Sergey Voronkevich,工商管理硕士,CIPP / E复制并生成隐私策略
复制模板隐私策略或使用生成器(自动编译)是非常常见的做法。 实际上,在某些情况下,这可以节省复制很多站点通用的重复信息的时间。 但这仅在您从可靠的来源复制它或使用高质量的生成器时才成立。
复制
如果您仍然复制模板隐私政策,则需要仔细检查本文档是否符合GDPR第13和14条(通用数据保护法规-欧盟保护个人数据的通用法规),以及更改每个公司各自的段落:
- 加工目标
- 合法的加工基地
- 处理时间
很难找到与您公司的所有流程同时符合GDPR的隐私政策。 即使是欧洲公司,大多数隐私政策也不符合GDPR。
复制的隐私权政策可能包括处理公司没有或不可能的个人数据。 这在数据主体权利的实现中产生了很大的问题。 例如,您的服务的用户想要行使其数据可移植性的权利,但是您却无法实现。
另请注意,许多隐私政策模板是根据其他法律编写的。 在很多情况下,在其中插入“ GDPR”一词而不是另一种规范性法律行为。
结果,当您自己编写策略或咨询专家会更快(或更便宜)时,您将花费更多时间查找和编辑模板。
发电机
假设您找到一个质量隐私策略生成器。 为了使其生成现成的版本,您仍然必须详细描述您的流程,制定目标并概述法律依据。 通常,不可能将有关个人数据处理的所有各种信息添加到隐私策略生成器。 在某些情况下,例如专业的Signatu生成器,可以做到这一点,但是要生成某些内容,您将不得不回答许多需要深入了解GDPR的复杂问题。
制定隐私政策
如果您将使用平台与购买药品进行比较,则隐私政策是带有说明的插入内容。 通过此说明,用户可以知道如何正确使用该药并且不会伤害自己。
同样,隐私策略也应起作用。 本文档主要是为用户编写的。 当您联系律师时,请记住这一点。 隐私政策应以读者可以理解的语言编写。
在设计隐私策略时,首先,请参考适用于您的处理的法律。 在这里,您将找到需求并了解需要在文档中指出哪些信息。 在本文中,我们谈论的是GDPR。
关于GDPR隐私政策内容的基本要求包含在第11条中。 规则第13和14条,以及泛欧洲监督机构第29条工作组对“
透明度准则 ”的解释。 文档的末尾是一个表格,您可以通过该表格检查您的隐私政策。
在起草政策时,当编译器将处理数据的类别与目标分开描述,将目标与法律依据(同意,合法权益,合同,法律要求等)分开描述时,将有关单个处理的信息分散在不同的部分中是错误的。 禁止这样做,因为不清楚个人(数据主体)出于何种目的处理了哪些数据类别。 如果您在街上去路人询问电话,情况也是如此。 他有一个合理的问题:“为什么?” 他将根据您的使用方式决定是否提供电话。 同样,用户同意根据您的目标处理个人数据。
换句话说,最好为个人待遇构造隐私政策的文本。
例如,在2019年初,GOOGLE被法国主管CNIL罚款5,000万美元。 违法行为之一是关于处理目的,存储期限,要处理的个人数据类别的重要信息分散在不同的文档中。 结果,数据主体需要采取5到6个动作才能获得必要的信息。
值得注意的是,隐私政策本身只是冰山一角。 在编写隐私策略之前,您需要执行以下步骤:
- 编制个人数据处理登记簿(《规则》第30条)。
- 制定加工目标。 例如,您问负责部门为什么处理这些数据。 事实证明,他们“为将来”收集了一些数据,但现在没有特定的目标。
- 选择加工的法律依据(《规则》第6条)。 这个阶段不仅是“甘菊算命”,而且是一个复杂的法律分析。
- 确定每个过程的处理时间;
- 您可以访问其个人数据的第三方(外包商,合作伙伴,供应商,提供商)的清单。
这些早期阶段的错误通常在隐私权政策中清晰可见。
使用不正确的隐私政策的风险
- 经主管检查后处以罚款。 这是2,000万欧元,占公司全球总营业额的4%。
- 向不了解您的隐私政策的数据主体提出投诉 。 接下来会发生什么-请参阅第1段。
- 声誉受损 。 隐私政策中存在明显错误可能会降低上市公司的报价。 投资者担心的不是公司违反任何规则,而是有受到巨大制裁的风险。 公司的任何股东都不会意识到这种风险,并且交易对手当然不会因您破产而感到高兴。
- 如果您错误地选择了法律依据,则数据主体可能拥有权利,该权利的实施实际上会阻止您公司中的流程 。 例如:您选择同意作为仅在可能签订合同的情况下进行处理的法律依据。 如果用户撤回其同意,则您将无法向其提供服务。 最后,您发现自己处于法律陷阱中:一方面,您需要实现被遗忘的主题的权利,另一方面,要使他受到青睐。 不要赋予他被遗忘的权利-您将被罚款,也不能为他提供服务-根据与该实体签订的合同,您将受到制裁。
因此,隐私政策:
- 它是针对特定组织的流程而单独开发的,
- 它以易于理解的语言编写,结构清晰,
- 距离首次活动不远的众多活动中只有一个,
- 是GDPR时代公司生存所必需的,并且
- 不原谅错误。