文章
  • 文章
科技

数据隐私101:什么是隐私声明?

发布于2019年1月22日下午2点18分
更新时间:2019年1月22日下午2:18

我们生活在一个个人数据非常有价值的时代,现在许多商业模式和经济实际上是围绕其收集和使用而建立的。 为了防止或至少阻止滥用,政府制定了旨在规范这种现象的法律。 菲律宾有第10173号共和国法案或2012年数据隐私法案(DPA),国家隐私委员会(NPC)负责监督其正确实施。

对许多人来说,理解法律的许多规定并将DPA合规性转化为组织的日常运作是一项艰巨但必要的任务。

为了解决这个问题,我们直接找到了消息来源,并签了两位专家--Jate Jacob,Ateneo de Manila大学的数据保护官和NPC隐私政策办公室的前负责人; 和全国人大政策与规划副私隐专员常春藤帕图。

从两个有利位置可以看出,这两个文章将起到一系列文章的作用,这些文章涉及法律的各种合规要素,并以FAQ形式呈现。 在本期中,他们谈论隐私声明。

在这里,他们讨论隐私声明,该声明说明了代理机构或组织如何收集,使用和保护用户数据。 在本文的最后,您将找到数据隐私选项中其他文章的链接。

什么是隐私声明?

Ivy 一份关于代理或组织的数据处理活动的声明。 除其他外,它提供有关所涉及的个人数据类别,处理目的和程度以及确保其受到保护的保障措施的信息。

在该机构方面,隐私声明表明其在进行数据处理时对透明度和公平性的承诺。 它也是维护个人与其个人数据相关的特定权利(即被告知)的有效手段。

要求隐私声明的基础是什么?

Jam 使用隐私声明符合个人数据处理中的透明度和公平原则。 透明度是健全的隐私管理计划的核心。 除少数情况外,很难想象一个适当的数据保护制度,即个人对他或她的个人数据被他人收集和使用的方式一无所知。

类似地,公平性要求向个人提供关于拥有其个人数据的实体的数据处理系统的合理数量的信息。 有了这样的知识,他或她就能够有效地行使自己作为数据主体的权利。

常春藤 和平协议” 第11节规定了透明度原则。 同样的条款还规定,个人信息应得到公平合法的处理。 这些原则隐含的要求是声明和指定实体处理个人数据的目的。

同时,DPA还认为,个人有权了解他或她的个人信息正在被处理的事实,这种处理的程度以及其他相关信息。 一举遵守这些规定的一种方式是通过隐私声明。

隐私声明应包含哪些内容?

Jam 根据DPA,适当的隐私声明回答了与数据处理系统有关的以下问题:(1)谁是控制处理的实体(即个人信息控制器,或PIC); (2)正在收集或生成哪些个人数据; (3)处理的目的是什么; (4)谁有权访问数据; (5)与谁共享数据(如果有的话); (6)数据保留多长时间。

此外,它还应包含关于数据主体权利以及如何行使这些权利的声明。 然后,当然,PIC的联系信息也应该在混合中。

在提出隐私声明时通常会遇到哪些问题?

常春藤 有些公司忽视了隐私声明的主要目的。 拿出一份文件并称之为一个文件是不够的。 必须有真正的愿望来正确地告知数据主体。 这意味着精心选择适当的媒介来传递通知。

在某些情况下,彩色海报或视频剪辑可能比没有人阅读的非常长的文本更引人注目。 在内容方面,只有在机构或公司的实际数据处理操作明确之后,才应制定隐私声明。 需要考虑的一些事项包括数据清单,目的和处理基础的记录以及处理活动的记录。

Jam 在与不同的组织合作时,我可以回忆两个反复出现的问题:

  • 复制粘贴心态 有些人认为他们可以简单地从其他公司的隐私声明中提起话语并将其变为自己的。 他们不打算检查它是否也准确地描述了他们的数据处理活动。 这不仅违背了透明度的目的,而且模仿者也可能被指控故意欺骗数据主体。

  • 隐私声明与同意书 有些公司将一方混为一方。 他们最终要求同意处理他们可以在没有它的情况下合法进行的活动。 在这种情况下,数据主体可能不介意,但如果遇到不愿意同意的个人,它可能会给公司带来很大的问题。

    同时,一些公司喜欢将两者结合起来。 另一方面,这不仅是不恰当的,而且通常对数据主体不公平。 如果随意地抛在一起,人们最终会被迫同意他们实际上并不赞同的数据处理活动,因为这些活动只与那些他们需要被告知的人混在一起。

    当然,同意书也是实际上的隐私声明。 这就是获得知情同意的方式。 但是,这与实际结合这两者并不相同。 它们具有不同的目的,并且与数据处理的不同法律基础相关联。

DPA和欧盟的通用数据保护条例(GDPR)是否与有资格成为适当的隐私声明的要求相同?

Jam: DPA和GDPR的要求非常相似。 毕竟,隐私声明确实在两种制度下都有相同的目的。 然而,显着的区别在于,GDPR区分了直接从个人收集个人数据的情况和从其他来源获得个人数据的情况。

如果个人数据是直接从个人获得的,则隐私声明必须具备以下内容:(1)PIC的身份和联系信息; (2)数据保护人员的联系方式; (3)处理目的; (4)处理的法律依据; (5)数据主体的权利; (6)贮存期; (7)数据的接收者,如果有的话; (8)存在自动决策过程(如有); (9)跨境转移数据(如有); (10)进一步处理的信息,如果有的话。

同时,如果从其他来源收集个人数据,则隐私声明具有相同的枚举信息和两个,即:(1)个人数据的类别或描述; (2)数据来源。

你会给那些开发自己隐私声明的人提供哪些建议?

常春藤 这一切都始于保持一个人的处理活动的正确记录。 这证明了合规性并允许开发基于特定实体的实际数据处理活动的隐私声明。 隐私声明本身应该是完整但简洁的。

它应该允许数据主体询问更多信息,或请求更全面的解释。 提交隐私声明的方式也很重要。 实体应该探索创造性的方式来呈现信息,以便它们实际到达目标受众。

最后,隐私声明必须被视为吸引数据主体的绝佳机会。 根据2017年的调查,超过90%的菲律宾人想知道他们的个人数据是如何处理的。 隐私声明解决了这一需求。

最后,值得记住的是,信息隐私是关于允许人们控制自己的个人数据。 它赋予了他们权力。 在这个方案中,有效的隐私声明是赋予人们权力的重要工具。

以前的条目:



- Rappler.com

Ivy Patdu是国家隐私委员会的成员,他是负责政策和规划的副隐私专员。 她还是电子健康隐私专家组的成员,也是Ateneo de Manila法学院和San Beda Law of Law-Alabang的教员。 自2011年以来,她一直致力于数据隐私。

Jam Jacob(@jamjacob)是Ateneo de Manila大学的数据保护官。 他还是民间社会组织媒体替代基金会隐私和监督计划的协调员,并且是政府和私营部门几个组织的顾问。 他曾担任国家隐私委员会隐私政策办公室主任,自2011年以来一直致力于数据隐私。