كيفية تصميم موافقة الناتج المحلي الإجمالي

كما سبق أن ناقشنا في المشاركات السابقة من هذه السلسلة ، تعد موافقة واحدة من وسائل المعالجة القانونية الخمسة المحددة في إجمالي الناتج المحلي ، ولكن في العالم التجاري ، تعد المقاربة الأكثر شيوعًا والأكثر أهمية. نناقش في هذا المنشور حول إدارة الموافقة بالتفصيل وننظر أيضًا في جوانب التصميم.

الغرض الرئيسي من الموافقة هو أن يقدم للأفراد حرية الاختيار الحقيقي والتحكم في معالجة بياناته الشخصية. أيضا بالنسبة للمنظمات عملية الموافقة على البيانات الشخصية توفر الأساس القانوني للمعالجة. تساعد الموافقة المصممة جيدًا على بناء الثقة لدى العملاء ، كما تعمل على تحسين وعي العملاء وشفافيتهم في معالجة البيانات ، كما أن الموافقة الإضافية تحسن بشكل كبير من سمعة الشركة.

يحدد إجمالي الناتج المحلي معايير عالية جدًا لإدارة الموافقة ، ويحدد إجمالي الناتج المحلي عقوبات مالية كبيرة على انتهاكات اللوائح المتعلقة بالموافقة. يجب على أي مؤسسة تعالج التفاصيل الشخصية للأفراد إيلاء اهتمام خاص لإدارة الموافقة والمعالجة المستقبلية للبيانات الشخصية المجمعة بالفعل.

الغرض من الموافقة

يمكن للمؤسسة المعالجة استخدام الموافقة لإضفاء الشرعية

  1. استخدام بيانات الفئة الخاصة
  2. معالجة مقيدة
  3. اتخاذ القرار الآلي
  4. نقل البيانات في الخارج

من المحتمل جدًا استخدام الموافقة على معظم أنشطة التسويق أو الرسائل أو ملفات تعريف الارتباط الخاصة بالمواقع الإلكترونية أو طرق التتبع عبر الإنترنت لتثبيت التطبيقات / البرامج على أجهزة الأفراد. يجب تقديم الموافقة بطريقة يمكن للمستهلكين أن يفهموا بسهولة أنهم يوافقون عليها ، وما يوافقون عليه ، دون إخفاء أي تفاصيل مهمة بخط صغير.

كما لا يمكن للمنظمات التي تتعامل مع البريد الإلكتروني أو الرسائل النصية طلب موافقة العميل لأن هذه الرسالة بحد ذاتها تشكل رسائل تسويقية مباشرة ، فهناك بالفعل بعض الحالات الواقعية.

على الرغم من أن الموافقة ليست حقًا مطلقًا ، فقد يكون هناك أساس مشروع لتجاهل موافقة الفرد على معالجة البيانات. على سبيل المثال ، لا يمكنك رفض أي بنك مشاركة تفاصيل الائتمان الخاصة بك مع السلطات المالية العامة ، ولا يمكنك رفض مسؤولية صاحب العمل لمشاركة تفاصيل راتبك مع وكالات الضرائب العامة.

يظل تعريف الموافقة على الناتج المحلي الإجمالي مطابقًا لتعريف DPD الحالي ، إلا أن إجمالي الناتج المحلي يضيف بندًا جديدًا لأن الموافقة يجب أن تكون غامضة وتشتمل على إجراء إيجابي واضح.

1995 DPA Definition

"أي إشارة محددة ومستنيرة بحرية لرغباته تشير بموجبه موضوع البيانات إلى موافقته على البيانات الشخصية المتعلقة به قيد المعالجة"

تعريف الناتج القومي الإجمالي

"أي إشارة يتم تقديمها بحرية ومحددة ومستنيرة ولا لبس فيها لرغبات موضوع البيانات التي بواسطته ، من خلال بيان أو من خلال إجراء إيجابي واضح ، تعني الموافقة على معالجة البيانات الشخصية المتعلقة به / بها"

كما تجدر الإشارة إلى أنه عندما تستند معالجة البيانات إلى الموافقة ، يحق للأفراد الحصول على مجموعة قوية جدًا من الحقوق بما في ذلك الحق في المسح والحق في قابلية نقل البيانات.

فيما يلي أهم النقاط المستخلصة من التعريف أعلاه.

يتم تقديمها بحرية - هذه نقطة مهمة جدًا تساعد على تحديد ما إذا كانت الموافقة هي الاختيار الصحيح لمعالجة بيانات معينة أم لا ، لاستخدام منظمة معالجة الموافقة يجب أن تكون في وضع يمكنها من توفير حرية حقيقية للأفراد لاتخاذ قرار بشأن معالجة البيانات . على سبيل المثال ، في معظم الحالات ، لا يمكن للسلطات العامة منح الموافقة بحرية ، وهناك مثال آخر هو أن صاحب العمل لا يمكن أن يوفر دائمًا خيارًا حقيقيًا للعاملين ، في مثل هذه الحالات لا ينبغي استخدام الموافقة بدلاً من ذلك ، يمكن للمنظمة استخدام إحدى وسائل المعالجة القانونية الخمس الأخرى.

محدد - لا يمكن طلب موافقة عامة من الأفراد ، يجب أن تكون الموافقة محددة على الغرض المقصود منهج المعالجة الأساسية ونوع البيانات التي تتم معالجتها والوقت الذي سيتم حفظ البيانات به مع الشركة وما إلى ذلك.

علم - يجب إخطار الفرد بأنه / هي يوافق على معالجة بياناته الشخصية ، بالإضافة إلى ذلك يجب أن يكون الفرد على دراية بالحقوق في الحصول على موافقة معينة مثل الحق في سحب الموافقة المعطاة. يجب على مؤسسات المعالجة الإضافية أن تتأكد من فهم الأفراد للغة والصور والرسومات وغيرها المستخدمة في الموافقة جيدًا ، وليس من المشروع الحصول على موافقة بتضليل الأفراد أو تقديم معلومات مخفية.

موافقة صريحة

هناك فئة خاصة من الموافقة تسمى "موافقة صريحة" وهي ضرورية لمعالجة بيانات الفئة الخاصة وصنع القرار الآلي. الفرق الرئيسي هو ، يجب تأكيد الموافقة "الصريحة" في بيان شفهي أو كتابي واضح.

مبادئ التصميم لإدارة الموافقة

  • التقيد النشط - الموافقة تتطلب التقيد الإيجابي وتجنب المربعات المحددة مسبقًا أو أي طريقة أخرى للموافقة افتراضيًا. عندما يتم إعطاء خيار ثنائي ، يجب أن يكون لكلا الخيارين نفس الأهمية.
  • علم - يجب أن تكون الموافقة واضحة وموجزة ومحددة حول المحتوى. يجب ألا تستخدم الموافقة عبارات غامضة أو عامة.
  • Unbundled - يجب تقديم الموافقة بشكل منفصل بطريقة يمكن تمييزها عن المحتويات الأخرى مثل الشروط والأحكام العامة وإشعارات الخصوصية وما إلى ذلك.
  • الاسم - يجب أن توفر الموافقة معلومات واضحة حول مؤسسة المعالجة ومعلومات حول أي طرف ثالث مشترك في معالجة البيانات.
  • يسهل السحب - يجب أن توافق الموافقة صراحةً على حق المستهلك في سحب الموافقة في أي وقت مع إجراء سحب واضح. هذا يفترض أيضا تجهيز المنظمة أنشأت مرافق لسحب الموافقات.
  • حبيبات - يجب على المنظمات تقديم موافقات حبيبية بحيث يمكن للمستهلكين الموافقة على أنواع مختلفة من المعالجة بشكل منفصل.
  • المراجعة المستمرة - ينبغي للمنظمات أن تنشئ عملية لمراجعة الموافقة باستمرار على تغييرات العمل / النظام للتأكد من أنها تمتثل لإجمالي الناتج المحلي.
  • موثقة - يجب أن تحتفظ منظمة المعالجة بأدلة الموافقة مثل من ومتى وكيف وماذا قلت.
  • لا يوجد توازن في العلاقات - عندما يكون هناك اختلال في التوازن بين الفرد ومنظمة التجهيز (حالات مثل السلطات العامة وأرباب العمل) ، لا يمكن تقديم موافقة بحرية ، في مثل هذه الحالات ، ينبغي استخدام بعض الوسائل المشروعة الأخرى بدلاً من الموافقة.
  • حدود الوقت - لا توجد قواعد صريحة حول المدة التي يمكنك من خلالها الاحتفاظ بالبيانات الشخصية ، لكن يوصى بذكر المدة التي ستقوم خلالها بتخزين ومعالجة البيانات الشخصية بالموافقة.

يمكنك الرجوع إلى بعض نماذج الموافقة الجيدة التي أنشأتها projectsbyif من هنا.

السياسة المتعلقة بالموافقات والبيانات الحالية

للتحضير لامتثال إجمالي الناتج المحلي ، ليس من الضروري التخلي عن جميع موافقتك الحالية والحصول على موافقات جديدة من المستخدمين ، لكن من الضروري للغاية إجراء مراجعة لعملية إدارة الموافقة الحالية ، إذا كانت العملية متوافقة مع إجمالي الناتج المحلي ، فيمكنك التفكير في الموافقة الحالية صالحة ومتابعة معالجة البيانات. في حالة ما إذا كانت عملية إدارة موافقتك تتوافق مع توصيات DPA الحالية ، يمكنك بسهولة الاستعداد لتوافق الناتج المحلي الإجمالي.

في حال كان لديك أي شك فيما يتعلق بالموافقات الحالية المتعلقة بامتثال إجمالي الناتج المحلي ، من الأفضل دائمًا تجاهل البيانات والحصول على موافقة جديدة بطريقة إجمالي الناتج المحلي.

تتبع السجل على الموافقات

لإثبات أن لديك موافقة من شخص ما ، يجب أن تحتفظ مؤسسات المعالجة بالسجلات التالية.

  1. الذي وافق - اسم الفرد ، أو معرف آخر
  2. عندما وافقوا - نسخة من مستند مؤرخ ، أو سجلات عبر الإنترنت تحتوي على طابع زمني.
  3. ما قيل لهم في ذلك الوقت - نسخة رئيسية من المستند أو نموذج التقاط البيانات التي تحتوي على بيان الموافقة المستخدم في ذلك الوقت ، إلى جانب أي سياسة خصوصية منفصلة ، بما في ذلك أرقام الإصدارات والتواريخ التي تطابق تاريخ الموافقة. إذا تم منح الموافقة شفهيًا ، فيجب أن تتضمن سجلاتك نسخة من البرنامج النصي المستخدم في ذلك الوقت.
  4. كيف وافقوا - للحصول على موافقة كتابية ، نسخة من المستند أو نموذج التقاط البيانات ذات الصلة. إذا تم منح الموافقة عبر الإنترنت ، يجب أن تتضمن سجلاتك البيانات المقدمة بالإضافة إلى طابع زمني لربطها بالإصدار ذي الصلة من نموذج التقاط البيانات. إذا تم منح الموافقة شفهيًا ، فيجب أن تحتفظ بهذا في وقت المحادثة - لا يلزم أن تكون سجلًا كاملاً للمحادثة.
  5. ما إذا كان قد سحب موافقة - وإذا كان الأمر كذلك ، متى.

موافقات الأطفال

إذا كانت معالجة البيانات تستهدف الأطفال وتعتمد على موافقة الأطفال ، فعندئذ تحتاج منظمة المعالجة إلى النظر في اتباع متطلبين.

  1. تنفذ آلية التحقق من العمر.
  2. تحقق من مسؤولية الوالدين

بالإضافة إلى ذلك ، يجب عليك التأكد من فهم الأطفال للموافقة جيدًا.

بدائل للموافقة

عندما تكون الموافقة هي الأساس غير المناسب لإضفاء الشرعية على المعالجة ، يمكن استخدام أحد الأسس الخمسة التالية.

  1. عقد مع الفرد
  2. الامتثال لالتزامات قانونية.
  3. المصالح الحيوية.
  4. مهمة عامة.
  5. المصالح المشروعة.

قائمة مرجعية للموافقة

يمكن استخدام قائمة مراجعة الموافقة التي ينشرها مكتب مفوض المعلومات في المملكة المتحدة لضمان التحقق مما إذا كانت موافقتك متوافقة مع إجمالي الناتج المحلي أم لا.

طلب الموافقة

  1. لقد تحققنا من أن الموافقة هي الأساس القانوني الأنسب للمعالجة؟
  2. لقد جعلنا طلب الموافقة بارزًا ومنفصلًا عن البنود والشروط الخاصة بنا؟
  3. نطلب من الناس أن تختار بشكل إيجابي؟
  4. لا نستخدم الصناديق المحددة مسبقًا أو أي نوع آخر من الموافقة افتراضيًا؟
  5. نستخدم لغة واضحة وسهلة الفهم؟
  6. نحدد لماذا نريد البيانات وماذا سنفعل بها؟
  7. نعطي خيارات الحبيبية للموافقة على عمليات المعالجة المستقلة؟
  8. لقد قمنا بتسمية منظمتنا وأي جهات خارجية؟
  9. نقول للأفراد أنهم يستطيعون سحب موافقتهم؟
  10. نحن نضمن أن الفرد يمكن أن يرفض الموافقة دون الإضرار؟
  11. نحن لا نجعل الموافقة شرطا مسبقا للخدمة؟
  12. إذا قدمنا ​​خدمات عبر الإنترنت مباشرة إلى الأطفال ، فإننا نسعى فقط للحصول على موافقة إذا كان لدينا إجراءات للتحقق من العمر وموافقة الوالدين؟

تسجيل الموافقة

  1. نحافظ على سجل متى وكيف حصلنا على موافقة الفرد؟
  2. نحن نحتفظ بسجل لما قيل لهم بالضبط في ذلك الوقت؟

إدارة الموافقة

  1. نقوم بمراجعة الموافقات بانتظام للتأكد من أن العلاقة والمعالجة والأغراض لم تتغير؟
  2. لدينا عمليات معمول بها لتحديث الموافقة على فترات زمنية مناسبة ، بما في ذلك أي موافقة الوالدين؟
  3. نحن نعتبر استخدام لوحات معلومات الخصوصية أو غيرها من أدوات إدارة التفضيلات مسألة ممارسة جيدة؟
  4. نحن نجعل من السهل على الأفراد سحب موافقتهم في أي وقت ، ونشر كيفية القيام بذلك؟
  5. نحن نتصرف في عمليات سحب الموافقة في أسرع وقت ممكن؟
  6. لا نعاقب الأفراد الذين يرغبون في سحب الموافقة

المراجع

  • إرشادات موافقة الناتج القومي الإجمالي - https://ico.org.uk/about-the-ico/consultations/gdpr-consent-guidance/
  • تحذر ICO الشركات البريطانية من احترام رغبات العملاء في البيانات لأنها تغريم شركة Flybe و Honda - https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/03/ico -warns-المملكة المتحدة-شركات إلى احترام عملاء-رغبات البيانات كما هو وذلك-الغرامات التي flybe و-هوندا /