我注意到GDPR收到的电子邮件趋势,其中有些是“选择退出”(或伪选择退出,您只需要停止使用其服务即可)像这样:
我们更新的隐私政策解释了您根据此新法律的权利,将于2018年5月25日生效。在此日期之后继续使用我们的网站或应用,即表示您同意这些更新条款。
或者他们要求您选择加入:
您好,这是我们要求允许以下内容的一般数据保护法规(“ GDPR”)电子邮件中的另一封电子邮件给您发电子邮件,即使您不在欧盟之外。
我们希望您选择继续接收有关我们的最新更新的电子邮件。
与众不同的是两个要求?他们是在为我存储不同的数据,还是与其服务有关?我见过一些公司仅通过电子邮件向我发送有关促销等信息(类似于上面的第二个报价),并且它们具有伪退出消息,因此我认为这与服务无关。
#1 楼
目前尚不清楚第一类电子邮件是否合法。法国四方网络协会(La Quadrature du Net)计划于5月28日针对这五项大型科技公司(著名的“ GAFAM”)发起集体诉讼。以下是他们的论点摘要:GDPR第6条第1款列出了六种合法处理个人数据的案例,其中之一是用户同意;第4条§11声明必须以明确,具体,知情和明确的方式获得表示用户意愿的方式;
在GDPR序言中,解释了同意必须是积极的行为,并且在保持沉默,未选中复选框或无所作为的情况下,不能表示同意;
第7条第4款规定,在获得同意时,有必要考虑处理提供服务绝对必要的个人数据。
因此,欧盟国家数据保护机构小组“ G29”申明,如果用户没有真正的选择,或者由于拒绝同意而感到受限或将面临负面后果,那么给出的同意无效。因此,G29确认GDPR保证同意处理个人数据的行为不能与提供服务相对应。
此外,如果公司要求同意作为处理个人数据的法律依据,则将其禁止
(如果您能读法文,则推理会更详细,我上面写的只是一个摘要。)
因此,第一封电子邮件实际上是在使您能够接受某些非法行为。如果我上面提到的集体诉讼成功了,那么您可以期望较小的公司效仿并停止发送第一类电子邮件(否则将面临严重的法律后果)。
评论
Oracle站点向我展示了一个Cookie对话框。没有细节,还有一个大的“接受全部”按钮。然后,我必须经历多个页面设置才能禁用其sh * t。最终被定向到HTTP,再次经过相同的过程。这不合法。
–akostadinov
18年5月23日在19:19
“同意处理个人数据不能与提供服务相对应”。这是否意味着Google,Facebook等应允许用户在免费计划(具有现在的常规跟踪,广告等)和付费计划(完全不处理个人数据,无需同意)之间进行选择任何东西)为他们的所有服务?这是有道理的,而且很酷。
–芦苇
18年5月23日在23:28
但是处理个人数据实际上是这些公司的主要业务模型。那么您是说GDPR意味着这种商业模式的消亡吗?没有免费服务了,一切都付了吗?再次考虑,GDPR的某些部分可能会建议这样做,但是我怀疑在实践中不会如此严格地解释它。
–芦苇
18年5月24日在0:50
@reed如果公司想继续在欧盟运营,则需要寻找新的商业模式。或者至少找到一种使他们的模型合法的方法。我不确定您为什么会认为法院不会严格解释法律。
– N.I.
18年5月24日在1:05
@RemarkLima重要的区别是“他们是否需要处理您的数据才能提供服务?”如果他们需要您的数据,那么在大多数情况下,他们甚至不需要征求同意。但是,如果他们打算使用与您提供的服务完全无关的数据(除了为其提供资金),那么他们需要您的自由和自愿同意!
– Falco
18年5月28日在9:11
#2 楼
GDPR法律中的一些引文:[...]应当通过明确的肯定性行为给予同意,建立自由,明确,知情和明确表示数据主体同意处理个人信息的行为。与他或她有关的数据,例如通过书面声明(包括电子方式)或口头声明。这可能包括在访问互联网网站时打勾,选择信息社会服务的技术设置或其他声明或行为,以便在这种情况下清楚地表明数据主体接受了其个人数据的拟议处理。因此,沉默,预先打勾的盒子或不活动并不构成同意。同意书应涵盖出于相同目的或目的进行的所有处理活动。如果处理具有多个目的,则应针对所有目的达成共识。如果在通过电子方式提出请求后要征得数据当事人的同意,则该请求必须清晰,简洁,并且不会不必要地干扰所提供服务的使用。 [...]
[...]如果处理是根据指令95/46 / EC的同意进行的,则数据主体无需以以下方式再次表示同意:符合本法规的条件。[...]
[...]数据主体的“同意”是指任何自由给出,明确,知情和明确表示数据主体意愿的信息。通过声明或明确的肯定行动,他或她表示同意处理与他或她有关的个人数据; [...]
[...]在评估是否自由给予同意时,应特别考虑合同的履行,包括提供服务,是否以同意为条件处理履行该合同不必要的个人数据。 [...]
GDPR需要明确的同意。如果服务一直在收集个人数据,而您未明确同意,则他们必须再次明确征求您的同意。我相信,从理论上讲,每次服务提供商修改隐私政策时,也都需要再次征求其明确同意,尽管我找不到关于此的声明。因此,我相信您的“伪隐式退出”示例在任何情况下都是不合法的,即使您以前曾以GDPR兼容方式明确表示同意(我对此表示怀疑),因为他们现在正在更改其隐私政策并要求您通过继续使用他们的服务来隐式接受它。
评论
假设他们选择使用同意理由。可能是那些通过电子邮件发送的“选择退出”链接声称具有合法权益,但提供了选择退出以遵守其他权利的要求。
–尼尔P
18年5月23日在15:24
GDPR不需要明确的同意-这只是6个合法的处理基础之一。
–symcbean
18年5月24日在12:14
@symcbean,您是对的,在某些情况下,您实际上并不需要所有用户的同意。但是在这种特殊情况下,我认为我们正在谈论同意(选择加入,选择退出等),据我所知应该是明确的。
–芦苇
18年5月24日在22:24
如果某项服务一直在收集个人数据,而您没有明确同意,则他们必须再次征求您的同意,这显然没有任何意义。如果他们不同意,即使只是征得上述同意,他们也无法处理您的数据。最慈善的解释是,这些电子邮件只是通常的“我们已经改变了使用条件”电子邮件,与GDPR中的同意概念无关。
–放松
18年5月28日在19:21
@放宽,您过去可能已经隐含了同意,或者对GDPR没有足够明确的同意。我所指出的对比是在隐式/显式之间,而不是在同意/不同意之间。
–芦苇
18年5月28日在19:56
#3 楼
第一类是大型公司(如大型电子邮件提供商),他们将按照自己的意愿去做,而由于您想使用他们的服务,因此您将接受他们的条件。不这样做会阻止您使用他们的服务。第二类是比较公平的类别,询问您是否要从他们那里接收信息。通常,这些都是商业公司,因此选择接受他们的报价不会阻止您与他们开展业务。
评论
“不这样做将阻止您使用他们的服务。”受GDPR禁止,我知道一个协会(如果您感兴趣的话,称为“ La Quadrature du Net”)已经计划对12家大公司(包括Google,Apple,Facebook,Amazon,Microsoft ...)发起集体诉讼。星期一,主要的抱怨是这个。
– N.I.
18年5月23日在15:37
@NajibIdrissi您可以提供该文章的链接吗?正交网站有点密集。
–马修·菲茨·杰拉德·钱伯兰
18年5月23日在15:53
@ MatthewFitzGerald-Chamberlain我写了一个包含摘要和链接的答案。
– N.I.
18年5月23日在15:59
@Najib-是的,这是正确的,但大型压迫者并不在乎。他们将继续做自己的工作。
–注意
18年5月24日在5:04
@NajibIdrissi关于我所读的内容,该操作于2018年5月25日至5月25日(而不是下周一)开始。这是法语版本的链接:gafam.laquadrature.net
– Pacopaco
18年5月24日在13:36
#4 楼
首先,还没有判例法,而且不同的律师以不同的方式解释这些规则:有些人的行事非常安全,另一些人则风头正劲。有些人可能认为他们不太可能在值得起诉的人中名列前茅。 (面对现实,没有人会起诉体育俱乐部以记下谁最后修理了割草机)。其次,同意只是允许保留数据的方法之一。 。其他包括合同的存在,遵守法律和法规的必要性以及“合法权益”(这很容易解释:但是,例如,一家保险公司可以保留您的索赔历史,以便可以发现第三,与表象相反,无需为GDPR续签现有的同意书;如果您去年同意,那么(大概!)就足够了。
IANAL-不过,我已经阅读了规定。
#5 楼
正如其他答案所表明的那样,GDPR需要明确,知情,明确的同意。另外,根据问责制原则,数据控制者应能够证明这一点。理论上:
发送电子邮件的组织已经有了您的电子邮件。明确记录的明确同意(例如,当您订阅新闻通讯或签订合同时),也许他们正在更新其隐私政策以更好地与GDPR保持一致,因此他们向您发送了一封电子邮件,并利用它们来提醒您您可以随时选择退出。
发送选择加入电子邮件的组织未记录正确的同意书,它们急于记录您的同意并将其存储在全新的GDPR管理工具中。
在实践中:
一些发送退出电子邮件的组织可能步履蹒跚,他们相信他们的老式同意将得到当局的认可,
一些发送选择加入电子邮件的组织已经不在法律范围内(到以前的指示和成员国法律),但现在他们感到后悔,因为他们越来越担心罚款。
或者,这取决于他们各自雇用的律师。
#6 楼
除了此处已经提到的区域之外,还有一部分GDPR与数据保留有关。许多要求人们(或至少是我收到的)选择加入的电子邮件也表明,几年来他们与我没有任何互动(或者更确切地说,是来自我的互动),因此如果我想继续接收他们的电子邮件,则需要重新选择加入。这使他们知道自己的数据是最新的,其他任何内容都可以删除。虽然英国的《数据保护法》已经规定,数据的保存时间不能超过需要的时间,但基本上被忽略了,邮件列表也在继续增长。但是,GDPR要求在合理的时间后删除数据。如果您选择加入,则将重置与它们相关的数据的时钟。
#7 楼
这里有两件事在起作用:无论何时旧的同意仍然有效,因为被问到的方式已经符合该即将通过的法律(给人以选择的印象) -退出,但这仅是您继续使用旧加入)与旧同意的不足或无效,因此您需要续签。因为该复选框默认情况下已被选中(实际上该复选框当时已退出,因此必须由全新的选择加入来代替)。
公司希望保持现状不变时(同样,旧的选择加入现在感觉像是退出),或者他们是利用这个机会向您请求比他们已经拥有的权限更多的权限(选择加入全新的内容,例如电子邮件)。
您在这里处理第一种情况。第一家公司只是更新了其政策并认为旧的同意书足够好,而第二家公司则根据新法律认为您的旧书同意无效,并要求您重新同意。
GDPR并不是新的,在这里有2年的休假立法,因此理论上至少要准备2年。完全可以想象有些同意已经得到遵守(实际上,在法案生效之前没有人关心)。
关于案例2,https://gdprhallofshame.com/上有示例正在尝试做到这一点。
评论
第一个示例没有授予他们继续发送电子邮件的权限,除非他们以前使用了真正的选择加入方法,而是向用户通知了更新的条款。并非所有这些都与GDPR直接相关-一些公司正在以此为借口来更改条款。请注意,最上面的一个并没有特别提及GDPR这很可能只是法律废话的写法。尽管我不是律师,所以请不要相信我。
有趣的问题,投了赞成票并发表了答案,但是我可以问为什么这里要考虑这个问题?我最近从INFOSEC的角度提出了一个关于GDPR的问题,但无论如何,它已移至law.SE。只是想了解
@reed我个人认为,我认为这是一个法律问题,而不是InfoSec。仅仅因为技术是相关的,并不意味着它属于这里。
这似乎是法律问题,而不是IT安全问题。这使它偏离主题。但是考虑到收到的良好答案,我建议将其迁移到Law Stack Exchange。