DocumentatieExperience PlatformHandleiding voor Privacy Service

Veelgestelde vragen over privacyregels

Laatst bijgewerkt: 19 december 2024
  • Onderwerpen:

Gemaakt voor:

  • Gebruiker
  • Beheerder

In dit document worden antwoorden gegeven op veelgestelde vragen over ondersteunde wettelijke privacyregels en de toepassing ervan in Adobe Experience Cloud.

NOTE
De definities voor de diverse termijnen die in dit document worden gebruikt kunnen in de terminologie van de privacyverordeninggids worden gevonden.

Algemene vragen

De volgende vragen hebben betrekking op alle privacyregels die door het Experience Cloud worden ondersteund.

Welke gevolgen hebben de ondersteunde privacyregels?

De privacyverordeningen die door Experience Cloudworden gesteund zijn op alle organisaties van toepassing die de persoonsgegevens van burgers opslaan en verwerken binnen de respectieve jurisdicties van verordeningen, ongeacht de geografische plaats van de organisatie.

Wat zijn persoonlijke gegevens?

Persoonsgegevens zijn alle informatie met betrekking tot een natuurlijke persoon of een betrokkene die kan worden gebruikt om de persoon direct of indirect te identificeren. Het kan van om het even wat van een naam, een foto, een e-mailadres, bankdetails, berichten op sociale voorzien van een netwerkwebsites, medische informatie, of een computerIP adres zijn.

De volgende identificatiecodes worden vaak gebruikt in toepassingen van Experiencen Cloud en kunnen onderworpen zijn aan privacyregelgevingsvereisten:

  • Naam
  • Postadres
  • Unieke persoonlijke identificatiecode
  • Online-id
  • IP-adres
  • E-mailadres
  • Accountnaam

Persoonlijke informatie kan ook informatie over internet of andere elektronische netwerkactiviteiten bevatten. Dit omvat onder meer, maar is niet beperkt tot:

  • Browsergeschiedenis
  • Zoekgeschiedenis
  • Informatie over de interactie van een consument met een website, toepassing of advertentie

Hoewel de privacyregels een groot aantal persoonlijke gegevens bestrijken, wordt in de standaardcontractbepalingen van de Adobe bepaald dat gevoelige persoonlijke gegevens (zoals SSN, informatie over rijbewijzen, informatie over financiële rekeningen en biometrische gegevens) over het algemeen niet mogen worden ingevoerd en gebruikt in toepassingen van Experiencen Cloud.

Wat is het verschil tussen een gegevenscontroller en een gegevensverwerker?

A gegevenscontrolemechanisme is de entiteit die de doeleinden, de voorwaarden en de middelen bepaalt om persoonsgegevens te verwerken, terwijl de gegevensverwerker een entiteit is die persoonlijke gegevens namens het gegevenscontrolemechanisme verwerkt.

A gegevenscontrolemechanisme is de persoon of de organisatie die de macht en de verantwoordelijkheid heeft om besluiten betreffende de inzameling, het gebruik, of de bekendmaking van persoonsgegevens te nemen. A gegevensverwerker is de persoon of de organisatie die met betrekking tot de inzameling, het gebruik, of de bekendmaking van de persoonlijke gegevens en de richting van het gegevenscontrolemechanisme werkt.

Wat is het verschil tussen expliciete en ondubbelzinnige toestemming van de betrokkene?

Expliciete toestemming verwijst naar een norm van toestemming die een specifieke, geïnformeerde en ondubbelzinnige aanduiding van de wensen van de betrokkene in mondelinge of geschreven vorm impliceert. Eenvoudig gezegd, de betrokkene moet letterlijk en expliciet "Ik geef toestemming" of "Ik ga ermee akkoord" zeggen om de toestemming als expliciet te beschouwen. Bovendien moet het zo gemakkelijk zijn om de toestemming in te trekken als om ze te geven.

ondubbelzinnige (geïmpliceerde) toestemming verwijst naar toestemming die niet uitdrukkelijk door de gegevenssubject werd gegeven, maar niettemin ondubbelzinnig van aard is. Tijdens het aanmeldingsproces voor een website van een bedrijf wordt bijvoorbeeld gemeld dat de betrokkene, door een e-mailadres op te geven, instemt met het ontvangen van e-mails over speciale aanbiedingen. Indien de betrokkene de kennisgeving leest, is de positieve handeling van het invoeren van zijn e-mail voldoende om als ondubbelzinnige toestemming te worden beschouwd.

Voor veel verordeningen zoals de GDPR is uitdrukkelijke toestemming vereist voor de verwerking van gevoelige persoonsgegevens, waarbij niets anders dan "opt in" voldoende is. Voor niet-gevoelige gegevens is echter ondubbelzinnige (impliciete) toestemming aanvaardbaar.

Kunnen betrokkenen onder een bepaalde leeftijd toestemming geven?

In veel privacyverordeningen is bepaald dat een betrokkene die jonger is dan een bepaalde leeftijd, niet wettelijk toestemming kan geven voor het verzamelen van zijn persoonsgegevens. Sommige voorschriften staan toe dat de persoon die de ouderlijke verantwoordelijkheid voor de betrokkene heeft, in deze gevallen toestemming geeft, maar niet in alle gevallen. De volgende tabel geeft een overzicht van de minimumleeftijd waarop de betrokkenen hun eigen toestemming voor elke verordening moeten geven, met notities voor nadere informatie:

Verordening
Leeftijd van de toestemming
Notities
CCPA (Californië)
16
  • Ouderlijke toestemming kan alleen worden gegeven aan personen van 13 jaar of ouder.
  • Het verzamelen van persoonsgegevens van personen onder de 13 jaar is strikt verboden.
GDPR (EU)
16
  • Sommige lidstaten van de EU kunnen hiervoor een lagere leeftijd, maar niet minder dan 13 jaar, invoeren.
  • Voor alle betrokkenen onder de leeftijdsgrens moet toestemming van de ouders worden verleend.
LGPD (Brazilië)
13
  • Voor alle betrokkenen onder de leeftijdsgrens moet toestemming van de ouders worden verleend.
  • Een natuurlijke persoon van 13 tot 18 jaar kan hiermee instemmen, mits de verwerking van zijn persoonsgegevens in zijn belang wordt verricht.
PDPA (Thailand)
10
  • Voor alle betrokkenen onder de leeftijdsgrens moet toestemming van de ouders worden verleend.

Hoeveel dagen moet een bedrijf reageren op een verzoek van de consument om toegang te krijgen tot of persoonlijke informatie te verwijderen?

Ervan uitgaande dat het bedrijf persoonlijke informatie heeft verzameld en dat het de identiteit van een bepaalde consument kan verifiëren of verifiëren, staan de privacyregels toe dat een specifieke tijdspanne wordt vervuld om aan een verzoek van de consument te voldoen. In de volgende tabel worden de toepasselijke termijnen voor elke verordening weergegeven, met enkele uitzonderingen:

NOTE
Het tijdsbestek waarbinnen binnen "dagen" moet worden gereageerd, is een weerspiegeling van de termijnen die in elke regelgeving zijn vastgelegd om een verzoek van consumenten af te handelen.
Verordening
Te reageren tijdsbestek
Notities
CCPA (Californië)
45 dagen
GDPR (EU)
30 dagen
LGPD (Brazilië)
15 dagen
PDPA (Thailand)
30 dagen
Als een onderneming niet binnen het nalevingsvenster op het verzoek van een betrokkene kan reageren, krijgt de onderneming een extra termijn van 30 dagen vanaf de datum waarop zij het verzoek om schriftelijk aan de betrokkene te antwoorden niet kon inwilligen.

Moet mijn bedrijf een functionaris voor gegevensbescherming benoemen?

Als de gegevensbewerkingen van uw organisatie onder de rechtsbevoegdheid van de GDPR, LGPD of PDPA vallen, moet u in de volgende gevallen een functionaris voor gegevensbescherming (DPO) aanwijzen:

  • Uw organisatie is een overheidsinstantie
  • Uw organisatie voert op grote schaal systematische controle uit
  • Uw organisatie voert grootschalige verwerking van gevoelige persoonlijke gegevens uit.
IMPORTANT
In tegenstelling tot andere verordeningen stelt de CCPA dit als een vereiste. Het wordt echter algemeen aanbevolen dat een onderneming, om de naleving van de privacywetgeving te handhaven, over een gekwalificeerde individuele monitoring van de gegevensverzameling en de opslag van consumentengegevens moet beschikken en ook moet reageren op vragen van klanten.

Hoe kan ik verzoeken om privacy van consumenten ondersteunen als ik gegevens bijhoud die onder privacyregels vallen?

Zodra u de noodzakelijke stappen hebt genomen om consumenten te verifiëren die binnen de toepasselijke wettelijke jurisdicties vallen, staat Adobe Experience Platform Privacy Service u toe om verzoeken van de consument om de privacy van de consument aan compatibele toepassingen van de Experience Cloud te voorleggen. Zie het Privacy Service overzichtvoor meer informatie. Voor informatie over hoe uw bijzondere toepassingen van het Experience Cloud privacyverzoeken kunnen respecteren, gelieve te verwijzen naar de gids op Privacy Service en de toepassingen van het Experience Cloud.

NOTE
De toezichthouder van Californië hanteert nog steeds nadere aanwijzingen over de soorten gegevens die in aanmerking komen voor privacyverzoeken van consumenten.

CCPA-vragen

De volgende vragen hebben specifiek betrekking op de CCPA.

Hoe zijn de verschillende rollen en verantwoordelijkheden van de CCPA van toepassing op Experience Cloud?

Zoals bepaald door CCPA, zijn de volgende rollen op Adobe en zijn klanten van toepassing:

  • De klanten van de Adobe (de partij die om de inzameling en het gebruik van persoonlijke informatie van de ingezetenen van Californië verzoekt) zouden als a Bedrijfs worden beschouwd.
  • Adobe, in zijn rol om de dienst te verlenen, zou als a Dienstverlener worden beschouwd.

Als dienstverlener, verzamelt en verwerkt de Adobe persoonlijke informatie namens de Zaken en is contractueel gebonden om die informatie slechts voor de specifieke doeleinden te gebruiken die in de overeenkomst worden vermeld.

Gezien deze relatie en de contracttaal van de Adobe zouden bekendmakingen aan de Adobe waarschijnlijk niet worden beschouwd als een "verkoop" waarvoor bedrijven een aankondiging zouden moeten doen en toestemming zouden moeten vragen.

Adobe-services kunnen echter worden gebruikt om bepaalde gegevens te delen en over te dragen aan derden. Deze overdrachten door derden kunnen worden beschouwd als een "verkoop" en vereisen wettelijk openbaarmaking en toestemming. Klanten moeten met hun juridische adviseur samenwerken om specifieke gebruiksgevallen te evalueren om toepasselijke vereisten te beoordelen.

Biedt de Adobe andere hulpmiddelen aan die in het richten van vereisten kunnen nuttig zijn CCPA?

Adobe Experience Cloud-toepassingen bieden functies voor gegevensbeheer en -beheer die nuttig kunnen zijn voor de privacybehoeften van bedrijven. Onder deze hulpmiddelen zijn het etiketteren van het gegevensgebruik, op rol-gebaseerde toegangscontroles, IP obfuscation, en het hakken mogelijkheden.

Adobe heeft diverse certificeringen ontvangen van zijn privacy- en beveiligingspraktijken, zoals een ISO 27001-certificering en een TrustArc GDPR-validatie.

GDPR-vragen

De volgende vragen hebben specifiek betrekking op de GDPR.

Wat is het verschil tussen een verordening en een richtlijn?

A regeling is een bindende wetgevingshandeling en moet in zijn geheel in de EU worden toegepast. A richtlijn is een wetgevend besluit dat een doel bepaalt dat alle EU landen moeten bereiken, maar het is aan de individuele landen om te beslissen hoe.

Het is belangrijk om op te merken dat de GDPR een verordening is, in tegenstelling tot de eerdere wetgeving (de richtlijn gegevensbescherming), die een richtlijn is.

Hoe beïnvloedt GDPR het beleid rond gegevensovertredingen?

Voorgestelde verordeningen betreffende inbreuken op gegevens hebben voornamelijk betrekking op het kennisgevingsbeleid van ondernemingen die zijn overtreden. Gegevensovertredingen die een risico voor personen kunnen vormen, moeten binnen 72 uur aan de gegevensbeschermingsautoriteit en aan de betrokken personen worden gemeld.

PDPA-vragen

De volgende vragen hebben specifiek betrekking op de PDPA.

Wat zijn gevoelige persoonsgegevens?

De PDPA stelt strenge eisen aan de verzameling en opslag van gevoelige persoonsgegevens, waaronder persoonsgegevens die betrekking hebben op ras of etnische afstamming, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, strafregisters, vakverenigingen, genetische gegevens, biometrische gegevens, gezondheidsgegevens en seksuele geaardheid of voorkeuren.

recommendation-more-help
9cbf7061-a312-49f7-aaf8-a10885d53580