Human Constanta: Як грамадзкім арганізацыям ладзіць апытанкі і дбаць пра пэрсанальныя зьвесткі

Калі вы зьбіраеце, маеце доступ або іншым чынам выкарыстоўваеце пэрсанальныя зьвесткі людзей (напрыклад, праз апытанкі ці формы рэгістрацыі), вам належыць зьвярнуць увагу на адпаведнасць GDPR — Агульнаму рэглямэнту Эўразьвязу аб абароне пэрсанальных зьвестак — і прынцыпам прыватнасьці зьвестак, піша Human Constanta.

Невыкананьне можа паўплываць на давер людзей да вас, а ў некаторых выпадках можа паставіць пад пагрозу іх лічбавыя правы і свабоды. Пры апрацоўцы асабістых зьвестак з выкарыстаньнем формаў варта зьвярнуць увагу на некалькі важных момантаў.

Тэкст падрыхтавала Марыя Арнст, экспэртка па прыватнасьці пэрсанальных зьвестак

Мінімізацыя збору, захоўваньне і выдаленьне зьвестак

• Не прасіце непатрэбных рэчаў. Як любая апрацоўка пэрсанальных зьвестак, кожнае пытаньне, якое запытвае пэрсанальную інфармацыю, мусіць мець дакладную мэту. Напрыклад, калі вам трэба ведаць сярэдні ўзрост вашай аўдыторыі, запытвайце ўзроставыя групы, а не дакладны век. Ці, калі вам трэба давесьці, што вашай аўдыторыі больш за 18 гадоў, запытайце год нараджэньня, а не дакладную дату нараджэньня. 

• Калі можаце — не зьбірайце электронныя адрасы. Часта ў часе апытанак нам ня трэба ведаць, хто менавіта на іх адказаў (напрыклад, калі мы зьбіраем статыстычныя зьвесткі). У такіх выпадках лепш наогул не зьбіраць адрасы электроннай пошты. 

• Калі вам усё ж такі патрэбныя адрасы электроннай пошты —  пераканайцеся, што вы ўсталявалі для іх тэрмін выдаленьня і пазбаўцеся ад гэтых імэйлаў як мага хутчэй. 

• І наогул — выдаліце ​​ўсе пэрсанальныя зьвесткі, калі скончыце працу з вашай апытанкай. Не забывайце пра гэта! Або ананімізуйце іх, але зьвярніце ўвагу, што толькі тады зьвесткі ёсьць ананімнымі, калі немагчыма нікога ідэнтыфікаваць па гэтых зьвестка'х. Ананімізацыя патрабуе досьведу і дакладнасьці, таму часта прасьцей выдаліць зьвесткі. 

• Унікайце слова «ананімны», калі вы апісваеце сваю апытанку (нават калі вам здаецца, што апытанка ананімная), лепш скажыце — «мы не даведаемся, хто вы». Слова «ананімны» мае юрыдычныя наступствы, і зрабіць зьвесткі насамрэч ананімнымі звычайна значна цяжэй, як мы думаем. 

• Калі вы зьбіраеце зьвесткі аб людзях, якіх вы ўжо ведаеце і маеце іншыя зьвесткі пра іх, аддзяліце іх і захоўвайце ў розных месцах, каб вы (ці іншыя) не маглі супаставіць інфармацыю і атрымаць яшчэ больш зьвестак пра людзей. 

• Скараціце колькасць вольных тэкставых адказаў да мінімуму. Пытанне з варыянтамі адказаў больш абараняе прыватнасьць, бо ў людзей меней шанцаў падзяліцца чымсьці па неасцярожнасьці. 

• Калі вы запытваеце зьвесткі спэцыяльных катэгорыяў (з пункту гледжаньня права, ёсьць 7 катэгорыяў, якія ўважаюцца спэцыяльнымі: расавае і этнічнае паходжаньне, зьвесткі аб стане здароўя, зьвесткі пра сэксуальную арыентацыю або сэксуальнае жыцьцё, зьвесткі пра сяброўства ў прафсаюзах, палітычныя погляды, рэлігійныя або філязофскія перакананьні) — трэба быць асабліва ўважлівымі, бо па законе гэтыя зьвесткі мусяць быць яшчэ больш абароненыя. Калі вы можаце, зьвярніцеся па дапамогу да спецыяліст_ак па прыватнасьці пры апрацоўцы такіх катэгорый зьвестак, бо іхняя апрацоўка часта ёсьць незаконнай. 

• Майце на ўвазе, што ёсьць краіны, дзе законам забаронена задаваць пэўныя пытаньні. Напрыклад, у Францыі нельга пытацца аб этнічным паходжаньні, расе або рэлігіі, нават ананімна. 

Празрыстасьць апрацоўкі зьвестак

• Важна памятаць пра прайвасі правы. Нават калі ваша ўзаемадзеяньне з чалавекам абмяжоўваецца толькі адзінай апытанкай, вам усё роўна трэба забясьпечыць такія правы, як, напрыклад, права на выдаленьне зьвестак ці права на доступ да зьвестак. 

• Будзьце празрыстымі ў дачыненьні да пэрсанальных зьвестак, якія вы апрацоўваеце. Дадайце ў пачатку формы паведамленьне зь інфармацыяй аб тым, хто вы (юрыдычна: кантралёр зьвестак), з вашым кантактам, аб мэтах апрацоўкі зьвестак, а таксама інфармацыю аб тым, калі зьвесткі будуць выдаленыя. Напрыклад, 

«Гэтая апытанка арганізавана арганізацыяй ACME, якая ёсьць кантралёрам пэрсанальных зьвестак у гэтым праекце і, такім чынам, нясе адказнасьць за мэты і сродкі апрацоўкі зьвестак, а таксама адказнасьць за правы асобаў. Вы можаце зьвязацца з намі па адрасе info@acme.com. Мэта гэтай апытанкі — сабраць водгукі аб імпоэзе XYZ і палепшыць нашыя імпрэзы ў наступны раз. Нам патрэбны ваш адрас электроннай пошты, каб зьвязацца з вамі на выпадак, калі мы захочам адрэагаваць на зваротную сувязь. Мы будзем з павагай ставіцца да ўсёй дадзенай вамі інфармацыі і выдалім яе пасьля збору і аналізу неабходнай зваротнай сувязі не пазьней за 3 месяцы па вашым адказе. Вы можаце прачытаць больш пра тое, як ACME абыходзіцца з вашымі пэрсанальнымі зьвесткамі і пра вашыя правы тут [устаўце спасылку на вашу палітыку прыватнасьці]» 

• У такім паведамленьні няма патрэбы пісаць, што вашая дзейнасьць адпавядае GDPR (гэта было б падобна на тое, каб напісаць «мы плацім зарплату ўсім супрацоўні_цам» на вашай старонцы з вакансіямі). Тым не менш, вельмі важна дакладна вызначыць мэты анкеты і збору зьвестак. Калі вы хочаце атрымаць статыстычныя зьвесткі, скажыце, што мэта — збор статыстычных зьвестак па пытанні X. Калі вы зьбіраеце зьвесткі для рэгістрацыі людзей на сустрэчу, скажыце гэта. І гэтак далей. Простая фраза «мы зьбіраем вашыя зьвесткі для мэтаў нашага праекта» недастаткова канкрэтная і можа выклікаць юрыдычныя пытаньні.

Згода на апрацоўку зьвестак

• Памятайце, што вам не на кожную апрацоўку зьвестак патрэбная згода. Існуе 6 юрыдычных падставаў для апрацоўкі пэрсанальных зьвестак (напрыклад, юрыдычны абавязак, дамова, легітымны інтарэс, і г.д.), і згода толькі адна зь іх. Прычым, часам зьбіраць згоду нават ня будзе мець ніякай юрыдычный моцы, бо абавязковыя ўмовы згоды будзе немагчыма выканаць — напрыклад, яе адклікаемасьць.  

• Важна, што разам з паведамленьнем пра прыватнасьць нельга зьбіраць згоду на апрацоўку зьвестак, калі яна вам усё ж патрэбная. Каб згода на апрацоўку пэрсанальных зьвестак была адпаведная GDPR, яна мусіць быць: асобная, інфармаваная, адклікаемая, вольна дадзеная. 

Напрыклад, ня варта рабіць вось так:

Запаўняючы гэтую форму, вы аўтаматычна пагаджаецеся на тое, што вашыя дадзеныя будуць апрацоўвацца ў мэтах маркетынгу. 

Лепш рабіць вось так:

Ці хацелі б вы атрымліваць навіны ад нашай арганізацыі ў форме рассылкі? 

• Так

• Не

***

Гэты сьпіс ня ёсьць поўным сьпісам правілаў GDPR, бо, як і іншыя законы, якія тычацца тэхналёгіяў, GDPR — гэта доўгі, падрабязны і часам складаны тэкст з шэрагам выключэньняў і выключэньняў з выключэньняў. Вось тэкст GDPR з перакладам на розныя мовы, і камэнтарамі эксперт_ак, які дапаможа вам больш разабрацца з тэмай.

Артыкул публікуецца паводле сайту "Х'юман Канстанты".