企业越来越多地使用社交网络和在线论坛进行营销,招聘,客户服务,品牌推广和公关。英国隐私监管机构 信息专员 (ICO),最近已发布 新指导 有关使用社交网络和在线论坛的信息。这取代了其2007年有关该主题的指南,并在公司在英国在线运营时向公司提供了有关其数据保护义务的有用提示。

英国 1998年数据保护法 (DPA)通过对收集个人数据的人施加广泛的义务,以及对收集数据的个人赋予权利,制定了广泛的数据保护制度。广义上讲,数据控制者必须确保根据DPA附表1中列出的许多“数据保护原则”对个人数据进行处理,这些原则要求:

  1. 数据必须公平合法地处理;
  2. 只能出于特定的合法目的而获取数据,而不能以与这些目的不兼容的方式对其进行进一步处理;
  3. 就处理目的而言,数据必须足够,相关且不得过多;
  4. 数据必须准确,并在必要时保持最新;
  5. 数据保存的时间不得超过必要的时间;
  6. 数据必须按照数据主体的权利进行处理;
  7. 必须采取适当的技术和组织安全措施,以防止未经授权或非法处理,个人数据意外丢失或破坏或损坏;和
  8. 除非目的国确保对数据主体在处理个人数据方面的权利提供足够的保护,否则不得将个人数据传输到EEA之外。

DPA详细说明了在某些情况下免除这些数据保护原则的处理。

新指导

新指南确认了DPA第36条(其中提供了 家庭用途豁免) 不包括:(i)组织使用社交网络和在线论坛,或(ii)个人出于非家庭目的(例如,与经营个体商人业务有关)使用社交网络/论坛。

因此,使用社交媒体和在线论坛的组织和企业将根据DPA承担隐私合规性义务:(i)如果他们在自己的网站或第三方网站上发布个人数据,(ii)如果他们从以下网站下载和使用个人数据:第三方的网站,或者(iii)如果他们经营一个允许第三方添加有关在世人士的评论或帖子的网站(例如博客),并且他们是该第三方内容的数据控制者。

ICO规定,即使组织要求员工通过自己的个人社交媒体页面(例如,他们的Facebook或LinkedIn页面或个人博客)出于商业目的进行处理,DPA也将适用。这是因为在这种情况下,员工将代表组织行事,因此处理将仅出于组织的公司目的,而不是出于家庭目的。但是,ICO承认在某些情况下使用社交网络或在线论坛的目的不是很明确。社交媒体的某些用户可能将其用于混合目的,例如,不仅用于个人,家庭和娱乐目的,而且还用于促进商业利益。 ICO规定,在这种情况下,个人将需要确保任何涉及个人数据且非出于家庭目的的帖子均符合DPA。

当然,企业在运行在线论坛或社交网站时需要考虑的第一个问题是,在多大程度上被视为DPA下的数据控制者。 DPA第1节 指出“数据控制器”表示“该人(单独或与他人共同或共同)决定了或将要处理任何个人数据的目的和方式”。

ICO确认社交网络或在线论坛的运营商将是与网站运营商处理的有关该网络或论坛的用户的任何联系信息或其他个人数据有关的数据控制者,并且需要遵守DPA 。

对于第三方在社交网络或在线论坛上发布的任何个人数据,ICO承认该职位不那么明确。为了说明将运营商视为第三方职位的数据控制者的情况,ICO涉及2011年的案例, 法律协会和Ors诉Rick Kordowski EWHC 3185(QB). 在这种情况下,科多夫斯基先生经营着一个“地狱律师”网站,该网站鼓励公众提名律师并羞辱律师。 Kordowski先生主持了用户发布的帖子,并收取添加或删除帖子的费用。法院认为,Kordowski先生是DPA的数据控制者,任何一方都没有对此提出异议。显然,科尔多夫斯基先生已决定处理个人数据的目的和方式。

但是,ICO声明这并不意味着适度始终是必不可少的因素–即使站点操作员未事先进行审核,仍可以将其视为数据控制器。例如,如果某个站点只允许帖子遵循涵盖可接受内容的条款和条件,并且帖子如果违反这些条款和条件可以被删除,则运营商仍将在一定程度上确定其目的和方式。处理了哪些个人数据,因此将被视为数据控制者。

如果一家企业被视为第三方帖子的数据控制者,则它将需要采取合理的步骤来确保其网站上发布的任何个人数据都是准确的,并在必要时保持最新,以便符合DPA。 ICO表示什么才是“合理的步骤”将取决于站点的性质以及运营商在选择,允许或审核内容方面所扮演的角色。例如,如果(i)网站上的绝大多数帖子是第三方帖子,(ii)这些帖子的数量很大,(iii)帖子不预先审核,并且(iv)网站依赖用户ICO遵守用户政策并向网站运营商报告问题,因此承认检查每个帖子的准确性是不合理的。

但是,ICO将考虑“合理步骤”,包括:

  1. 为用户制定关于可接受和不可接受的职位的清晰明确的政策;
  2. 具有清晰且易于查找的程序,通过该程序,用户可以质疑帖子的准确性并要求将其删除;和
  3. 快速应对有关准确性的争议,并制定程序使之能够访问
    在争议解决之前中止的内容。

此外,ICO表示,它希望网站运营商制定适当的内部政策来处理:(a)个人认为其个人数据可能由于贬损,威胁或虐待第三者而被不公平或非法处理的个人的投诉。当事人的职位;(b)个人之间关于职位的事实准确性的争议; (c)有关组织如何处理用户提供的个人数据的投诉。

最佳实践

在使用社交网络和在线论坛时,企业应注意新的指导原则。此外,我们建议采用以下最佳做法来确保隐私合规性。

  • 了解适用于您使用第三方社交网络和在线论坛的隐私条款。
  • 了解与发布第三方内容的用户相关的隐私风险,并采取适当的措施将此类风险降到最低。
  • 制定适当的使用条款和隐私政策。
  • 确保隐私政策符合DPA,并且:
    • 包括关于如何处理/使用用户数据的描述;
    • 确保获得用户的适当同意;和
    • 限制公司对用户侵犯隐私的责任。
  • 不要将通过社交网络和在线论坛收集的个人数据保留的时间过长。
  • 如果将员工的任何信息发布到社交网络或在线论坛,请征得其同意。
  • 制定适当的社交媒体政策,并向员工提供培训,以确保员工了解其在使用社交网络和在线论坛方面的义务,包括:
    • 制定有关在工作中访问社交媒体网站的规则;
    • 明确在什么情况下员工将代表公司,在什么情况下员工将以个人身份行事,以及与每个人有关的规则(例如,以个人身份行事时,员工应以第一人称(I表示反对) (我们)),并应包括一个明显的免责声明,表明所表达的观点是他们自己的,不一定是他们公司的观点);和
    • 告知员工不得在社交网络和在线论坛上发布有关同事的个人信息。
  • 为已获准管理/运营博客和社交媒体页面的员工制定切实可行的安全措施。

其他社交媒体问题

当然,除了数据保护和隐私外,企业还需要考虑很多其他问题,作为其社交媒体策略的一部分,例如:

  1. 员工使用社交媒体(监控,政策,培训,责任,泄露机密/专有信息等);
  2. 在招聘中使用社交媒体;
  3. 安全;
  4. 危机管理和公司声誉受损;
  5. 保护和侵犯知识产权;
  6. 广告,营销和促销规则;
  7. 消费者保护/不公平条款和交易规则;
  8. 用户生成的第三方内容(用户条款和条件,通知和删除政策和程序,与第三方博客的实质性联系的披露等);
  9. 保险;和
  10. 适用的行业规则和规定。

最后,在英国组织是一家全球企业的情况下,对于组织而言,确保英国境外的个人不会被英国社交媒体活动无意地作为目标很重要;或者如果有针对性地将它们作为目标,则组织必须考虑在适用的司法管辖区中需要遵守的任何特定规则。