Означает ли публичное предоставление персональных данных согласие на сбор и обработку?
Предположим, гражданин ЕС публикует свою личную информацию, такую как имя и контактные данные, в Интернете, например, в социальных сетях.
Если бы я хотел связаться с ними в моем профессиональном качестве по электронной почте, получил бы я их неявное согласие на это?
Насколько я понимаю, я должен выполнить множество действий с их личными данными, прежде чем что-либо даже достигнет их:
- собирать свои данные лично от третьей стороны (платформа социальных сетей);
- обработать его для написания электронного письма;
- поделиться им с моим провайдером электронной почты, который затем продолжит хранить его на неопределенный срок, пока я сохраняю к нему доступ;
- при этом их данные могут пересекать ряд международных границ.
Является ли это законным использованием?
Обязан ли я информировать их при контакте о происходящих действиях?
Должен ли я сообщить им о возможности связаться со мной?
В контексте этого вопроса я специально использую их электронную почту лично, а не как часть автоматизированной маркетинговой атаки на спам «молись и распыляй».
Ответы
GDPR защищает общедоступные персональные данные почти так же, как закрытые, что означает: вы можете обрабатывать данные, только если у вас есть четкая цель и правовая основа. Именно цель определяет, на какое правовое основание GDPR, ст. 6 вы можете положиться, например, согласие (согласие) или законный интерес (отказ).
Резюме:
- вы можете или не сможете связаться с ними, в зависимости от контекста, в котором была опубликована контактная информация, и от цели, с которой вы связываетесь с ними
- согласие сложно, но в некоторой степени оно может подразумеваться
- полагаться на законный интерес потребует проверки равновесия
- да, вы должны сообщить субъекту данных
- да, вы должны предоставить возможность возразить или отозвать согласие
- Вы даже должны быть готовы в любой момент получить возражение, а затем удалить данные.
Если вы не получили контактные данные непосредственно от субъекта данных, будет трудно утверждать, что вы получили «согласие». Согласие не обязательно должно быть заявлением, например «Я согласен», но также может быть дано посредством «четкого позитивного действия». Что важно, чтобы пожелания субъекта данных были однозначными.
Так, например, если есть сообщение в социальной сети о поиске работы, и субъект данных публично комментирует свой адрес электронной почты, то обращение к субъекту данных с предложением о работе, скорее всего, будет нормальным. Размещение контактных данных в этом контексте - довольно однозначное действие, указывающее на пожелания субъекта данных. Но согласие ограничено целью. Использование этого адреса электронной почты с предложением покрасить их дом не приведет к тому, что согласие будет юридическим основанием, но у вас может быть законный интерес?
Законный интерес требует, чтобы вы выразили этот интерес, а затем уравновесили его с правами и свободами субъекта данных. Что важнее: что вы можете отправить это сообщение или чтобы субъект данных не был нарушен? Ожидает ли субъект данных такое использование своих данных? Это призыв к суждению с вашей стороны. Добавление мер безопасности, помимо тех, которые требуются по закону, может сдвинуть испытание на равновесие в вашу пользу, но это сложно сделать. Использование законного интереса дает право на возражение (отказ) в соответствии со статьей 21 GDPR.
При отправке нежелательных электронных сообщений важно учитывать директиву ePrivacy в дополнение к GPDR. Статья 13 ePD запрещает автоматический прямой маркетинг, такой как массовые рассылки по электронной почте, без согласия получателя. Однако я прочитал эту статью как разрешающую сообщения, отправленные людьми, или сообщения, не относящиеся к «прямому маркетингу». Но в любом случае вы должны упростить для получателя возможность отзыва согласия / возражения против дальнейшей обработки.
Независимо от того, были ли данные получены из общедоступных или закрытых источников, ваша обработка этих данных, скорее всего, должна соответствовать требованиям GDPR. Когда вы используете сторонние сервисы, они должны выступать в качестве вашего обработчика данных, что требует заключения контракта в соответствии со статьей 28 GDPR. Если вы используете провайдера электронной почты или CRM для деловых целей, они должны стать вашим обработчиком данных. Когда вы экспортируете данные в страну, не входящую в ЕС, вам необходимо защитить эту международную передачу в соответствии с главой 5 GDPR, например, с помощью стандартных договорных условий с импортером данных.
В дополнение к общим обязательствам по соблюдению вы должны учитывать статью 14 GDPR. В этой статье описывается информация, которую вы должны предоставить субъекту данных о своей обработке, если вы не получили данные непосредственно от субъекта данных. По сути, это означает, что вы должны предоставить им политику конфиденциальности. Согласно Статье 14 (2) (f), вы должны указать источник их данных, например, социальную сеть, в которой вы нашли их контактные данные. Вы должны предоставить эту информацию, когда вы раскрываете эти данные кому-либо, при первом общении с субъектом данных или в течение разумного периода после получения данных, самое позднее в течение одного месяца.