Калі вы збіраеце, маеце доступ або іншым чынам выкарыстоўваеце персанальныя дадзеныя людзей (напрыклад, праз апытанкі ці формы рэгістрацыі), вам неабходна звярнуць увагу на адпаведнасць GDPR — Агульнага рэгламенту Еўразвязу аб абароне персанальных дадзеных — і прынцыпам прыватнасці дадзеных. Невыкананне можа паўплываць на давер людзей да вас, а ў некаторых выпадках можа паставіць пад пагрозу іх лічбавыя правы і свабоды. Пры апрацоўцы асабістых дадзеных з выкарыстаннем форм варта звярнуць увагу на некалькі важных момантаў.

Мінімізацыя збору, захоўванне і выдаленне дадзеных

• Не прасіце непатрэбных рэчаў. Як любая апрацоўка персанальных дадзеных, кожнае пытанне, якое запытвае персанальную інфармацыю, павінна мець дакладную мэту. Напрыклад, калі вам трэба ведаць сярэдні ўзрост вашай аўдыторыі, запытвайце ўзроставыя групы, а не дакладны ўзрост. Ці, калі вам трэба пацвердзіць, што вашай аўдыторыі больш за 18 гадоў, запытайце год нараджэння, а не дакладную дату нараджэння. 
• Калі можаце — не збірайце электронныя адрасы. Часта падчас правядзення апытанак нам не трэба ведаць, хто менавіта на іх адказаў (напрыклад, калі мы збіраем статыстычныя дадзеныя). У такіх выпадках лепш наогул не збіраць адрасы электроннай пошты. 
• Калі вам усё ж такі патрэбныя адрасы электроннай пошты —  пераканайцеся, што вы ўсталявалі для іх тэрмін выдалення і пазбаўцеся ад гэтых імэйлаў як мага хутчэй. 
• І наогул — выдаліце ​​ўсе персанальныя дадзеныя, калі скончыце працу з вашай апытанкай. Не забывайце пра гэта! Або ананімізуйце іх, але звярніце ўвагу, што толькі тады дадзеныя з’яўляюцца ананімнымі, калі немагчыма нікога ідэнтыфікаваць па гэтых дадзеных. Ананімізацыя патрабуе вопыту і дакладнасці, таму часта прасцей выдаліць дадзеныя. 
• Пазбягайце слова «ананімны», калі вы апісваеце сваю апытанку (нават калі вам здаецца, што апытанка ананімная), лепш скажыце — «мы не даведаемся, хто вы». Слова «ананімны» мае юрыдычныя наступствы, і зрабіць дадзеныя насамрэч ананімнымі звычайна значна цяжэй, чым мы думаем. 
• Калі вы збіраеце дадзеныя аб людзях, якіх вы ўжо ведаеце і маеце іншыя дадзеныя пра іх, аддзяліце іх і захоўвайце ў розных месцах, каб вы (ці іншыя) не маглі супаставіць інфармацыю і атрымаць яшчэ больш дадзеных пра людзей. 
• Скараціце колькасць свабодных тэкставых адказаў да мінімуму. Пытанне з варыянтамі адказаў больш абараняе прыватнасць, таму што ў людзей менш шанцаў падзяліцца чымсьці па неасцярожнасці. 
• Калі вы запытваеце дадзеныя спецыяльных катэгорый (з пункту гледжання права, ёсць 7 катэгорый, якія лічацца спецыяльнымі: расавае і этнічнае паходжанне, дадзеныя аб стане здароўя, дадзеныя пра сексуальную арыентацыю або сексуальнае жыццё, дадзеныя пра сяброўства ў прафсаюзах, палітычныя погляды, рэлігійныя або філасофскія перакананні) — трэба быць асабліва ўважлівымі, таму што па законе гэтыя дадзеныя павінны быць яшчэ больш абаронены. Калі вы можаце, звярніцеся па дапамогу да спецыяліст_ак па прыватнасці пры апрацоўцы такіх катэгорый дадзеных, таму што іх апрацоўка часта з’яўляецца незаконнай. 
• Майце на ўвазе, што ёсць краіны, дзе законам забаронена задаваць пэўныя пытанні. Напрыклад, у Францыі нельга пытацца аб этнічным паходжанні, расе або рэлігіі, нават ананімна. 

Празрыстасць апрацоўкі дадзеных

• Важна памятаць пра прайвасі правы. Нават калі ваша ўзаемадзеянне з чалавекам абмяжоўваецца толькі адзінай апытанкай, вам усё роўна трэба забяспечыць такія правы, як, напрыклад, права на выдаленне дадзеных ці права на доступ да дадзеных. 
• Будзьце празрыстымі ў дачыненні да персанальных дадзеных, якія вы апрацоўваеце. Дадайце ў пачатку формы паведамленне з інфармацыяй аб тым, хто вы (юрыдычна: кантралёр даных), з вашым кантактам, аб мэтах апрацоўкі дадзеных, а таксама інфармацыю аб тым, калі даныя будуць выдалены. Напрыклад, 

«Гэтая апытанка арганізавана арганізацыяй ACME, якая з’яўляецца кантралёрам персанальных дадзеных у гэтым праекце і, такім чынам, нясе адказнасць за мэты і сродкі апрацоўкі дадзеных, а таксама адказнасць за правы асоб. Вы можаце звязацца з намі па адрасе [email protected]. Мэта гэтай апытанкі — сабраць водгукі аб мерапрыемстве XYZ і палепшыць нашыя мерапрыемствы ў наступны раз. Нам патрэбны ваш адрас электроннай пошты, каб звязацца з вамі на выпадак, калі мы захочам адрэагаваць на зваротную сувязь. Мы будзем з павагай ставіцца да ўсёй прадстаўленай вамі інфармацыі і выдалім яе пасля збору і аналізу неабходнай зваротнай сувязі не пазней за 3 месяцы пасля таго, як вы дасце адказ. Вы можаце прачытаць больш пра тое, як ACME абыходзіцца з вашымі персанальнымі дадзенымі і пра вашыя правы тут [устаўце спасылку на вашу палітыку прыватнасці]» 

• У такім паведамленні няма неабходнасці пісаць, што вашая дзейнасць адпавядае GDPR (гэта было б падобна на тое, каб напісаць «мы плацім зарплату ўсім супрацоўні_цам» на вашай старонцы з вакансіямі). Тым не менш, вельмі важна дакладна вызначыць мэты анкеты і збору дадзеных. Калі вы хочаце атрымаць статыстычныя дадзеныя, скажыце, што мэта — збор статыстычных дадзеных па пытанні X. Калі вы збіраеце дадзеныя для рэгістрацыі людзей на мерапрыемства, скажыце гэта. І гэтак далей. Простая фраза «мы збіраем вашыя дадзеныя для мэт нашага праекта» недастаткова канкрэтная і можа выклікаць юрыдычныя пытанні.

Згода на апрацоўку дадзеных

• Памятайце, што вам не на кожную апрацоўку дадзеных патрэбна згода. Існуе 6 юрыдычных падстаў для апрацоўкі персанальных дадзеных (напрыклад, юрыдычны абавязак, дамова, легітымны інтарэс, і г.д.), і згода толькі адна з іх. Прычым, часам збіраць згоду нават не будзе мець ніякай юрыдычный моцы, бо абавязковыя ўмовы згоды будзе немагчыма выканаць — напрыклад, яе адклікаемасць.  
• Важна, што разам з паведамленнем пра прыватнасць нельга збіраць згоду на апрацоўку дадзеных, калі яна вам усё ж патрэбна. Каб згода на апрацоўку персанальных дадзеных была адпаведная GDPR, яна павінна быць: асобная, інфармаваная, адклікаемая, вольна дадзеная. 

Напрыклад ня варта рабіць вось так:

Запаўняючы гэтую форму вы аўтаматычна пагаджаецеся на тое, што вашыя дадзеныя будуць апрацоўвацца ў мэтах маркетэінгу. 

Лепш рабіць вось так:

Ці хацелі б вы атрымліваць навіны ад нашай арганізацыі ў форме рассылкі? 

• Так
• Не

***

Больш пра анлайн прыватнасць і тое, як адпавядаць GDPR можна прачытаць у іншых нашых артыкулах: 

• Чаму і як нам трэба клапаціцца пра прыватнасць персанальных дадзеных
• 8 крокаў да GDPR у некамерцыйнай арганізацыі

Тэкст: Марыя Арнст

*Гэты артыкул зроблены ў межах серыі сумесных дзеянняў ІншыЯ, Human Constanta і Кібер Бабёр па прасоўванні тэмаў прыватнасці і працы з персанальнымі дадзенымі сярод грамадскіх арганізацый і ініцыятыў.