Veelgestelde vragen over privacyregels

In dit document worden antwoorden gegeven op veelgestelde vragen over ondersteunde wettelijke privacyregels en de toepassing ervan in Adobe Experience Cloud.

NOTE
Definities voor de verschillende termen die in dit document worden gebruikt, zijn te vinden in de terminologie van de privacyverordening hulplijn.

Algemene vragen

De volgende vragen hebben betrekking op alle privacyregels die door het Experience Cloud worden ondersteund.

Welke gevolgen hebben de ondersteunde privacyregels?

De privacyregels ondersteund door Experience Cloud van toepassing zijn op alle organisaties die de persoonsgegevens van burgers opslaan en verwerken binnen de respectieve rechtsgebieden van de verordeningen, ongeacht de geografische locatie van de organisatie.

Wat zijn persoonlijke gegevens?

Persoonsgegevens zijn alle informatie met betrekking tot een natuurlijke persoon of een betrokkene die kan worden gebruikt om de persoon direct of indirect te identificeren. Het kan van om het even wat van een naam, een foto, een e-mailadres, bankdetails, berichten op sociale voorzien van een netwerkwebsites, medische informatie, of een computerIP adres zijn.

De volgende identificatiecodes worden vaak gebruikt in toepassingen van Experiencen Cloud en kunnen onderworpen zijn aan privacyregelgevingsvereisten:

  • Naam
  • Postadres
  • Unieke persoonlijke identificatiecode
  • Online-id
  • IP-adres
  • E-mailadres
  • Accountnaam

Persoonlijke informatie kan ook informatie over internet of andere elektronische netwerkactiviteiten bevatten. Dit omvat onder meer, maar is niet beperkt tot:

  • Browsergeschiedenis
  • Zoekgeschiedenis
  • Informatie over de interactie van een consument met een website, toepassing of advertentie

Hoewel de privacyregels een groot aantal persoonlijke gegevens bestrijken, wordt in de standaardcontractbepalingen van de Adobe bepaald dat gevoelige persoonlijke gegevens (zoals SSN, informatie over rijbewijzen, informatie over financiële rekeningen en biometrische gegevens) over het algemeen niet mogen worden ingevoerd en gebruikt in toepassingen van Experiencen Cloud.

Wat is het verschil tussen een gegevenscontroller en een gegevensverwerker?

A gegevenscontroller de entiteit is die het doel, de voorwaarden en de middelen voor de verwerking van persoonsgegevens bepaalt, terwijl de gegevensverwerker een entiteit is die namens de voor de verwerking verantwoordelijke persoonsgegevens verwerkt.

A  gegevenscontroller  de persoon of organisatie is die de bevoegdheid en verantwoordelijkheid heeft om besluiten te nemen met betrekking tot het verzamelen, gebruiken of openbaar maken van persoonsgegevens. A gegevensverwerker  de persoon of organisatie is die werkzaam is met betrekking tot het verzamelen, gebruiken of openbaar maken van de persoonsgegevens en de leiding van de verantwoordelijke voor de verwerking.

Wat is het verschil tussen expliciete en ondubbelzinnige toestemming van de betrokkene?

Expliciete toestemming verwijst naar een toestemmingsnorm die een specifieke, geïnformeerde en ondubbelzinnige aanduiding van de wensen van de betrokkene in mondelinge of schriftelijke vorm inhoudt. Eenvoudig gezegd, de betrokkene moet letterlijk en expliciet "Ik geef toestemming" of "Ik ga ermee akkoord" zeggen om de toestemming als expliciet te beschouwen. Bovendien moet het zo gemakkelijk zijn om de toestemming in te trekken als om ze te geven.

ondubbelzinnige (impliciete) toestemming verwijst naar toestemming die niet expliciet door de betrokkene is gegeven, maar niettemin ondubbelzinnig van aard is. Tijdens het aanmeldingsproces voor een website van een bedrijf wordt bijvoorbeeld gemeld dat de betrokkene, door een e-mailadres op te geven, instemt met het ontvangen van e-mails over speciale aanbiedingen. Indien de betrokkene de kennisgeving leest, is de positieve handeling van het invoeren van zijn e-mail voldoende om als ondubbelzinnige toestemming te worden beschouwd.

Voor veel verordeningen zoals de GDPR is uitdrukkelijke toestemming vereist voor de verwerking van gevoelige persoonsgegevens, waarbij niets anders dan "opt in" voldoende is. Voor niet-gevoelige gegevens is echter ondubbelzinnige (impliciete) toestemming aanvaardbaar.

Kunnen betrokkenen onder een bepaalde leeftijd toestemming geven?

In veel privacyverordeningen is bepaald dat een betrokkene die jonger is dan een bepaalde leeftijd, niet wettelijk toestemming kan geven voor het verzamelen van zijn persoonsgegevens. Sommige voorschriften staan toe dat de persoon die de ouderlijke verantwoordelijkheid voor de betrokkene heeft, in deze gevallen toestemming geeft, maar niet in alle gevallen. De volgende tabel geeft een overzicht van de minimumleeftijd waarop de betrokkenen hun eigen toestemming voor elke verordening moeten geven, met notities voor nadere informatie:

Verordening
Leeftijd van de toestemming
Notities
CCPA (Californië)
16
  • Ouderlijke toestemming kan alleen worden gegeven aan personen van 13 jaar of ouder.
  • Het verzamelen van persoonsgegevens van personen onder de 13 jaar is strikt verboden.
GDPR (EU)
16
  • Sommige lidstaten van de EU kunnen hiervoor een lagere leeftijd, maar niet minder dan 13 jaar, invoeren.
  • Voor alle betrokkenen onder de leeftijdsgrens moet toestemming van de ouders worden verleend.
LGPD (Brazilië)
13
  • Voor alle betrokkenen onder de leeftijdsgrens moet toestemming van de ouders worden verleend.
  • Een natuurlijke persoon van 13 tot 18 jaar kan hiermee instemmen, mits de verwerking van zijn persoonsgegevens in zijn belang wordt verricht.
PDPA (Thailand)
10
  • Voor alle betrokkenen onder de leeftijdsgrens moet toestemming van de ouders worden verleend.

Hoeveel dagen moet een bedrijf reageren op een verzoek van de consument om toegang te krijgen tot of persoonlijke informatie te verwijderen?

Ervan uitgaande dat het bedrijf persoonlijke informatie heeft verzameld en dat het de identiteit van een bepaalde consument kan verifiëren of verifiëren, staan de privacyregels toe dat een specifieke tijdspanne wordt vervuld om aan een verzoek van de consument te voldoen. In de volgende tabel worden de toepasselijke termijnen voor elke verordening weergegeven, met enkele uitzonderingen:

NOTE
Het tijdsbestek waarbinnen binnen "dagen" moet worden gereageerd, is een weerspiegeling van de termijnen die in elke regelgeving zijn vastgelegd om een verzoek van consumenten af te handelen.
Verordening
Te reageren tijdsbestek
Notities
CCPA (Californië)
45 dagen
GDPR (EU)
dertig dagen
Indien het verzoek ingewikkeld is of meerdere verzoeken van dezelfde betrokkene zijn ingediend, kan het verzoek worden verlengd tot 60 dagen.
LGPD (Brazilië)
15
PDPA (Thailand)
dertig dagen
Als een onderneming niet binnen het nalevingsvenster op het verzoek van een betrokkene kan reageren, krijgt de onderneming een extra termijn van 30 dagen vanaf de datum waarop zij het verzoek om schriftelijk aan de betrokkene te antwoorden niet kon inwilligen.

Moet mijn bedrijf een functionaris voor gegevensbescherming benoemen?

Als de gegevensbewerkingen van uw organisatie onder de rechtsbevoegdheid van de GDPR, LGPD of PDPA vallen, moet u in de volgende gevallen een functionaris voor gegevensbescherming (DPO) aanwijzen:

  • Uw organisatie is een overheidsinstantie
  • Uw organisatie voert op grote schaal systematische controle uit
  • Uw organisatie voert grootschalige verwerking van gevoelige persoonlijke gegevens uit.
IMPORTANT
In tegenstelling tot andere verordeningen stelt de CCPA dit als een vereiste. Het wordt echter algemeen aanbevolen dat een onderneming, om de naleving van de privacywetgeving te handhaven, over een gekwalificeerde individuele monitoring van de gegevensverzameling en de opslag van consumentengegevens moet beschikken en ook moet reageren op vragen van klanten.

Hoe kan ik verzoeken om privacy van consumenten ondersteunen als ik gegevens bijhoud die onder privacyregels vallen?

Zodra u de noodzakelijke stappen hebt genomen om consumenten te verifiëren die binnen de toepasselijke wettelijke jurisdicties vallen, staat Adobe Experience Platform Privacy Service u toe om verzoeken van de consument om de privacy van de consument aan compatibele toepassingen van de Experience Cloud te voorleggen. Zie de Privacy Service overzicht voor meer informatie . Voor informatie over hoe uw specifieke Experience Cloud toepassingen privacyverzoeken kunnen naleven, raadpleegt u de handleiding op Privacy Service- en Experience Cloud-toepassingen.

NOTE
De toezichthouder van Californië hanteert nog steeds nadere aanwijzingen over de soorten gegevens die in aanmerking komen voor privacyverzoeken van consumenten.

CCPA-vragen

De volgende vragen hebben specifiek betrekking op de CCPA.

Hoe zijn de verschillende rollen en verantwoordelijkheden van de CCPA van toepassing op Experience Cloud?

Zoals bepaald door CCPA, zijn de volgende rollen op Adobe en zijn klanten van toepassing:

  • De klanten van de Adobe (de partij die om de inzameling en het gebruik van persoonlijke informatie van de ingezetenen van Californië verzoekt) zouden als een Zakelijk.
  • Adobe zou in zijn rol van dienstverrichting als een Serviceprovider.

Als dienstverlener, verzamelt en verwerkt de Adobe persoonlijke informatie namens de Zaken en is contractueel gebonden om die informatie slechts voor de specifieke doeleinden te gebruiken die in de overeenkomst worden vermeld.

Gezien deze relatie en de contracttaal van de Adobe zouden bekendmakingen aan de Adobe waarschijnlijk niet worden beschouwd als een "verkoop" waarvoor bedrijven een aankondiging zouden moeten doen en toestemming zouden moeten vragen.

Adobe-services kunnen echter worden gebruikt om bepaalde gegevens te delen en over te dragen aan derden. Deze overdrachten door derden kunnen worden beschouwd als een "verkoop" en vereisen wettelijk openbaarmaking en toestemming. Klanten moeten met hun juridische adviseur samenwerken om specifieke gebruiksgevallen te evalueren om toepasselijke vereisten te beoordelen.

Biedt de Adobe andere hulpmiddelen aan die in het richten van vereisten kunnen nuttig zijn CCPA?

Adobe Experience Cloud-toepassingen bieden functies voor gegevensbeheer en -beheer die nuttig kunnen zijn voor de privacybehoeften van bedrijven. Onder deze hulpmiddelen zijn het etiketteren van het gegevensgebruik, op rol-gebaseerde toegangscontroles, IP obfuscation, en het hakken mogelijkheden.

Adobe heeft diverse certificeringen ontvangen van zijn privacy- en beveiligingspraktijken, zoals een ISO 27001-certificering en een TrustArc GDPR-validatie.

GDPR-vragen

De volgende vragen hebben specifiek betrekking op de GDPR.

Wat is het verschil tussen een verordening en een richtlijn?

A verordening is een bindend wetgevingsbesluit en moet in de gehele EU worden toegepast. A richtlijn Het is een wetgevingshandeling waarin een doel wordt vastgesteld dat alle EU-landen moeten bereiken, maar het is aan de afzonderlijke landen om zelf te beslissen hoe ze dat willen.

Het is belangrijk om op te merken dat de GDPR een verordening is, in tegenstelling tot de eerdere wetgeving (de richtlijn gegevensbescherming), die een richtlijn is.

Hoe beïnvloedt GDPR het beleid rond gegevensovertredingen?

Voorgestelde verordeningen betreffende inbreuken op gegevens hebben voornamelijk betrekking op het kennisgevingsbeleid van ondernemingen die zijn overtreden. Gegevensovertredingen die een risico voor personen kunnen vormen, moeten binnen 72 uur aan de gegevensbeschermingsautoriteit en aan de betrokken personen worden gemeld.

PDPA-vragen

De volgende vragen hebben specifiek betrekking op de PDPA.

Wat zijn gevoelige persoonsgegevens?

De PDPA stelt strenge eisen aan de verzameling en opslag van gevoelige persoonsgegevens, waaronder persoonsgegevens die betrekking hebben op ras of etnische afstamming, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, strafregisters, vakverenigingen, genetische gegevens, biometrische gegevens, gezondheidsgegevens en seksuele geaardheid of voorkeuren.

recommendation-more-help
9cbf7061-a312-49f7-aaf8-a10885d53580