此編輯摘錄自 Sachiko Scheuing 的《如何使用客戶資料》© 2024,並經 Kogan Page Ltd 授權轉載。
您使用個人資料嗎?
我敢打賭你會的,否則你就不會讀這本書。 如果您的公司將個人資料用於行銷、會計、人力資源或任何其他目的,您需要隱私權政策。
傳統的資料保護和資訊自決方法表明,只有在您了解資料將如何使用的情況下,才可能對您自己的資料進行有意義的控制。
在澄清法律範圍和不同定義後,GDPR 在其文本中確立的首批規則之一是第 5 條(legislation.gov.uk,2016):
1. 個人資料將是:
(a) 合法、公平、透明地對待資料主體(「合法性、公平性和透明度」)。
這項要求導致需要隱私權聲明。
公司,特別是當他們是資料控制者時,必須對其資料的使用負責並製定隱私權聲明。 GDPR 第 24(2) 條也規定了這項要求(legislation.gov.uk,2016)。
本文討論的是自動化個人決策的主題,包括分析,不是用於自動選擇要顯示的廣告等的行銷分析,而是可能對人們產生嚴重影響的分析。
第 24(2) 條規定,只有實施適當的資料保護政策(包括隱私權聲明)才能滿足此要求(legislation.gov.uk,2016)。
無論如何,隱私權聲明是一份重要文件。 GDPR 專門撰寫了兩篇文章來列出您需要在隱私權政策中發布的準確資訊; 第 13 條規定了直接從消費者收集資料的要求,第 14 條規定了間接收集資料的情況的要求(legislation.gov.uk,2016)。
誰會閱讀您的隱私權聲明?
就食品標籤而言,是我作為顧客檢查特定成分時閱讀了此內容。 有沒有想過誰會閱讀您的隱私權聲明?
客戶和潛在客戶是一個明顯的利害關係人群體,他們擔心資料到達您手中後會發生什麼情況。 隱私權活動人士和消費者保護組織也可能正在審查您的隱私權聲明。
資料保護領域的作者和學術研究人員發現它是一個很好的資訊來源,可以了解公司如何使用個人資料。 正在處理涉及您公司的案件的監管機構、法官和律師也對您的隱私權聲明擁有既得利益。
您的企業形象取決於您的隱私權聲明的內容。 企業對企業和企業對消費者市場的客戶都密切注意您的隱私實踐。
您公司的業務合作夥伴和供應商通常會在盡職調查問卷中詢問有關您的隱私權聲明的問題,從而正式審查您公司的資料保護合規性。
無論讀者是誰,這都是各種利益相關者的另一個“接觸點”,包括客戶和合作夥伴等創收方。
您希望他們對您的隱私做法有良好的印象,而您必須在隱私權聲明中展示這一點的第一個機會。 用 ICO 的話來說,良好的隱私聲明「有助於建立信任、避免混淆並讓每個人都知道會發生什麼」。 (ICO,2023)
我的隱私權聲明應持續多久?
GDPR 希望您起草足夠長的隱私權聲明,以便您能夠正確解釋收集、使用和儲存哪些資料。 這使您的隱私權聲明變得透明。
同時,根據 GDPR 第 12(1) 條(legislation.gov.uk,2016),您的隱私權聲明必須簡潔。 乍一看,這兩個要求似乎是矛盾的。 因此,歐盟監管機構在其透明度指南中給出了一些解釋(WP第29條,2018)。
雖然隱私權聲明旨在為消費者提供對其個人資料做出決策所需的信息,但監管機構也意識到了被稱為「資訊疲勞」或「資訊過載」的現象。 該假設是人類消化資訊的能力有限。
當提供太多資訊時,人們會不知所措並忽略資訊或做出不合邏輯的決定來應對他們所經歷的心理壓力(Simmel,1950;Milgram,1969)。
有兩種策略可以避免這種情況,同時提供所有必要的詳細資訊。
結構清晰
在開始撰寫隱私權聲明之前,請列出您需要在其中提供的所有資訊。 然後考慮如何以合乎邏輯的方式向客戶和其他利害關係人展示它。
在此過程中,您可能需要閱讀主要消費品牌和政府組織的隱私權聲明,並了解他們的隱私權聲明的結構。
您的隱私權聲明很可能是由經驗豐富的內部律師或專門從事資料保護的律師事務所準備的。 這個想法是為了了解大型隱私權聲明的樣子。
您可能還想閱讀競爭對手以及您所在業務領域合作夥伴的隱私權聲明。
詢問您的隱私權人員哪些競爭對手在資料保護實務方面享有良好聲譽,或者您可能已經知道他們是誰。 只需看看他們的隱私權聲明的結構即可。 您也可以簡單地採用 ICO 隱私權政策範本的架構。
無論您做什麼,關鍵是透過賦予隱私權聲明邏輯結構來提高其可讀性。
準備分層隱私權聲明
另一種被監管機構認可的方法是所謂的分層方法(WP 第 29 條,2018 年)。
假設隱私權聲明將在線,您可以透過使用連結使您的隱私權政策具有互動性,以便使用者在需要更多資訊時可以點擊它們,或者如果他們這樣做,可以跳過它們並留在第一級摘要的訊息之上。 希望,就像您使用線上百科全書一樣。
透過這種方式,關鍵資訊得到簡化,隱私權聲明的讀者將對聲明的第一層有一個很好的概述。
監管機構建議在隱私權聲明的第一層中顯示以下資訊(Art 29 WP, 2018,第 19 頁,第 36 段):
- 治療目的詳情
- 資料控制者的身份
- 利害關係人權利說明
- 有關對相關人員影響最大的治療的信息
- 有關治療的資訊可能會讓您感到驚訝。
我什麼時候必須提交隱私權聲明?
必須盡快告知消費者收集了哪些數據,例如出於行銷目的。
當您直接向客戶收集資料時,您必須在收集資料時提交隱私權聲明(請參閱 GDPR 第 13(1) 條;legacy.gov.uk,2016)。
在我們從其他組織(例如公共來源或行銷資料提供者)取得資料許可的情況下,第 14(3)aib 條要求提供以下隱私資訊(legislation.gov. UK,2016):
- 考慮到處理個人資料的具體情況,在取得個人資料後的合理時間內,但不遲於一個月;
- 若個人資料用於與資料主體進行通信,則最晚在與該資料主體首次通信時; 或者
- 如果預計會向其他接收者揭露,則最遲在首次揭露個人資料時。
簡而言之,對於除聯繫數據之外的許可數據,必須在一個月內傳達隱私權聲明。
如果您使用姓名、電話號碼、電子郵件地址和實際地址等聯絡方式,則必須在第一次向他們發送商業訊息時向他們提供隱私權聲明。
實際上,公司會在電子郵件中嵌入隱私權聲明的連結或在直郵郵件上列印此連結以滿足此要求。
參考:
- WP (2018) 第29 條資料保護工作第29 條,WP260 rev.01 第2016/679 號條例下的透明度準則,於2017 年11 月29 日批准,最後一次修訂並於2018 年4 月11 日通過,https://ec.europa.eu / newsroom/article29/items/622227(存檔於https://perma.cc/4HWYURKL)
- ICO (2023) 英國資訊專員辦公室:詳細的透明度直接行銷指南,https://ico.org.uk/for-organizes/advice-for-smallorganizations/frequently-asked-questions/transparency- cookies-and-privacynotices/ (存檔於 https://perma.cc/K3ZR-T7E5)
- 立法.gov.uk (2016) “歐洲議會和理事會條例 (EU) 2016/679,2016 年 4 月 27 日,www.legislation.gov.uk/eur/2016/679/contents(存檔於 https: / /perma.cc/NVG6-PXBQ)
- Milgram, S (1969) 城市生活的經歷, 科學 167, 1461–1468
- Simmel, G (1950)《大都會與靈修生活》,載於 KH Wolff(編), 格奧爾格·齊美爾的社會學自由新聞社,紐約,美國。
要閱讀整本書,SEJ 讀者可以享受獨家 25% 折扣代碼,並且美國和英國免運費。 使用促銷代碼 SEJ25 請造訪 koganpage.com。
更多資源:
特色圖片:Rawpixel.com/Search Engine Journal
