Documentatie Experience Platform Handleiding voor Privacy Service

Veelgestelde vragen over privacyregels

Laatst bijgewerkt: 19 december 2024

Onderwerpen:

Gemaakt voor:

Gebruiker
Beheerder

In dit document worden antwoorden gegeven op veelgestelde vragen over ondersteunde wettelijke privacyregels en de toepassing ervan in Adobe Experience Cloud.

NOTE

De definities voor de diverse termijnen die in dit document worden gebruikt kunnen in de terminologie van de privacyverordeninggids worden gevonden.

Algemene vragen

De volgende vragen hebben betrekking op alle privacyregels die door het Experience Cloud worden ondersteund.

Welke gevolgen hebben de ondersteunde privacyregels?

De privacyverordeningen die door Experience Cloudworden gesteund zijn op alle organisaties van toepassing die de persoonsgegevens van burgers opslaan en verwerken binnen de respectieve jurisdicties van verordeningen, ongeacht de geografische plaats van de organisatie.

Wat zijn persoonlijke gegevens?

Persoonsgegevens zijn alle informatie met betrekking tot een natuurlijke persoon of een betrokkene die kan worden gebruikt om de persoon direct of indirect te identificeren. Het kan van om het even wat van een naam, een foto, een e-mailadres, bankdetails, berichten op sociale voorzien van een netwerkwebsites, medische informatie, of een computerIP adres zijn.

De volgende identificatiecodes worden vaak gebruikt in toepassingen van Experiencen Cloud en kunnen onderworpen zijn aan privacyregelgevingsvereisten:

Naam
Postadres
Unieke persoonlijke identificatiecode
Online-id
IP-adres
E-mailadres
Accountnaam

Persoonlijke informatie kan ook informatie over internet of andere elektronische netwerkactiviteiten bevatten. Dit omvat onder meer, maar is niet beperkt tot:

Browsergeschiedenis
Zoekgeschiedenis
Informatie over de interactie van een consument met een website, toepassing of advertentie

Hoewel de privacyregels een groot aantal persoonlijke gegevens bestrijken, wordt in de standaardcontractbepalingen van de Adobe bepaald dat gevoelige persoonlijke gegevens (zoals SSN, informatie over rijbewijzen, informatie over financiële rekeningen en biometrische gegevens) over het algemeen niet mogen worden ingevoerd en gebruikt in toepassingen van Experiencen Cloud.

Wat is het verschil tussen een gegevenscontroller en een gegevensverwerker?

A gegevenscontrolemechanisme is de entiteit die de doeleinden, de voorwaarden en de middelen bepaalt om persoonsgegevens te verwerken, terwijl de gegevensverwerker een entiteit is die persoonlijke gegevens namens het gegevenscontrolemechanisme verwerkt.

A gegevenscontrolemechanisme is de persoon of de organisatie die de macht en de verantwoordelijkheid heeft om besluiten betreffende de inzameling, het gebruik, of de bekendmaking van persoonsgegevens te nemen. A gegevensverwerker is de persoon of de organisatie die met betrekking tot de inzameling, het gebruik, of de bekendmaking van de persoonlijke gegevens en de richting van het gegevenscontrolemechanisme werkt.

Wat is het verschil tussen expliciete en ondubbelzinnige toestemming van de betrokkene?

Expliciete toestemming verwijst naar een norm van toestemming die een specifieke, geïnformeerde en ondubbelzinnige aanduiding van de wensen van de betrokkene in mondelinge of geschreven vorm impliceert. Eenvoudig gezegd, de betrokkene moet letterlijk en expliciet "Ik geef toestemming" of "Ik ga ermee akkoord" zeggen om de toestemming als expliciet te beschouwen. Bovendien moet het zo gemakkelijk zijn om de toestemming in te trekken als om ze te geven.

ondubbelzinnige (geïmpliceerde) toestemming verwijst naar toestemming die niet uitdrukkelijk door de gegevenssubject werd gegeven, maar niettemin ondubbelzinnig van aard is. Tijdens het aanmeldingsproces voor een website van een bedrijf wordt bijvoorbeeld gemeld dat de betrokkene, door een e-mailadres op te geven, instemt met het ontvangen van e-mails over speciale aanbiedingen. Indien de betrokkene de kennisgeving leest, is de positieve handeling van het invoeren van zijn e-mail voldoende om als ondubbelzinnige toestemming te worden beschouwd.

Voor veel verordeningen zoals de GDPR is uitdrukkelijke toestemming vereist voor de verwerking van gevoelige persoonsgegevens, waarbij niets anders dan "opt in" voldoende is. Voor niet-gevoelige gegevens is echter ondubbelzinnige (impliciete) toestemming aanvaardbaar.

Kunnen betrokkenen onder een bepaalde leeftijd toestemming geven?

In veel privacyverordeningen is bepaald dat een betrokkene die jonger is dan een bepaalde leeftijd, niet wettelijk toestemming kan geven voor het verzamelen van zijn persoonsgegevens. Sommige voorschriften staan toe dat de persoon die de ouderlijke verantwoordelijkheid voor de betrokkene heeft, in deze gevallen toestemming geeft, maar niet in alle gevallen. De volgende tabel geeft een overzicht van de minimumleeftijd waarop de betrokkenen hun eigen toestemming voor elke verordening moeten geven, met notities voor nadere informatie:

Verordening

Leeftijd van de toestemming

Notities

CCPA (Californië)

16

Ouderlijke toestemming kan alleen worden gegeven aan personen van 13 jaar of ouder.
Het verzamelen van persoonsgegevens van personen onder de 13 jaar is strikt verboden.

GDPR (EU)

16

Sommige lidstaten van de EU kunnen hiervoor een lagere leeftijd, maar niet minder dan 13 jaar, invoeren.
Voor alle betrokkenen onder de leeftijdsgrens moet toestemming van de ouders worden verleend.

LGPD (Brazilië)

13

Voor alle betrokkenen onder de leeftijdsgrens moet toestemming van de ouders worden verleend.
Een natuurlijke persoon van 13 tot 18 jaar kan hiermee instemmen, mits de verwerking van zijn persoonsgegevens in zijn belang wordt verricht.

PDPA (Thailand)

10

Voor alle betrokkenen onder de leeftijdsgrens moet toestemming van de ouders worden verleend.

Hoeveel dagen moet een bedrijf reageren op een verzoek van de consument om toegang te krijgen tot of persoonlijke informatie te verwijderen?

Ervan uitgaande dat het bedrijf persoonlijke informatie heeft verzameld en dat het de identiteit van een bepaalde consument kan verifiëren of verifiëren, staan de privacyregels toe dat een specifieke tijdspanne wordt vervuld om aan een verzoek van de consument te voldoen. In de volgende tabel worden de toepasselijke termijnen voor elke verordening weergegeven, met enkele uitzonderingen:

NOTE

Het tijdsbestek waarbinnen binnen "dagen" moet worden gereageerd, is een weerspiegeling van de termijnen die in elke regelgeving zijn vastgelegd om een verzoek van consumenten af te handelen.

Verordening

Te reageren tijdsbestek

Notities

CCPA (Californië)

45 dagen

GDPR (EU)

30 dagen

LGPD (Brazilië)

15 dagen

PDPA (Thailand)

30 dagen

Als een onderneming niet binnen het nalevingsvenster op het verzoek van een betrokkene kan reageren, krijgt de onderneming een extra termijn van 30 dagen vanaf de datum waarop zij het verzoek om schriftelijk aan de betrokkene te antwoorden niet kon inwilligen.

Moet mijn bedrijf een functionaris voor gegevensbescherming benoemen?

Als de gegevensbewerkingen van uw organisatie onder de rechtsbevoegdheid van de GDPR, LGPD of PDPA vallen, moet u in de volgende gevallen een functionaris voor gegevensbescherming (DPO) aanwijzen:

Uw organisatie is een overheidsinstantie
Uw organisatie voert op grote schaal systematische controle uit
Uw organisatie voert grootschalige verwerking van gevoelige persoonlijke gegevens uit.

IMPORTANT

In tegenstelling tot andere verordeningen stelt de CCPA dit als een vereiste. Het wordt echter algemeen aanbevolen dat een onderneming, om de naleving van de privacywetgeving te handhaven, over een gekwalificeerde individuele monitoring van de gegevensverzameling en de opslag van consumentengegevens moet beschikken en ook moet reageren op vragen van klanten.

Hoe kan ik verzoeken om privacy van consumenten ondersteunen als ik gegevens bijhoud die onder privacyregels vallen?

Zodra u de noodzakelijke stappen hebt genomen om consumenten te verifiëren die binnen de toepasselijke wettelijke jurisdicties vallen, staat Adobe Experience Platform Privacy Service u toe om verzoeken van de consument om de privacy van de consument aan compatibele toepassingen van de Experience Cloud te voorleggen. Zie het Privacy Service overzichtvoor meer informatie. Voor informatie over hoe uw bijzondere toepassingen van het Experience Cloud privacyverzoeken kunnen respecteren, gelieve te verwijzen naar de gids op Privacy Service en de toepassingen van het Experience Cloud.

NOTE

De toezichthouder van Californië hanteert nog steeds nadere aanwijzingen over de soorten gegevens die in aanmerking komen voor privacyverzoeken van consumenten.

CCPA-vragen

De volgende vragen hebben specifiek betrekking op de CCPA.

Hoe zijn de verschillende rollen en verantwoordelijkheden van de CCPA van toepassing op Experience Cloud?

Zoals bepaald door CCPA, zijn de volgende rollen op Adobe en zijn klanten van toepassing:

De klanten van de Adobe (de partij die om de inzameling en het gebruik van persoonlijke informatie van de ingezetenen van Californië verzoekt) zouden als a Bedrijfs worden beschouwd.
Adobe, in zijn rol om de dienst te verlenen, zou als a Dienstverlener worden beschouwd.

Als dienstverlener, verzamelt en verwerkt de Adobe persoonlijke informatie namens de Zaken en is contractueel gebonden om die informatie slechts voor de specifieke doeleinden te gebruiken die in de overeenkomst worden vermeld.

Gezien deze relatie en de contracttaal van de Adobe zouden bekendmakingen aan de Adobe waarschijnlijk niet worden beschouwd als een "verkoop" waarvoor bedrijven een aankondiging zouden moeten doen en toestemming zouden moeten vragen.

Adobe-services kunnen echter worden gebruikt om bepaalde gegevens te delen en over te dragen aan derden. Deze overdrachten door derden kunnen worden beschouwd als een "verkoop" en vereisen wettelijk openbaarmaking en toestemming. Klanten moeten met hun juridische adviseur samenwerken om specifieke gebruiksgevallen te evalueren om toepasselijke vereisten te beoordelen.

Biedt de Adobe andere hulpmiddelen aan die in het richten van vereisten kunnen nuttig zijn CCPA?

Adobe Experience Cloud-toepassingen bieden functies voor gegevensbeheer en -beheer die nuttig kunnen zijn voor de privacybehoeften van bedrijven. Onder deze hulpmiddelen zijn het etiketteren van het gegevensgebruik, op rol-gebaseerde toegangscontroles, IP obfuscation, en het hakken mogelijkheden.

Adobe heeft diverse certificeringen ontvangen van zijn privacy- en beveiligingspraktijken, zoals een ISO 27001-certificering en een TrustArc GDPR-validatie.

De volgende vragen hebben specifiek betrekking op de GDPR.

Wat is het verschil tussen een verordening en een richtlijn?

A regeling is een bindende wetgevingshandeling en moet in zijn geheel in de EU worden toegepast. A richtlijn is een wetgevend besluit dat een doel bepaalt dat alle EU landen moeten bereiken, maar het is aan de individuele landen om te beslissen hoe.

Het is belangrijk om op te merken dat de GDPR een verordening is, in tegenstelling tot de eerdere wetgeving (de richtlijn gegevensbescherming), die een richtlijn is.

Voorgestelde verordeningen betreffende inbreuken op gegevens hebben voornamelijk betrekking op het kennisgevingsbeleid van ondernemingen die zijn overtreden. Gegevensovertredingen die een risico voor personen kunnen vormen, moeten binnen 72 uur aan de gegevensbeschermingsautoriteit en aan de betrokken personen worden gemeld.

PDPA-vragen

De volgende vragen hebben specifiek betrekking op de PDPA.

Wat zijn gevoelige persoonsgegevens?

De PDPA stelt strenge eisen aan de verzameling en opslag van gevoelige persoonsgegevens, waaronder persoonsgegevens die betrekking hebben op ras of etnische afstamming, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, strafregisters, vakverenigingen, genetische gegevens, biometrische gegevens, gezondheidsgegevens en seksuele geaardheid of voorkeuren.

recommendation-more-help

Veelgestelde vragen over privacyregels

Algemene vragen

Welke gevolgen hebben de ondersteunde privacyregels?

Wat zijn persoonlijke gegevens?

Wat is het verschil tussen een gegevenscontroller en een gegevensverwerker?

Wat is het verschil tussen expliciete en ondubbelzinnige toestemming van de betrokkene?

Kunnen betrokkenen onder een bepaalde leeftijd toestemming geven?

Hoeveel dagen moet een bedrijf reageren op een verzoek van de consument om toegang te krijgen tot of persoonlijke informatie te verwijderen?

Moet mijn bedrijf een functionaris voor gegevensbescherming benoemen?

Hoe kan ik verzoeken om privacy van consumenten ondersteunen als ik gegevens bijhoud die onder privacyregels vallen?

CCPA-vragen

Hoe zijn de verschillende rollen en verantwoordelijkheden van de CCPA van toepassing op Experience Cloud?

Biedt de Adobe andere hulpmiddelen aan die in het richten van vereisten kunnen nuttig zijn CCPA?

GDPR-vragen

Wat is het verschil tussen een verordening en een richtlijn?

Hoe beïnvloedt GDPR het beleid rond gegevensovertredingen?

PDPA-vragen

Wat zijn gevoelige persoonsgegevens?