Давайте все позаботимся о том, чтобы оценить мнение в кабине для социальных сетей British Airways, где сотрудники угольной площадки в Twitter-аккаунте авиакомпании руководствуются дико необычной «интерпретацией» новых правил защиты данных в Европе.
Тот факт, что, er, предлагает совершенно противоположное соблюдению требований ВНП … Учитывая, что сотрудники социальной сети компании были застигнуты непреднамеренно, побуждая клиентов публиковать персональные данные (например, их адрес и номер паспорта) на публичный форум, не сделав ясно, что они должны отправлять информацию только через DM (то есть, а не публиковать его публично в Twitter, как это, по-видимому, некоторые) — и вот анти-личная вишня! — заявив, что это необходимо для соблюдения ВНП
Вставьте свой [facepalm of choice] …
Спустя несколько часов сотрудники социальных сетей BA осознали свою ошибку, хотя, уточняя в последующем твиттере, чтобы клиенты «отправили эту информацию нам в прямом сообщении» …
В заявлении BA сказал нам: «Мы очень серьезно относимся к защите данных наших клиентов. Мы никогда не будем просить клиентов публично публиковать личную информацию. Когда будет произведена настоящая ошибка, мы всегда будем обращаться к клиенту, чтобы уточнить это ».
«Наши коллеги из социальных сетей внимательно следят за 2000 запросами в день, и, как и все команды обслуживания клиентов, мы всегда стараемся подтвердить, что мы говорим с нужным человеком, прежде чем вносить какие-либо изменения в их бронирование», — добавил он.
Так ясно, что компания не собиралась, что случилось.
Однако Мустафа Аль-Бассам, студент PhD по информационной безопасности UCL, который помешал социальным сетям компании, не смог выполнить вышеуказанную тему Twitter, с тех пор подал свою собственную жалобу на защиту данных в отношении British Airways — после того, как на ее странице регистрации произошла утечка личных данных данные для группы третьих сторон для целей таргетинга объявлений.
Теперь, когда может быть в порядке — скажем, если компания попросила и получила согласие на обмен его данными . Или если у него есть еще одна действительная правовая основа для сбора данных, то есть иного, чем согласие. Хотя довольно сложно представить, что могло бы юридически оправдывать личную связь с персональной информацией и данными о поездках клиентов с рекламодателями без их прямого согласия …
Ну, Аль-Басам говорит, что его не просили дать согласие на обмен информацией с рекламодателями. И если вы обрабатываете данные по соглашению, поскольку политика конфиденциальности British Airways, по-видимому, предполагает, что компания считает что она здесь делает — тогда GDPR действительно требует от вас на самом деле спросите для и фактически получить согласие сначала.
Руководство Уполномоченного по информации Комиссара по соглашению на самом деле заявляет [emphasis ours]:
Согласие означает предоставление людям подлинного выбора и контроля в отношении того, как вы используете свои данные. Если у человека нет реального выбора, согласие не предоставляется свободно, и оно будет недействительным.
Это означает, что люди должны иметь возможность отказаться от согласия без ущерба и должны быть в состоянии легко снять согласие в любое время. Это также означает, что согласие должно быть отделено от других условий и условий (включая предоставление отдельных гранулярных вариантов согласия для разных видов обработки), где это возможно.
. ВПЧ ясно, что согласие не должно быть объединено как условие обслуживания, если это необходимо для этой службы :
Статья 7 (4) гласит:
«При оценке того, дано ли согласие свободно, предельная учетная запись должна быть принята за то, что … выполнение контракта, включая предоставление услуги, обусловлено согласием на обработку персональных данных, что не является необходимым для выполнения этого контракта ».
И в Речитате 43 говорится:
«Согласие, как предполагается, не предоставляется свободно … если исполнение контракта, включая предоставление услуги, зависит от согласия, несмотря на то, что такое согласие не является необходимым для такого исполнения».
tl; dr: Согласие по умолчанию — это не согласие. Согласие должно быть предложено как беспроблемный, бесконфликтный выбор, и выбор также должен быть информированным и явным.
Итак, если BA пытается связать согласие на таргетинг объявлений с данными своих клиентов в другую цель, которая может быть проблематичной. Скажите, например, путем вложения общего «согласия» в глубину политики конфиденциальности. (Подсказка: Нет. Согласие на объединение не соответствует требованиям ВНП. Согласие должно быть информированным и явным, а связывание — не так.)
Аналогичным образом, мы также не рекомендуем просто громко говорить слово «GDPR» три раза, глядя в зеркало и надеясь, что это согласие. Поскольку соблюдение ВНП не означает того, что вы надеетесь на соответствие требованиям ВНП.
Представительница БА сообщила нам, что компания просит дать согласие на обмен персональными данными клиентов с сторонними рекламодателями через свою политику Cookies.
Здесь, в разделе о маркетинге, политика заявляет [emphasis ours]:
Файлы cookie используются для предоставления нам соответствующих сообщений. Например, к:
- разрешить ba.com предоставлять различные версии страницы для маркетинговых целей
- приглашения на ba.com для мгновенной кредитной карты предлагает
- позволяют третьим сторонам отображать соответствующую рекламу и отслеживать ее эффективность
- отображать сообщения, которые предлагают выбор продуктов на основе того, что вы просматриваете на ba.com, которые представлены вам нашим агентством при посещении других выбранных веб-сайтов. Это называется онлайн-поведенческой рекламой. Для получения дополнительной информации см. Что такое онлайн-поведенческая реклама?
В политике указано, что BA использует файлы cookie для четырех целей: технический (например, балансировка трафика веб-сайта); простота использования (например, запоминание выбора языка посетителя сайта); отслеживание (для сбора статистики сайта); и — uh — для маркетинга.
. В последнем случае компания указывает, что его файлы cookie используются для предоставления ему «соответствующих сообщений» посетителям сайта, например, для обслуживания различных версий своего веб-сайта в целях маркетинга; и — акцент нашей — на позволяет третьим сторонам отображать соответствующую рекламу и отслеживать ее эффективность .
Итак, если вы согласны с политикой Cookies BA, ваши данные будут переданы сторонним рекламодателям.
. Как тогда клиенты BA отказываются от предоставления своей личной информации рекламодателям? Компания предлагает изменить настройки в своем браузере, чтобы отказаться принимать файлы cookie. «Для получения дополнительной информации о том, как отказаться от куки-файлов, обратитесь к разделу« Справка »вашего браузера или посетите сайт www.allaboutcookies.org», — пишет он в своей политике Cookies.
«Вы можете отказаться от этого типа рекламы на постоянной основе, перейдя по ссылке http://www.networkadvertising.org/choices», а также предупреждает, что пользователи, удаляющие свои файлы cookie, также удалят свою способность знать они отказались от рекламы ", поэтому баннеры от нашей сторонней компании появятся снова, когда вы посетите другие выбранные веб-сайты".
?
Отвечая на вопрос, может ли компания дать какое-либо руководство по ВВП, представитель сторожевого устройства по защите данных Великобритании сказал нам: «Любая личная информация, которую запрашивает организация, должна быть ограничена тем, что необходимо для этой цели. Любая обработка этой информации должна быть безопасной и принимать соответствующие технические и организационные меры предосторожности ».
Веб-сайт ICO содержит множество экспертных рекомендаций для компаний, пытающихся выяснить, как соблюдать GDPR, — и даже включает этот очень конкретный пример того, как не получить согласие [emphasis ours] …
Интернет-магазин мебели требует, чтобы клиенты соглашались на то, что их данные будут переданы другим магазинам одежды в рамках процесса оформления заказа. Магазин соглашается с условием продажи — но обмен данными с другими магазинами не требуется для этой продажи, поэтому согласие не предоставляется свободно и недействительно . Магазин может попросить клиентов дать согласие на передачу своих данных указанным третьим лицам, но он должен разрешить им свободный выбор выбора или выхода.
Конечно, авиакомпания ни в коем случае не единственная компания, которая не может полностью оценить ВВП. Регулирование по-прежнему довольно новое (вступившее в силу 25 мая), и, очевидно, много ДТП, которые все еще будут устранены во всем онлайн-месте.
Некоторые из них — случайные и / или идиотские перегибы. В то время как другие выглядят намного больше, как преднамеренное деформирование правил (привет Facebook!). Но учитывая, что режим GDPR также поддерживает штрафные штрафы за нарушения соблюдения (привет судебных исков!), Следует надеяться, что ни одна из этих неприкосновенностей не удастся — случайная, эффектно глупая, преднамеренно враждебная или иначе — будет слишком долго.
Этот отчет был обновлен, чтобы указать, что сотрудники социальной сети BA впоследствии информировали клиентов о том, что они должны отправлять свои персональные данные через DM, а также включать заявления от компании и данные из своей политики Cookies
Загрузка...
