128-qpman-research

Perguntas frequentes sobre GDPR

1. As declarações de privacidade precisam ser traduzidas para cada país da UE que está sendo pesquisado?

Nossa recomendação é traduzi-las para todos os idiomas em que a pesquisa é realizada. Por exemplo, se você estiver realizando pesquisas em inglês, francês e alemão, nossa recomendação é que a privacidade e conformidade com GDPR sejam traduzidas nesses 3 idiomas, pelo menos. Isso não é uma exigência rigorosa, mas é nossa recomendação. Isso captura efetivamente o espírito dos artigos de “Consentimento Informado” do GDPR.

2. O GDPR se aplica a pesquisas que são anônimas e dados identificáveis não são coletados?

Acreditamos que sim. Os tribunais da UE decidiram que o endereço IP é "Dados Pessoais" - então seria quase impossível fazer uma pesquisa online onde o endereço IP não seja usado ou coletado.

3. É necessário um DPA dos fornecedores de painel?

Sim. Nossa posição é que, se você está contratando com fornecedores de painel para redirecionar usuários, eles devem ter um DPA com você. Nos casos em que você já está usando o QuestionPro Audience para preencher suas pesquisas, você não precisa de um, porque o DPA geral com o QuestionPro e você cobrirá isso automaticamente.

4. A conformidade com GDPR no QP precisa ser ativada e preenchida se a ferramenta QuestionPro for usada apenas nos EUA para clientes nos EUA?

Não - Se você está baseado nos EUA e todos os seus respondentes estão nos EUA - o GDPR não se aplica a você. É por isso que tornamos a conformidade com o GDPR uma funcionalidade opcional em nosso sistema. Isso é tipicamente obrigatório para empresas da UE ou empresas que coletam dados de residentes da UE.

5. E se o respondente for um cidadão da UE que não reside na UE? Essas regras ainda se aplicam? Se sim, podemos simplesmente excluir cidadãos da UE da nossa amostra?

Em geral, isso se torna uma questão de jurisdição. O GDPR se aplica a todos os residentes da UE - independentemente da cidadania. Portanto, se você tiver cidadãos da UE em, digamos, Cingapura - eles não terão a mesma proteção. Sugerimos que você exclua os residentes da UE da sua amostra, se não quiser que o GDPR afete sua pesquisa.

6. Quem é o DPO do QuestionPro?

O DPO do QuestionPro está listado aqui: https://www.questionpro.com/gdpr

7. Você está vendo algum governo local ou estadual preocupado com o GDPR e pode compartilhar alguns exemplos?

Até agora, os governos estaduais e locais dos EUA não foram materialmente afetados pelo GDPR. Parcialmente porque a maioria das agências estaduais, locais e federais dos Estados Unidos têm suas próprias regras de proteção de dados e pesquisa com sujeitos humanos que precisam seguir. Em muitos casos, isso pode até entrar em conflito com os regulamentos do GDPR. Portanto, aconselhamos que as agências governamentais dos EUA (Federal, Estadual e Local) continuem a procurar orientações do seu consultor jurídico interno.

8. Eu, como cliente do QuestionPro, preciso inserir as informações de contato do nosso DPO também?

Sim - Você precisa. Temos telas para você inserir as informações de contato do seu Oficial de Proteção de Dados. Isso será exibido ao respondente da pesquisa, caso ele deseje contatá-lo sobre seus dados ou privacidade.

9. Como identificar uma violação? É quando os consumidores reclamam ou precisa haver mecanismos de verificação regulares?

O GDPR não especifica os mecanismos que devem estar em vigor para identificar violações, como dispositivos IDS (Serviços de Detecção de Intrusões). No entanto, ele exige que os consumidores / partes afetadas sejam notificados dentro de 72 horas após uma empresa identificar uma violação. A regulamentação é sobre a divulgação da violação. Espera-se que as empresas tomem precauções de segurança e tenham uma abordagem de segurança em camadas para os dados - mas isso é uma questão técnica e não uma questão regulatória.

10. Como identificar um usuário solicitando uma exclusão? Baseado no endereço de e-mail?

Armazenamos cookies na instância do navegador do respondente. Nem todas as pesquisas são enviadas por e-mails. Consideramos isso como o ponto de interação - a experiência do navegador online. Usando os cookies, identificamos todas as pesquisas que o respondente realizou - e damos a eles a opção de solicitar uma exclusão ou até mesmo visualizar os dados que o respondente forneceu.

11. Existe um mecanismo para auto-excluir ou auto-aprovar as solicitações de exclusão das respostas?

Neste momento - Não. Estamos intencionalmente tornando o processo manual quando começamos. Com o tempo, à medida que o regime do GDPR se estabelecer e dependendo do volume de solicitações de RTBF (Direito ao Esquecimento) que surgirem, provavelmente habilitaremos ferramentas para nossos clientes auto-aprovarem as solicitações.

12. Se um respondente realizar pesquisas de vários clientes (do QuestionPro), como funcionará o fluxo de exclusão?

Quando um respondente vê todas as pesquisas - que ele/ela realizou através do QuestionPro, ele/ela tem a opção de excluir uma única resposta ou todos os seus dados.
Se for uma única resposta - então o fluxo de trabalho para aquele Administrador de Pesquisa será acionado, ou seja, um e-mail será enviado ao cliente do QuestionPro que possui e administra essa pesquisa.
Se o respondente solicitar que todos os seus dados sejam removidos, vários e-mails de fluxo de trabalho serão enviados - dependendo se cada um dos clientes do QuestionPro ativou a conformidade com o GDPR ou não.
Em todos os casos, no entanto, o QuestionPro removerá automaticamente todos os cookies associados ao usuário imediatamente.

13. Muito do trabalho publicado tem sido sobre funções, equipe e contratos. Considerando que esta é uma questão de dados em seu cerne, você pode cobrir as maneiras pelas quais os dados precisam ser protegidos e transmitidos para estar em conformidade com o GDPR?

O GDPR não exige especificamente um padrão para armazenamento de dados e, mais importante, qualquer limite para criptografia. No entanto, o GDPR estabelece que deve haver “proteção de dados por design” - interpretamos isso como criptografia tanto em repouso quanto em trânsito. Isso significa que os dados em movimento entre sistemas devem ser criptografados e, quando armazenados em qualquer sistema, devem ser criptografados em repouso. Acreditamos que se essas duas regras forem seguidas, então cumprimos o mandato de “proteção de dados por design”.
Algumas considerações práticas são - usar SSL e SSL APENAS para todas as transferências de dados - isso inclui SFTP e HTTPS como os dois protocolos dominantes para mover dados entre sistemas. Quando os dados são armazenados (em bancos de dados ou discos rígidos) - devem existir proteções para que esses dados não sejam visíveis ou acessíveis sem uma chave gerada pelo usuário ou pelo menos uma chave gerada pelo sistema.
No QuestionPro, movemos automaticamente todas as URLs das nossas pesquisas para SSL. Portanto, qualquer dado que o respondente fornecer é por meio de um canal seguro. Todos os dados transmitidos dos servidores do QuestionPro para máquinas locais (cliente) também são seguros através do mesmo mecanismo SSL. Os dados armazenados nos servidores do QuestionPro são criptografados automaticamente no nível do banco de dados/armazenamento. Portanto, os dados só estão disponíveis e expostos através da camada do sistema operacional/aplicação.
Se os clientes estão baixando dados para laptops/computadores, recomendamos que os clientes usem criptografia de armazenamento local para criptografar os arquivos / sistema de arquivos que só podem ser desbloqueados com base em um login/senha. Isso cumprirá a filosofia de “proteção por design”.

14. Se um respondente excluir sua resposta, isso não afetaria os resultados sendo coletados?

Os respondentes não podem excluir diretamente os dados. Eles podem enviar uma solicitação de exclusão que o proprietário da pesquisa pode então aprovar.

15. Existe um nível mínimo de licença para conformidade com GDPR?

Não, a conformidade com GDPR está disponível para todos os usuários.

16. O oficial de proteção de dados é designado no QuestionPro?

Sim. Você pode designar seu próprio DPO em Minha Conta -> Conformidade -> GDPR.

17. O oficial de proteção de dados precisa de uma conta no QuestionPro?

Não.

18. Os dados precisam ser armazenados em servidores da UE para conformidade com GDPR?

Não.

19. Se o respondente excluir suas respostas, elas são realmente excluídas dos data centers do QuestionPro?

Não, o proprietário da pesquisa terá que aprovar a solicitação de exclusão, então a resposta será excluída do data center.

20. O administrador da pesquisa é notificado caso uma resposta seja excluída?

Sim, o administrador receberá um e-mail notificando sobre a solicitação de exclusão.

21. Se a configuração do GDPR estiver ativada, ela estará ativada para todos os respondentes, independentemente da localização?

Sim.

22. Quando um respondente solicita que seus dados sejam excluídos por meio de uma pesquisa, ele vê apenas os dados associados àquela pesquisa específica ou vê suas respostas para todas as outras pesquisas?

Estamos rastreando as respostas com base em cookies, então os respondentes verão todas as suas respostas para as quais os cookies estão presentes.

O artigo foi útil?
sim Não

Como podemos melhorar?

Enviar

You may also be interested in... GDPR - Autoridade de Supervisão Líder GDPR - Documento de Política GDPR - Oficial de Proteção de Dados GDPR - Direito ao Esquecimento Respostas - Como excluir respostas individuais? Como criar pesquisas em conformidade com o GDPR

Contate-nos

Você tem alguma pergunta?

Seminário on-line
Treinamento grátis
apoio
certificate-icon Certificação