Калі вы збіраеце, маеце доступ або іншым чынам выкарыстоўваеце персанальныя дадзеныя людзей (напрыклад, праз апытанкі ці формы рэгістрацыі), вам неабходна звярнуць увагу на адпаведнасць GDPR — Агульнага рэгламенту Еўразвязу аб абароне персанальных дадзеных — і прынцыпам прыватнасці дадзеных. Невыкананне можа паўплываць на давер людзей да вас, а ў некаторых выпадках можа паставіць пад пагрозу іх лічбавыя правы і свабоды. Пры апрацоўцы асабістых дадзеных з выкарыстаннем форм варта звярнуць увагу на некалькі важных момантаў.
Мінімізацыя збору, захоўванне і выдаленне дадзеных
- Не прасіце непатрэбных рэчаў. Як любая апрацоўка персанальных дадзеных, кожнае пытанне, якое запытвае персанальную інфармацыю, павінна мець дакладную мэту. Напрыклад, калі вам трэба ведаць сярэдні ўзрост вашай аўдыторыі, запытвайце ўзроставыя групы, а не дакладны ўзрост. Ці, калі вам трэба пацвердзіць, што вашай аўдыторыі больш за 18 гадоў, запытайце год нараджэння, а не дакладную дату нараджэння.
- Калі можаце — не збірайце электронныя адрасы. Часта падчас правядзення апытанак нам не трэба ведаць, хто менавіта на іх адказаў (напрыклад, калі мы збіраем статыстычныя дадзеныя). У такіх выпадках лепш наогул не збіраць адрасы электроннай пошты.
- Калі вам усё ж такі патрэбныя адрасы электроннай пошты — пераканайцеся, што вы ўсталявалі для іх тэрмін выдалення і пазбаўцеся ад гэтых імэйлаў як мага хутчэй.
- І наогул — выдаліце ўсе персанальныя дадзеныя, калі скончыце працу з вашай апытанкай. Не забывайце пра гэта! Або ананімізуйце іх, але звярніце ўвагу, што толькі тады дадзеныя з’яўляюцца ананімнымі, калі немагчыма нікога ідэнтыфікаваць па гэтых дадзеных. Ананімізацыя патрабуе вопыту і дакладнасці, таму часта прасцей выдаліць дадзеныя.
- Пазбягайце слова «ананімны», калі вы апісваеце сваю апытанку (нават калі вам здаецца, што апытанка ананімная), лепш скажыце — «мы не даведаемся, хто вы». Слова «ананімны» мае юрыдычныя наступствы, і зрабіць дадзеныя насамрэч ананімнымі звычайна значна цяжэй, чым мы думаем.
- Калі вы збіраеце дадзеныя аб людзях, якіх вы ўжо ведаеце і маеце іншыя дадзеныя пра іх, аддзяліце іх і захоўвайце ў розных месцах, каб вы (ці іншыя) не маглі супаставіць інфармацыю і атрымаць яшчэ больш дадзеных пра людзей.
- Скараціце колькасць свабодных тэкставых адказаў да мінімуму. Пытанне з варыянтамі адказаў больш абараняе прыватнасць, таму што ў людзей менш шанцаў падзяліцца чымсьці па неасцярожнасці.
- Калі вы запытваеце дадзеныя спецыяльных катэгорый (з пункту гледжання права, ёсць 7 катэгорый, якія лічацца спецыяльнымі: расавае і этнічнае паходжанне, дадзеныя аб стане здароўя, дадзеныя пра сексуальную арыентацыю або сексуальнае жыццё, дадзеныя пра сяброўства ў прафсаюзах, палітычныя погляды, рэлігійныя або філасофскія перакананні) — трэба быць асабліва ўважлівымі, таму што па законе гэтыя дадзеныя павінны быць яшчэ больш абаронены. Калі вы можаце, звярніцеся па дапамогу да спецыяліст_ак па прыватнасці пры апрацоўцы такіх катэгорый дадзеных, таму што іх апрацоўка часта з’яўляецца незаконнай.
- Майце на ўвазе, што ёсць краіны, дзе законам забаронена задаваць пэўныя пытанні. Напрыклад, у Францыі нельга пытацца аб этнічным паходжанні, расе або рэлігіі, нават ананімна.
Празрыстасць апрацоўкі дадзеных
- Важна памятаць пра прайвасі правы. Нават калі ваша ўзаемадзеянне з чалавекам абмяжоўваецца толькі адзінай апытанкай, вам усё роўна трэба забяспечыць такія правы, як, напрыклад, права на выдаленне дадзеных ці права на доступ да дадзеных.
- Будзьце празрыстымі ў дачыненні да персанальных дадзеных, якія вы апрацоўваеце. Дадайце ў пачатку формы паведамленне з інфармацыяй аб тым, хто вы (юрыдычна: кантралёр даных), з вашым кантактам, аб мэтах апрацоўкі дадзеных, а таксама інфармацыю аб тым, калі даныя будуць выдалены. Напрыклад,
«Гэтая апытанка арганізавана арганізацыяй ACME, якая з’яўляецца кантралёрам персанальных дадзеных у гэтым праекце і, такім чынам, нясе адказнасць за мэты і сродкі апрацоўкі дадзеных, а таксама адказнасць за правы асоб. Вы можаце звязацца з намі па адрасе [email protected]. Мэта гэтай апытанкі — сабраць водгукі аб мерапрыемстве XYZ і палепшыць нашыя мерапрыемствы ў наступны раз. Нам патрэбны ваш адрас электроннай пошты, каб звязацца з вамі на выпадак, калі мы захочам адрэагаваць на зваротную сувязь. Мы будзем з павагай ставіцца да ўсёй прадстаўленай вамі інфармацыі і выдалім яе пасля збору і аналізу неабходнай зваротнай сувязі не пазней за 3 месяцы пасля таго, як вы дасце адказ. Вы можаце прачытаць больш пра тое, як ACME абыходзіцца з вашымі персанальнымі дадзенымі і пра вашыя правы тут [устаўце спасылку на вашу палітыку прыватнасці]»
- У такім паведамленні няма неабходнасці пісаць, што вашая дзейнасць адпавядае GDPR (гэта было б падобна на тое, каб напісаць «мы плацім зарплату ўсім супрацоўні_цам» на вашай старонцы з вакансіямі). Тым не менш, вельмі важна дакладна вызначыць мэты анкеты і збору дадзеных. Калі вы хочаце атрымаць статыстычныя дадзеныя, скажыце, што мэта — збор статыстычных дадзеных па пытанні X. Калі вы збіраеце дадзеныя для рэгістрацыі людзей на мерапрыемства, скажыце гэта. І гэтак далей. Простая фраза «мы збіраем вашыя дадзеныя для мэт нашага праекта» недастаткова канкрэтная і можа выклікаць юрыдычныя пытанні.
Згода на апрацоўку дадзеных
- Памятайце, што вам не на кожную апрацоўку дадзеных патрэбна згода. Існуе 6 юрыдычных падстаў для апрацоўкі персанальных дадзеных (напрыклад, юрыдычны абавязак, дамова, легітымны інтарэс, і г.д.), і згода толькі адна з іх. Прычым, часам збіраць згоду нават не будзе мець ніякай юрыдычный моцы, бо абавязковыя ўмовы згоды будзе немагчыма выканаць — напрыклад, яе адклікаемасць.
- Важна, што разам з паведамленнем пра прыватнасць нельга збіраць згоду на апрацоўку дадзеных, калі яна вам усё ж патрэбна. Каб згода на апрацоўку персанальных дадзеных была адпаведная GDPR, яна павінна быць: асобная, інфармаваная, адклікаемая, вольна дадзеная.
Напрыклад ня варта рабіць вось так:
Запаўняючы гэтую форму вы аўтаматычна пагаджаецеся на тое, што вашыя дадзеныя будуць апрацоўвацца ў мэтах маркетэінгу.
Лепш рабіць вось так:
Ці хацелі б вы атрымліваць навіны ад нашай арганізацыі ў форме рассылкі?
- Так
- Не
***
Гэты спіс не з’яўляецца поўным спісам правілаў GDPR, таму што, як і іншыя законы, якія тычацца тэхналогій, GDPR — гэта доўгі, падрабязны і часам складаны тэкст з шэрагам выключэнняў і выключэнняў з выключэнняў. Вось тэкст GDPR з перакладам на розныя мовы, і каметарамі эксперт_ак, які, спадзяюся, дапаможа вам больш разабрацца з тэмай.
Больш пра анлайн прыватнасць і тое, як адпавядаць GDPR можна прачытаць у іншых нашых артыкулах:
- Чаму і як нам трэба клапаціцца пра прыватнасць персанальных дадзеных
- 8 крокаў да GDPR у некамерцыйнай арганізацыі
Тэкст: Марыя Арнст
*Гэты артыкул зроблены ў межах серыі сумесных дзеянняў ІншыЯ, Human Constanta і Кібер Бабёр па прасоўванні тэмаў прыватнасці і працы з персанальнымі дадзенымі сярод грамадскіх арганізацый і ініцыятыў.