběrem daného zpracování dat, či nikoli, použití organizace pro zpracování souhlasu by mělo být v pozici, která jednotlivcům nabízí skutečnou svobodu při výběru zpracování údajů. . Například ve většině případů veřejné orgány nemohou dát souhlas svobodně, dalším příkladem je, že zaměstnavatel nemůže zaměstnancům vždy poskytnout skutečnou volbu, v takových případech by se souhlas neměl použít místo toho organizace může jedním z pěti dalších zákonných zpracovatelských prostředků.

konkrétní - Není možné požádat o generický souhlas od jednotlivců, souhlas by měl být specifický pro zamýšlený účel, základní přístup ke zpracování, jaký druh údajů se zpracovává a jak dlouho budou data uchovávána v podniku atd.

Informováno - Jednotlivec by měl být informován o tom, že souhlasí se zpracováním svých osobních údajů, a navíc by si měl být vědom práv na daný souhlas, jako je právo daný souhlas odvolat. Další zpracovatelské organizace by měly zajistit, aby jednotlivci dobře rozuměli jazyku, obrázkům, grafice atd. Použitým v souhlasu, není legitimní získat souhlas klamáním jednotlivců nebo poskytováním skrytých informací.

Výslovný souhlas

Existuje zvláštní kategorie souhlasu nazvaná „Explicitní souhlas“, která je vyžadována ke zpracování údajů zvláštní kategorie a automatizovaného rozhodování. Klíčový rozdíl spočívá v tom, že „výslovný“ souhlas musí být potvrzen jasným ústním nebo písemným prohlášením.

Zásady návrhu správy souhlasu

  • Aktivní přihlášení - Souhlas vyžaduje pozitivní přihlášení a ve výchozím nastavení se vyhýbejte zaškrtnutým políčkům nebo jakékoli jiné metodě souhlasu. Kdykoli je dána binární volba, měly by mít obě možnosti stejnou důležitost.
  • Informováno - Souhlas by měl být jasný, výstižný a konkrétní o obsahu. Souhlas by neměl používat dvojznačná nebo obecná prohlášení.
  • Unbundled - Souhlas by měl být předkládán odděleně odlišitelným způsobem od jiného obsahu, jako jsou všeobecné podmínky, oznámení o ochraně osobních údajů atd.
  • Pojmenovaný - souhlas by měl poskytovat jasné informace o zpracovatelské organizaci a informace o jakékoli třetí straně zapojené do zpracování dat.
  • Snadné stažení - Souhlas by měl výslovně uvádět právo spotřebitele kdykoli odvolat souhlas s jasným postupem pro odstoupení od smlouvy. Tato rovněž předpokládala, že zpracovatelská organizace vytvořila zařízení pro odebírání souhlasů.
  • Granulární - organizace by měly poskytovat granulární souhlasy, aby spotřebitelé mohli souhlasit s různými typy zpracování samostatně.
  • Nepřetržité přezkoumávání - Organizace by měly zavést postup průběžného přezkoumávání souhlasu s obchodními / systémovými změnami, aby bylo zajištěno, že jsou v souladu s GDPR.
  • Dokumentováno - Zpracovatelská organizace by měla uchovávat důkazy o souhlasu, jako je kdo, kdy, jak a co jste řekli.
  • Žádná nevyváženost ve vztazích - pokud existuje nerovnováha mezi jednotlivcem a zpracovatelskou organizací (případy, jako jsou veřejné orgány a zaměstnavatelé), není možné poskytnout souhlas svobodně, v takových případech by měl být místo souhlasu použit jiný legitimní prostředek.
  • Časové limity - Neexistují žádná výslovná pravidla o tom, jak dlouho si můžete uchovávat osobní údaje, ale doporučuje se zmínit, jak dlouho budou osobní údaje se souhlasem ukládat a zpracovávat.

Odtud se můžete podívat na některý z prototypů pěkného souhlasu vytvořeného projekty.

Zásady týkající se existujících souhlasů a údajů

Chcete-li se připravit na splnění GDPR, není nutné zbavit se všech vašich stávajících souhlasů a získat nové souhlasy od uživatelů, ale je naprosto nezbytné provést přezkum současného procesu správy souhlasu, pokud je tento proces v souladu s GDPR, můžete zvážit existující souhlasy platný a pokračovat ve zpracování dat. V případě, že váš proces řízení souhlasu je v souladu s aktuálními doporučeními DPA, můžete se snadno připravit na splnění GDPR.

V případě pochybností o existujících souhlasech s dodržováním GDPR je vždy vhodné údaje zlikvidovat a získat souhlas v GDPR novým způsobem.

Sledování záznamů o souhlasech

Aby bylo prokázáno, že máte souhlas jednotlivce, zpracovatelské organizace by měly vést následující záznamy.

  1. Kdo souhlasil - jméno osoby nebo jiný identifikátor
  2. Když s tím souhlasili - kopii datovaného dokumentu nebo online záznamy, které obsahují časové razítko.
  3. Co jim bylo v té době řečeno - byla předána hlavní kopie dokumentu nebo formuláře pro sběr dat obsahující prohlášení o souhlasu, které bylo v té době používáno, spolu se všemi samostatnými zásadami ochrany osobních údajů, včetně čísel verzí a dat odpovídajících datu souhlasu. Pokud byl souhlas udělen ústně, měly by vaše záznamy obsahovat kopii skriptu použitého v té době.
  4. Jak souhlasili - k písemnému souhlasu kopii příslušného dokumentu nebo formuláře pro sběr údajů. Pokud byl souhlas udělen online, měly by vaše záznamy obsahovat předložená data a také časové razítko, které je propojí s příslušnou verzí formuláře pro sběr údajů. Pokud byl souhlas udělen ústně, měli byste si to v době rozhovoru poznamenat - nemusí to být úplný záznam o konverzaci.
  5. Zda vzali souhlas - a pokud ano, kdy.

Dětský souhlas

Pokud je zpracování údajů zaměřeno na děti a závisí na souhlasu dětí, musí zpracovatelská organizace zvážit splnění dvou požadavků.

  1. Implementuje mechanismus ověření věku.
  2. Ověřte rodičovskou odpovědnost

Dále byste se měli ujistit, že děti dobře rozumí tomuto souhlasu.

Alternativy souhlasu

Pokud souhlas není vhodným základem pro legitimizaci zpracování, lze použít jednu z následujících 5 bází.

  1. Smlouva s jednotlivcem
  2. Dodržování zákonných povinností.
  3. Zásadní zájmy.
  4. Veřejný úkol.
  5. Oprávněné zájmy.

Kontrolní seznam pro souhlas

Kontrolní seznam souhlasu zveřejněný Úřadem britského informačního úřadu lze použít k ověření, zda váš souhlas je v souladu s GDPR nebo ne.

Žádost o souhlas

  1. Ověřili jsme, že souhlas je nejvhodnějším právním základem pro zpracování?
  2. Žádost o souhlas jsme udělali prominentním a odděleným od našich smluvních podmínek?
  3. Žádáme lidi, aby se pozitivně přihlásili?
  4. Ve výchozím nastavení nepoužíváme předem zaškrtnutá políčka ani jiný typ souhlasu?
  5. Používáme jasný a srozumitelný jazyk, který je snadno srozumitelný?
  6. Upřesňujeme, proč chceme data a co s nimi budeme dělat?
  7. Dáváme podrobné možnosti souhlasu s nezávislými operacemi zpracování?
  8. Pojmenovali jsme naši organizaci a jakékoli třetí strany?
  9. Říkáme jednotlivcům, aby mohli svůj souhlas odvolat?
  10. Zajišťujeme, aby jednotlivec mohl odmítnout souhlas bez újmy?
  11. Neděláme souhlas s podmínkou služby?
  12. Pokud nabízíme online služby přímo dětem, žádáme o souhlas pouze tehdy, pokud máme zavedena opatření pro ověření věku a souhlas rodičů?

Souhlas se záznamem

  1. Vedeme záznamy o tom, kdy a jak jsme získali souhlas jednotlivce?
  2. Evidujeme přesně to, co jim bylo v té době řečeno?

Řídící souhlas

  1. Pravidelně kontrolujeme souhlasy, abychom ověřili, že se vztah, zpracování a účely nezměnily?
  2. Máme zavedeny postupy pro obnovení souhlasu ve vhodných intervalech, včetně souhlasu rodičů?
  3. Jako dobrý příklad považujeme použití dashboardů na ochranu soukromí nebo jiných nástrojů pro správu preferencí?
  4. Usnadňujeme jednotlivcům kdykoli odvolat svůj souhlas a zveřejňujeme, jak to udělat?
  5. Budeme jednat o odvolání souhlasu, jakmile to půjde?
  6. Netrestáme jednotlivce, kteří chtějí odvolat souhlas

Reference

  • Pokyny ohledně souhlasu GDPR - https://ico.org.uk/about-the-ico/consultations/gdpr-consent-guidance/
  • ICO varuje britské firmy, aby respektovaly přání zákazníků, protože pokutují Flybe a Honda - https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/03/ico -warns-uk-firmy-respektovat-zákazníky-data-přání-jak-to-pokuty-flybe-a-honda /