Apakah berbagi data pribadi secara publik menyiratkan persetujuan untuk pengumpulan dan pemrosesan?
Misalkan warga negara Uni Eropa mempublikasikan informasi pribadi mereka, seperti nama dan detail kontak online, misalnya, di media sosial.
Jika saya ingin menghubungi mereka dalam kapasitas profesional saya melalui email, apakah saya akan mendapatkan persetujuan implisit dari mereka untuk melakukannya?
Dari pemahaman saya, saya harus melakukan banyak tindakan dengan data pribadi mereka bahkan sebelum ada yang mencapai mereka:
- mengumpulkan data mereka secara pribadi dari pihak ketiga (platform media sosial);
- memprosesnya untuk keperluan menulis email;
- bagikan dengan penyedia email saya, yang kemudian menyimpannya tanpa batas waktu sementara saya mempertahankan akses ke sana;
- sementara itu, datanya dapat dengan mudah melintasi sejumlah perbatasan internasional.
Apakah ini merupakan penggunaan yang sah?
Apakah saya berkewajiban untuk memberi tahu mereka setelah kontak tentang tindakan yang terjadi?
Apakah saya harus memberi tahu mereka tentang kesempatan untuk memilih berkomunikasi dengan saya?
Untuk konteks pertanyaan ini saya secara khusus menggunakan email mereka secara pribadi, bukan sebagai bagian dari serangan pemasaran spam "berdoa & semprot" otomatis.
Jawaban
GDPR melindungi data pribadi publik hampir sama dengan data non-publik, artinya: Anda dapat memproses data hanya jika Anda memiliki tujuan dan dasar hukum yang jelas. Ini adalah tujuan yang menentukan dasar hukum GDPR Art 6 mana yang dapat Anda andalkan, seperti persetujuan (ikut serta) atau kepentingan yang sah (menyisih).
Ringkasan:
- Anda mungkin atau mungkin tidak dapat menghubungi mereka, tergantung pada konteks di mana informasi kontak diterbitkan dan untuk tujuan Anda menghubungi mereka.
- persetujuan itu rumit, tetapi sampai taraf tertentu hal itu dapat diimplikasikan
- mengandalkan kepentingan yang sah akan membutuhkan uji keseimbangan
- ya Anda harus menginformasikan subjek data
- ya, Anda harus memberikan kesempatan untuk menolak atau menarik persetujuan
- Anda bahkan harus bersiap untuk mendapatkan keberatan kapan saja dan kemudian menghapus datanya.
Jika Anda tidak mendapatkan detail kontak langsung dari subjek data, akan sulit untuk membantah bahwa Anda memperoleh "persetujuan". Persetujuan tidak harus berupa pernyataan seperti “Saya setuju”, tetapi bisa juga diberikan melalui “tindakan afirmatif yang jelas”. Yang penting, keinginan subjek data tidak ambigu.
Jadi misalnya, jika ada kiriman media sosial tentang mencari pekerjaan, dan subjek data berkomentar secara publik dengan alamat email mereka, maka menghubungi subjek data dengan tawaran pekerjaan kemungkinan baik-baik saja. Memposting detail kontak dalam konteks tersebut adalah tindakan yang cukup jelas yang menunjukkan keinginan subjek data. Tetapi persetujuan itu dibatasi untuk tujuan tertentu. Menggunakan alamat email ini dengan tawaran untuk mengecat rumah mereka tidak akan terbang menggunakan persetujuan sebagai dasar hukum - tetapi Anda mungkin memiliki kepentingan yang sah?
Kepentingan yang sah mengharuskan Anda mengungkapkan minat ini dan kemudian menyeimbangkannya dengan hak dan kebebasan subjek data. Apa yang lebih penting: Anda dapat mengirim pesan ini atau subjek data tidak terganggu? Apakah subjek data mengharapkan penggunaan data mereka seperti ini? Ini adalah panggilan penilaian di pihak Anda. Menambahkan langkah-langkah keamanan di luar yang diwajibkan oleh hukum dapat mengubah uji keseimbangan yang menguntungkan Anda, tetapi ini sulit dilakukan. Penggunaan kepentingan yang sah memunculkan hak Art 21 GDPR untuk menolak (menyisih).
Saat mengirim komunikasi elektronik yang tidak diminta, penting untuk mempertimbangkan petunjuk ePrivasi selain GPDR. EPD Art 13 melarang pemasaran langsung otomatis seperti email massal kecuali jika penerima telah menyetujuinya. Namun, saya membaca artikel itu sebagai mengizinkan pesan yang dikirim oleh manusia, atau pesan yang bukan "pemasaran langsung". Namun bagaimanapun juga, Anda harus memudahkan penerima untuk menarik persetujuan / untuk menolak pemrosesan lebih lanjut.
Terlepas dari apakah data telah diperoleh dari sumber publik atau non-publik, pemrosesan Anda atas data ini kemungkinan harus sesuai dengan GDPR. Saat Anda menggunakan layanan pihak ketiga, layanan tersebut harus bertindak sebagai pemroses data Anda yang memerlukan kontrak sesuai dengan GDPR Pasal 28. Jika Anda menggunakan penyedia email atau CRM untuk tujuan bisnis, layanan tersebut harus dijadikan sebagai pemroses data Anda. Saat Anda mengekspor data ke negara non-UE, Anda perlu melindungi transfer internasional ini sesuai dengan GDPR Bab 5, misalnya melalui Klausul Kontrak Standar dengan pengimpor data.
Selain kewajiban kepatuhan umum, Anda harus mempertimbangkan GDPR Pasal 14. Artikel ini menjelaskan informasi bahwa Anda harus memberikan subjek data tentang pemrosesan Anda ketika Anda tidak mendapatkan data secara langsung dari subjek data. Pada dasarnya, ini berarti Anda harus memberi mereka kebijakan privasi. Sesuai Pasal 14 (2) (f), Anda harus menunjukkan sumber data mereka, misalnya jaringan media sosial tempat Anda menemukan detail kontak mereka. Anda harus memberikan informasi ini ketika Anda mengungkapkan data ini kepada orang lain, ketika Anda pertama kali berkomunikasi dengan subjek data, atau dalam jangka waktu yang wajar setelah memperoleh data, selambat-lambatnya dalam satu bulan.