我注意到由于 GDPR 而收到的电子邮件的趋势,其中一些是“选择退出”(或伪退出,您只需要停止使用他们的服务),如下所示:
我们更新后的隐私政策解释了您在这项新法律下的权利,并将于 2018 年 5 月 25 日生效。在此日期之后继续使用我们的网站或应用程序,即表示您同意这些更新后的条款。
或者他们要求您选择加入:
嗨,这是另一封通用数据保护条例 (“GDPR”) 电子邮件,我们请求允许向您发送电子邮件,即使您在欧盟以外也是如此。
我们希望您选择继续不时收到有关我们最新更新的电子邮件。
这两个请求有什么区别?他们是在我身上存储不同的数据,还是更多地与他们的服务有关?我见过一些公司只通过电子邮件向我发送促销等信息(类似于上面的第二个引用),并且他们有伪退出消息,所以我认为这与服务无关。
尚不清楚第一种电子邮件是否合法。一个法国协会la Quadrature du Net计划在 5 月 28日针对五家大型科技公司(著名的“GAFAM”)就这种做法发起集体诉讼。以下是他们的论点的摘要:
因此,欧盟国家数据保护机构“G29”确认,如果用户没有真正的选择、感到受限制或将面临拒绝同意的负面后果,则所给予的同意无效。因此,G29 确认 GDPR 保证同意处理个人数据不能等同于提供服务。
此外,如果公司要求同意作为处理个人数据的法律依据,则禁止他们使用第 6 条的其他法律依据来证明其处理的正当性。
(如果你会读法语,推理会更详细。我上面写的只是一个总结。)
所以第一封电子邮件本质上是在强迫你接受非法的东西。如果我上面提到的集体诉讼成功了,那么您可以期望较小的公司效仿并停止发送第一类电子邮件(或面临严重的法律后果)。
GDPR 法中的一些引用:
[...] 同意应通过明确的肯定性行为给予同意,该行为建立自由、具体、知情和明确的指示,表明数据主体同意处理与其有关的个人数据,例如通过书面声明,包括通过电子方式或口头声明。这可能包括在访问互联网网站时勾选方框、选择信息社会服务的技术设置或在此情况下明确表明数据主体接受对其个人数据的拟议处理的其他声明或行为。因此,沉默、预先打勾或不活动不应构成同意。同意应涵盖为相同目的或多个目的进行的所有处理活动。当处理有多种目的时,应获得所有目的的同意。如果在通过电子方式提出请求后要获得数据主体的同意,则该请求必须清晰、简洁,并且不会对所提供服务的使用造成不必要的干扰。[...]
[...] 如果处理是基于 95/46/EC 指令的同意,如果同意的方式符合本条例的条件 [...]
[...] 数据主体的“同意”是指数据主体的意愿的任何自由、具体、知情和明确的指示,通过声明或明确的肯定行动,他或她表示同意处理与他或她有关的个人资料;[...]
[...] 在评估是否自愿给予同意时,应最大限度考虑,除其他外,合同的履行(包括提供服务)是否以同意处理个人数据为条件,而为履行该合同所必需的。[...]
GDPR 需要明确同意。如果某项服务一直在收集个人数据,而您没有明确表示同意,那么他们必须再次明确征求您的同意。我相信理论上服务也需要在每次修改他们的隐私政策时再次征求明确的同意,尽管我找不到关于这一点的声明。所以我相信你的“伪隐式退出”的例子在任何情况下都是不合法的,即使你以前以符合 GDPR 的方式明确表示同意(我对此表示怀疑),因为他们现在正在改变他们的隐私政策并要求您通过简单地继续使用他们的服务来暗示接受它。
第一类是无论如何都会做他们想做的事情的大公司(如大型电子邮件提供商),既然你想使用他们的服务,你就会接受他们的条件。不这样做会阻止您使用他们的服务。
第二类是更公平的,询问您是否想从他们那里收到信息。通常,这些是商业公司,选择不接收他们的报价不会阻止您与他们做生意。
首先,还没有判例法,不同的律师以不同的方式解释规则:有些人玩得很安全,有些人则顺风顺水。有些人可能认为他们不太可能在值得起诉的人名单上名列前茅。(让我们面对现实吧,没有人会起诉体育俱乐部记录最后修理割草机的人)。
其次,同意只是允许保留数据的方式之一。其他包括合同的存在、遵守法律法规的需要以及“合法利益”(这很容易解释:但例如保险公司可以保留您的索赔历史,以便它可以检测到欺诈性索赔)。
第三,与表面相反,现有的同意不需要为 GDPR 更新;如果您去年同意,那(可能!)已经足够好了。
IANAL - 不过,我已经阅读了规定。