我不得不拒绝/接受 cookie 有一段时间了。但是我在少数网站上注意到的一些事情现在表明 cookie 具有“合法利益”?我对我可以吃的 IRL cookie 有合法权益,但我不知道网站分享对 Internet cookie 的兴趣意味着什么?
更有趣/令人费解的是,尽管大多数网站都选择退出所有 cookie(在可能的情况下),但那些确实表明“合法利益”的网站始终处于开启状态。
这些设置对我来说意味着什么?我可以允许它们,还是应该像处理其他非必要 cookie 那样将它们全部关闭?
raj*_*raj 51
合法权益是 GDPR 中的一个法律术语。您应该阅读 GDPR 以详细了解它是什么:),但简而言之,任何法律原因都可以证明需要由网站处理您的个人数据。例如,如果您从网上商店订购某样东西,则该商店处理您数据的合法利益是完成您的订单的需要。
然而,合法权益的概念经常被网站滥用,他们将例如跟踪用户以“防止欺诈”列为合法权益。如果可以选择关闭此功能,请尽可能关闭。如果网站运行确实需要某些功能,您将无法将其关闭 :)
Dav*_*der 38
根据 GDPR,任何人都可以根据 6 个理由处理个人数据。那些是:
同意
您明确同意。这需要选择加入、知情、具体和自由给予,但也给予公司最大的自由。
合同
这是 raj 的回答与合法利益混淆的基础。这是履行合同义务所需的处理(请注意,合同并不总是需要签署,例如来自电子商店的订单)。
需要处理某人的个人数据:
- 向他们提供合同服务;或者
- 因为他们在签订合同之前要求您做某事(例如提供报价)。
资料来源:ico.org.uk
法律义务
切身利益
公共任务
合法权益
合法权益是处理个人数据最灵活的合法依据。用英国的 ICO 1 的话来说:
在您以人们合理预期的方式使用人们的数据并且对隐私影响最小的情况下,或者在有令人信服的处理理由的情况下,这可能是最合适的。
来源:ico.org.uk(值得一读!!!)
GDPR 本身的基础文本(添加的定义和链接是我的)
处理对于控制者[= 想要处理您的数据的公司] 或第三方所追求的合法利益的目的[= 特定的最小处理类型]是必要的,除非此类利益被利益或基本权利凌驾以及需要保护个人数据的数据主体 [=您] 的自由,尤其是在数据主体是儿童的情况下。
资料来源:GDPR 第 6(1f) 条
因此,基本上公司的合法利益主张是他们说“我们确信我们的利益超过了对我们处理其数据的人的隐私的微不足道的影响”。但这并没有给他们免费通行证,因为 GDPR 也赋予了反对的权利
数据主体有权以与其特定情况相关的理由,随时反对基于第 6 条(公共利益)或[合法利益]点处理与他或她有关的个人数据( 1),包括基于这些规定的剖析。
资料来源:GDPR 第 21(1) 条
然后要求公司承认并停止处理或证明他们的索赔是合理的。实践中的公司认为这意味着他们基本上可以只做一堆处理,只要他们使反对过程(=选择退出)足够容易,理论上他们就会逃脱。
1英国离开了欧盟,但他们仍然拥有迄今为止解释 GDPR 的最佳英语资源,并且就我所知,目前“英国 GDPR”与“欧盟 GDPR”一对一匹配。
由于问题是关于 cookie 的,因此仅基于 GDPR 的答案是不完整的。
令人困惑的事实是:
GDPR 定义了保留用户数据的六个理由,包括同意、合同、法律义务、重要利益、公共任务和合法利益。但由于电子隐私指令,同意是强制性的,远在合法利益之前。这意味着合法利益仍必须获得同意。
即使网站认为有必要进行处理,也必须权衡合法利益与用户的基本权利和自由。
GDPR 将以下内容强调为被视为合法利益的特定处理类型:
GDPR 的 Recital (47) 说:“出于直接营销目的处理个人数据可能被视为是为了合法利益”。但是这里的“可能”一词并没有赋予网站保留用户数据的全权。
网站必须在其利益与个人利益之间取得平衡。如果个人不会合理地期望处理,或者如果它会造成不合理的伤害,则他的利益高于网站的合法利益。
网站使用合法权益实际上非常麻烦。该网站必须记录其使用它的理由,并且必须提供该文件以供用户或当局查询。它必须在其隐私信息中包含其合法利益的详细信息。它还必须保留其合法利益评估 (LIA) 的记录,以在需要时帮助证明合规性。
为此,英国的数据保护机构建议使用 三部分测试 ,其中包括以下内容:
需要对所有这三点都有好的答案才能证明合法利益。这个相当繁重的过程应该让网站在声称合法利益之前三思而后行。
参考: