1. СООТВЕТСТВИЕ ПРАВУ, ТОЧНОСТИ И ПРОЗРАЧНОСТИ
2. ПРЕДЕЛЫ
3. ПРИНЦИП МИНИМИЗАЦИИ ДАННЫХ
4. Обязательство показать отзыв согласия
5. Форма регистрации аккаунта и одноразовый заказ
6. Согласие подписаться на рассылку
7. Форма обратной связи
8. Согласие и регистрация на онлайн-обучение / веб-семинар
9. Элементы информационного обязательства (пункт 1 статьи 13 РОДО)
10. Информация о правах человека, сроке хранения и автоматической обработке (пункт 2 статьи 13 РОДО)

Автор: - Дата: 24 апреля 2018 г.

На веб-сайте интернет-магазина продавцы предоставляют множество форм, с помощью которых клиент может предоставить свои персональные данные в различных дюймах, таких как создание учетной записи клиента, размещение заказа, подписка на рассылку новостей, контакт с продавцом через контактную форму, запись на онлайн-обучение / вебинар и т. д. В следующей разработке мы покажем вам, как должно выглядеть согласие с этими типами форм, какие обязательства должен выполнять Продавец, а также на что следует ориентироваться при подготовке таких форм.

При разработке форм, с помощью которых клиент может связаться с ними, компания, в том числе посредством которой клиент предоставляет свои персональные данные, должна учитывать несколько основных принципов, вытекающих из GDPR.

СООТВЕТСТВИЕ ПРАВУ, ТОЧНОСТИ И ПРОЗРАЧНОСТИ

Это означает, что персональные данные должны обрабатываться в соответствии с законодательством надежным и прозрачным способом для субъекта данных. На практике мы должны собирать данные, соблюдая применимые правила в этом самом RODO, формы должны быть прозрачными, то есть клиент должен точно знать, какие данные нам нужны, и для каких целей форма должна быть сформулирована в четкой и простой форме, чтобы не возникали двусмысленности относительно цели обработки персональных данных.

ПРЕДЕЛЫ

означает сбор данных для конкретных, явных и законных целей и не подвергается дальнейшей обработке способом, несовместимым с этими целями. На практике, если клиент дает нам адрес электронной почты с целью регистрации учетной записи, и в регистрационной форме не было никакого дополнительного флажка, в котором клиент мог бы согласиться на новостную рассылку, мы не можем включить этот адрес электронной почты в нашу коммерческую информационную базу ,

ПРИНЦИП МИНИМИЗАЦИИ ДАННЫХ

означает, что данные должны собираться адекватно, надлежащим образом и ограниченным образом в соответствии с тем, что необходимо для целей, для которых они обрабатываются. На практике это означает, что если у нас есть форма заказа, персональными данными, безусловно, будут имя и фамилия, адрес электронной почты, адрес доставки, номер телефона. Иногда пол и дата рождения также можно найти в формах. Эти две данные не нужны для обработки заказа, но, например, Продавец хотел бы использовать эту информацию для отправки открытки на день рождения или специального предложения, например, для женщин 8 марта. Чтобы иметь возможность сделать это под списком пожеланий о принятии правил, также должен появиться флажок для информационного бюллетеня.

Большинство форм также будет включать в себя так называемые согласие на обработку персональных данных. Общее положение о защите персональных данных (RODO) существенно не изменило нынешнее определение согласия на обработку персональных данных. Вместо этого он ввел, в дополнение к существующему согласию в форме декларации о воле, возможность признания в качестве действительного согласия, выраженного неявно посредством четкого подтверждающего действия. Также были разработаны необходимые элементы для выражения согласия: добровольность, конкретность, осознанность и однозначность.

Подробно о править согласием мы уже написали в нашем блоге.

Обязательство показать отзыв согласия

Факт получения согласия должен быть доказуемым. Это обязательство является частью принципа подотчетности, на котором основаны новые правила ЕС в отношении защиты персональных данных. Контролерам данных была предоставлена ​​большая гибкость в защите обработки персональных данных, но они должны быть в состоянии продемонстрировать, что они фактически соответствуют требованиям, установленным Регламентом. Следовательно, в случае сбора согласия в письменной форме подписанные формы должны быть заархивированы. В случае получения согласия в электронном виде, например, с помощью флажка, ИТ-система должна записать IP-адрес и дату выбора флажка. Также допустимо собирать согласие на обработку персональных данных в телефонном разговоре. Тем не менее, такой разговор должен быть записан, о чем следует предварительно сообщить субъекту данных.

Соглашения, с которыми сталкиваются наиболее распространенные администраторы интернет-магазинов / сайтов:

1. принятие регламента, (в том числе регламента конкурса);
2. подписка на новостную рассылку;
3. контактная форма;
4. регистрация на онлайн-обучение / веб-семинар.

Форма регистрации аккаунта и одноразовый заказ

Правильное содержание согласия по форме:

«Я заявляю, что прочитал Правила».

RODO требует от администратора выполнения информационных обязательств при сборе персональных данных (статья 13 RODO). Мы рекомендуем выполнить информационное обязательство, вставив соответствующие пункты (см. Статью ниже) в Политику конфиденциальности. Мы рекомендуем разместить ссылку на Политику конфиденциальности под флажком о принятии правил, озаглавленных «Принципы защиты персональных данных», в которых информационные обязательства, вытекающие из GDPR ,

Согласие подписаться на рассылку

Обязательные акты, касающиеся предоставления электронных услуг и RODO, требуют, чтобы при подписке на Информационный бюллетень были приняты меры предосторожности (в зависимости от различных вариантов):

1. i) пункт о согласии на отправку коммерческой информации электронными средствами в соответствии со ст. 10 параграф 1 и 2 Закона о предоставлении электронных услуг);
   II. пункт о согласии на обработку персональных данных в соответствии со ст. 172 телекоммуникационное право;
   III. предоставление информации о том, что отзыв согласия так же прост, как и его выражение (пункт 3 статьи 7 RODO)
   
2. выполнение информационного обязательства. При сборе персональных данных администратор выполняет информационное обязательство по ст. 13 родо). Обязательство может быть выполнено путем размещения соответствующих положений в Политике конфиденциальности;

Мы рекомендуем оставить только окно «Подписаться на рассылку» без поля для ввода своего адреса электронной почты. Нажав на это окно, вы перейдете к форме регистрации для Информационного бюллетеня, в которой есть поле для заполнения адреса электронной почты и следующие элементы, в зависимости от канала связи с Клиентом:

1. Согласие с флажком следующего содержания:
   Я согласен отправлять коммерческую информацию посредством электронных сообщений в значении Закона от 18 июля 2002 года о предоставлении электронных услуг (Dz.U.2017.1219) на адрес электронной почты, предоставленный в отношении услуг, предлагаемых ABC Sp. z oo at ul. [х] основан на [х]. Согласие является добровольным и может быть отозвано в любое время, нажав соответствующую ссылку в конце электронного письма. Отзыв согласия не влияет на законность обработки, которая была произведена на основании согласия путем его отзыва.
   Я согласен отправлять коммерческую информацию через электронные средства связи в значении Закона от 18 июля 2002 года для предоставления электронных услуг (Dz.U.2017.1219) в виде текстового сообщения на указанный номер телефона об услугах, предлагаемых ABC Sp. z oo at ul. [х] основан на [х]. Согласие является добровольным и может быть отозвано в любое время, нажав соответствующую ссылку в конце электронного письма. Отзыв согласия не влияет на законность обработки, которая была произведена на основании согласия путем его отзыва.
   Комментарий: Если администратор хотел бы получить данные клиентов (включая их номера телефонов) для отправки только коммерческой информации по электронной почте (электронная почта и SMS) - см. Два вышеупомянутых согласия, нет необходимости собирать согласие, указанное в ст. 172 Закона о телекоммуникациях. Однако, если тот же администратор хотел бы отправить коммерческую информацию, свяжитесь с клиентом, сделав голосовые звонки, во время которых он представит маркетинговый контент, упомянутый требуется отдельное согласие со следующим содержанием:
   Я согласен на обработку моих персональных данных компанией ABC Sp. z oo at ul. [x] со своим зарегистрированным офисом в [x], с целью прямого маркетинга, осуществляемого с использованием телекоммуникационного оконечного оборудования и систем автоматического вызова, то есть телефонного номера, в соответствии со ст. 172 Закона от 16 июля 2004 г. Закон о телекоммуникациях (Законодательный вестник 2017 года, пункт 1907 с поправками). «Согласие является добровольным и может быть отозвано в любое время путем отправки сообщения на адрес электронной почты администратора. Отзыв согласия не влияет на законность обработки, которая была произведена на основании согласия путем его отзыва.
   
2. Ссылка на Политику конфиденциальности под названием: «Принципы защиты персональных данных».
   

Форма обратной связи

При сборе персональных данных администратор в соответствии с RODO выполняет информационное обязательство (статья 13 GDPR). Обязательство может быть выполнено путем размещения соответствующих положений в Политике конфиденциальности (см. Ниже). Администратор, как и в вышеупомянутых случаях, также должен применять принцип минимизации данных (Статья 5 (1) c), который означает адекватный сбор данных, соответствующих данных и ограниченных данных для того, что необходимо для цели, в которой они обрабатываются. Администратор на практике должен рассмотреть возможность сбора нужного количества данных. Например, использование обязательных полей в контактной форме как для адреса электронной почты, так и для номера телефона неадекватно в связи с целью одноразового контакта с клиентом (пункт 3 статьи 26 пункта 3 Закона о защите личных данных / пункт 1 статьи 5 письма .c РОДО). Если администратор в контактной форме предусматривает возможность связаться с клиентом как в электронном виде, так и по телефону, то клиент должен иметь возможность выбрать один вариант. Как и в примере ниже, ни одно из полей не является обязательным.

• Имя и фамилия
• Адрес электронной почты
• Номер телефона
• Содержание сообщения:

Мы рекомендуем разместить в форме ссылки на политику конфиденциальности следующее: «Принципы защиты персональных данных».

Согласие и регистрация на онлайн-обучение / веб-семинар

Содержание правильного согласия по форме:

«Я заявляю, что ознакомился с содержанием Регламента онлайн-обучения».

RODO требует от администратора выполнения информационных обязательств при сборе персональных данных (статья 13 RODO). Мы рекомендуем выполнить информационное обязательство, вставив соответствующие пункты (см. Статью ниже) в Политику конфиденциальности. Мы рекомендуем разместить ссылку на Политику конфиденциальности под флажком о принятии правил, озаглавленных: «Принципы защиты персональных данных.

Больше по теме информационные обязанности, требуемые RODO вы найдете в наших следующих статьях в блоге.

Важно: если клиент использует контактную форму, то у компании есть правовое основание для переписки / связи с клиентом по вопросу, по которому он или она запрашивает. Если в будущем полученные персональные данные будут использоваться в маркетинговых целях и, в частности, для продвижения других продуктов / услуг, тогда контактная форма должна содержать согласие на торговые сообщения - в соответствии с приведенным выше примером.

Как указано выше, хорошим местом для выполнения информационных обязательств в соответствии с RODO является политика конфиденциальности. RODO требует, чтобы администратор действовал при выполнении информационных обязательств. Администратор должен выполнять необходимые действия, связанные с предоставлением информации, требуемой законом, независимо от того, предоставляет ли лицо данные по своей собственной инициативе или в результате действий администратора. Недопустимо навязывать лицу, от которого собираются данные, поиск информационного предложения, например, на веб-сайте, в то время как, например, данные собираются с него в бумажном виде. Администратор также должен убедиться, что у человека есть возможность ознакомиться с адресованной ему информацией, прежде чем предоставлять свои данные.

Элементы информационного обязательства (пункт 1 статьи 13 РОДО)

Принцип прозрачности обработки персональных данных, выраженный в GDPR, требует, прежде всего, уведомления субъекта данных о личности контроллера данных и предоставления контактных данных. Это делается для того, чтобы фактическое лицо могло реализовать свои права. Если это оправдано, пожалуйста, предоставьте личность и контактные данные представителя, например, когда администратором является коммерческая юридическая компания.

Новая функция на основе RODO - обязательство предоставить контактные данные сотрудника по защите данных . Назначение лица для выполнения этой функции контролером данных обязательно только в случаях, указанных в ст. 37 абзац 1 лит. AC RODO, в других случаях это необязательно.

Другим требованием является предоставление целей обработки данных . Следует иметь в виду, что цели должны быть четко определены во время сбора данных и иметь свое обоснование. Обработка персональных данных запрещена, если цель обработки может быть достигнута другими способами. Персональные данные должны собираться в ограниченном объеме, соответствующем цели обработки. Например, нет необходимости собирать дату рождения, чтобы составить план питания и тренировок для клиента, если компания (администратор данных) нуждается в этой информации только для того, чтобы сопоставить свои услуги с возрастом человека. В этом случае будет достаточно указать год жизни, то есть запрос о том, сколько лет человеку, без указания полной даты рождения. Информация о назначении не может заменить заявление о том, что данные будут обрабатываться в соответствии с общим положением о защите персональных данных. Стоит упомянуть, потому что часто на основании действующих в настоящее время положений в содержании статей сообщается, что предоставление персональных данных является добровольным и будет обрабатываться в соответствии с Законом о защите персональных данных. Однако с какой целью - это не вытекает из пункта.

Если обработка происходит на основе законного интереса, преследуемого администратором или третьей стороной, администратор предоставляет этот интерес.

Если существуют получатели данных (сущности, которым предоставляются данные), указывается их личность или, если она не известна на момент сбора данных, - категории этих получателей.

Там, где это применимо, контролер должен информировать о передаче данных в третью страну, то есть в страну за пределами Европейского экономического пространства или в международную организацию, вместе со ссылкой на признание Комиссией вышеупомянутого адекватный уровень защиты данных.

Информация о правах человека, сроке хранения и автоматической обработке (пункт 2 статьи 13 РОДО)

Обязанность информировать лицо RODO обо всех аспектах, связанных с обработкой персональных данных, предназначена законодателем ЕС для повышения его осведомленности. Законодатель предполагает, что субъект данных узнает от администратора о рисках обработки данных, безопасности данных и, прежде всего, он получит знания о своих правах в области обработки и о том, как осуществлять эти права.

Помимо прочего, администратор должен установить срок хранения (или хранения) персональных данных и предоставить их в момент сбора данных. Если он не может определить дату удаления данных, он должен указать хотя бы дату периодического пересмотра.

Администратор также обязан информировать лицо о праве запрашивать доступ к его данным, исправлять, удалять, передавать или ограничивать обработку данных, а также право возражать против обработки данных. И если обработка происходит на основе согласия - право отозвать его в любое время. Однако отзыв согласия не повлияет на законность обработки данных до их отзыва. Администратор должен установить порядок реализации этих прав субъектами данных.

Как часть широко понимаемого информационного обязательства, администратор также сообщает лицу, что он имеет право подать жалобу в контролирующий орган.

В рамках добровольного или обязательного предоставления данных администратор уведомляет, является ли предоставление данных обязательным, договорным или договорным обязательством. Человек также должен быть проинформирован, если он обязан предоставить данные и с какими последствиями он может столкнуться, если не сделает этого.

Новинкой на основе RODO является информация об автоматизированном принятии решений - включая профилирование. Содержание информации должно включать важные принципы для принятия таких решений и их последствия для субъекта данных.

Мы рекомендуем, чтобы в соответствии с положениями о согласии была включена ссылка под названием Политика защиты личных данных, которая будет ссылаться на Политику конфиденциальности.

Примерные пункты исполнения информационного обязательства

1. администратор персональных данных [укажите имя и зарегистрированный офис];
2. инспектор по защите данных - это [указать имя и фамилию и контакт, например, адрес электронной почты] (это обязательство мы выполняем, если применимо);
3. персональные данные будут обработаны для того, чтобы [указать цель обработки в соответствии со статьей 6 РОДО];
4. получателем персональных данных будет [вы можете указать категорию получателей, если они существуют, например, курьеры, банки];
5. личные данные будут переданы третьей стране / международной организации [если применимо]. Вы можете получить копию своих личных данных, переданных в третью страну [указать, как получить копию данных или где предоставить данные];
6. личные данные будут храниться в течение [например, до тех пор, пока согласие не будет отозвано, если невозможно указать срок хранения, укажите критерий для определения этого срока (например, до конца набора и т. д.);
7. Вы имеете право на доступ к своим личным данным и право исправлять, удалять, ограничивать обработку, право на передачу данных, право на возражение, право на отзыв согласия в любое время без ущерба для законности обработки, которая была сделана на основе согласия до ее отзыва ;
8. Вы имеете право подать жалобу Президенту Управления по защите личных данных в связи с нарушением права на защиту личных данных или других прав, предоставленных в соответствии с REDO.
9. Предоставление персональных данных является [просьба указать, является ли предоставление данных обязательным требованием / условием договора / условием заключения договора]. Вы обязаны предоставить их, и последствия непредоставления персональных данных будут [если субъект данных обязан предоставить их, указать возможные последствия непредоставления данных];
10. Ваши данные будут обрабатываться в автоматическом режиме, в том числе в виде профилирования. Автоматическое принятие решений будет основано на [правилах профилирования, которые вы ввели в организации], последствия такой обработки [предоставят важную информацию о принципах автоматического принятия решений и информацию о значении и ожидаемых последствиях такой обработки для субъекта данных] ,

Похожие

Комментарии