Soru:
GDPR, İstenmeyen E-postaların Okunmasını Yasaklar mı?
BWFC
2018-09-06 13:40:35 UTC
view on stackexchange narkive permalink

Başlangıçta bu soruyu Bilgi Güvenliği ile ilgili sordum ve buraya daha uygun olduğu önerildi.

İngiltere'deki bir tahsis kurumunun yönetim komitesinin üyesiyim. Komite, onlarla iletişim halinde olmak için dernek üyelerinin e-posta adreslerinin bir listesini tutar. Bu yıl 25 Mayıs'ta GDPR başlamadan önce, bu listedeki tüm üyelere gelecekteki iletişimleri seçmelerini isteyen bir e-posta gönderildi. Üyelerin çoğu olumlu yanıt verdi.

Dün gece yapılan bir toplantıda komite Sekreteri, sitedeki sağlık ve güvenlik konularında tavsiye vermeyi seçmeyen üyelerden e-posta aldığını söyledi. Ulusal Tahsis Derneği'nin politikasının, bu e-postaların GDPR nedeniyle okunamadığını olduğunu söyledi. Daha sonra orijinal gönderene bu konuda tavsiyede bulunan bir e-postanın gönderildiğini ekledi.

GDPR'nin e-postalar hakkında ne dediğine baktım ve istenmeyen e-postalar göndermeme ve bir kuruluşun açık rızası olduğundan emin olmaya yoğunlaşıyor gibi görünüyor verileri saklamak için. Anladığım kadarıyla bu e-postayı işleme koymak için yasal bir nedenimiz var, ancak hiçbir şey için açık iznimiz yok.

Sorum şu: GDPR istenmeden okumayı yasaklıyor mu açıkça bir posta listesine dahil olmayan kişilerden gelen e-postalar?

_Store_ verilerinin açık rızası, verileri okumak için biraz ortogonal olmalıdır. Bir e-postayı okuyup okumayacağınızı bile tartışabiliyorsanız, onu zaten kaydetmişsinizdir.
Saçmalık. Birisi posta kutunuza adınıza yazılmış "istenmeyen" bir mektup düşürürse, onu okumanıza izin verilmeyeceğini düşünüyor musunuz?
@Greendrake, saçmalığı, toplantıda yaptıklarımı söylemenin kibar bir yolu. Politika görünüşe göre, ne kadar pratik ve uygulanamaz olsa da. Sanırım birisi posta listesinde yer almak için açık rızanın yorumlanmasını çok ileri götürdü. Ancak, GDPR konusunda uzman değilim, bu yüzden neden burada açıklama istiyorum.
Açıklama konusuna gelince, Sekreterden politikanın bir kopyasını isteyeceğim. Elbette bu, politikanın onu bana iletmesine izin verdiğini varsayar!
Iki yanıtlar:
sleske
2018-09-06 15:07:03 UTC
view on stackexchange narkive permalink

GDPR, bir posta listesine açıkça kaydolmamış kişilerden gelen istenmeyen e-postaların okunmasını yasaklıyor mu?

tl; dr:

Hayır. Bunu hiç duymadım ve bunun GDPR'den nasıl bir sonuç alacağını anlamıyorum. Nasıl sonuca vardığını öğrenmek için Sekreter ile görüşmelisiniz.

Ayrıntılı muhakeme:

GDPR, kişisel verilerin işlenmesi , dolayısıyla prensip olarak e-posta okumayı kapsar, çünkü okumak "işleme" olarak sayılır ve bir e-posta kişisel veriler içerebilir. Bununla birlikte, 2. Madde (vurgu benim) şunu söylüyor:

Bu Yönetmelik, kişisel verilerin tamamen veya kısmen otomatik yollarla işlenmesine ve bir dosyalama sisteminin bir parçasını oluşturur veya bir dosyalama sisteminin parçasını oluşturması amaçlanmıştır .

Bunu bir insan E-postaları okumak, yalnızca e-postalar bir "dosyalama sisteminin" parçasıysa veya olması amaçlanıyorsa GDPR kapsamındadır. Dolayısıyla, e-postaları okumak tamam, yalnızca sistematik olarak saklamayı planlıyorsanız sorunludur.

GDPR kapsamındayken dosyalamaya bile muhtemelen izin verilecektir, çünkü gerçekten e-postaya göre hareket etmeniz gerekirdi. saklamak ve 6. Madde, kişisel verilerin işlenmesine "bir sözleşmeye girmeden önce veri sahibinin talebi üzerine adımlar atılmasına" ve "kontrolör tarafından gözetilen meşru menfaatler için işlem yapılması gerektiğinde" izin verir.

Bir uyarı: E-posta, özel kişisel veri kategorileri (Madde 9) kapsamına giren veriler içeriyorsa, depolama için açık izne ihtiyacınız olabilir. Bu, ırksal veya etnik köken, politik görüşler, dini inançlar ve sağlık bilgileri. Dolayısıyla, birisi postasında bir sağlık problemini veya dini inancını ifşa ederse, saklamak için ondan izin istemeniz gerekebilir.

Özet olarak: GDPR en fazla artık ihtiyacınız kalmadığında e-postayı derhal silmeniz gerekir (bu, e-posta sizinle alakasızsa hemen olabilir). E-posta yasal olarak ihtiyaç duyduğunuz verileri içeriyorsa (örneğin, takip etmeniz gereken bir şikayet), gerektiği gibi saklamanıza izin verilir (Madde 6 (f) uyarınca). E-posta politik / dini inançlar veya sağlık verileri gibi özellikle hassas veriler içermediği sürece, her iki durumda da e-postayı gönderen kişiden açık onay gerekmediğini unutmayın.

Bu sabah konunun etrafını okurken vardığım sonuç buydu. E-postayı okumak ve gerekirse saklamak için meşru nedenlerimiz var. E-postanın gönderilmiş olması, onu okuma izni anlamına gelir. Bence sorun burada ortaya çıktı. Gönderen, temasa geçilmesi için açık bir onay vermedi ve Ulusal Tahsisat Derneği üzgün olmaktan daha iyi bir güvenlik için gitti. Sekreterden politikanın bir kopyasını istedim ve kendime bir göz attığımda geri geleceğim. Bir yanlış yorumlamanın yanlış yorumlanması imkansız değil.
Evet kesinlikle. "Açık rıza" ile ilgili olarak, GDPR'nin yalnızca "özel kişisel veri kategorileri" için "açık izin" gerektirdiğini unutmayın. Diğer veriler için, yalnızca "bir beyanla veya açık bir olumlu eylemle" olarak tanımlanan "rıza" gerektirir. Yani örtük onay tamam.
burada şeytanın savunuculuğunu oynamak: e-posta sisteminizde e-postaya sahip olmak, kişisel verilerin otomatik olarak dosyalanması olarak düşünülebilir. Bu potansiyel bir sorundur ve birçok AB şirketi, GDPR'nin yürürlüğe girmesinden 2 yıl sonra hala sonuçlarla mücadele etmektedir. Örneğin. Bir kişinin gerçek adını içeren bir e-posta imzası, GDPR kapsamında süresiz olarak saklanamayan verilerdir, e-posta adresinin kendisi bile bir kişinin doğal adını içeriyorsa (veya iletinin başka bir yerinde kendi doğal adıyla birlikte olduğunda bu tür veriler olabilir. ).
reed
2018-09-06 15:21:24 UTC
view on stackexchange narkive permalink

TL; DR: Bir e-postayı "gözlerinizle" okumak sorun değildir, çünkü okumak bir veri işleme biçimi bile değildir. Geri kalan her şey sorun haline gelebilir: Okuduktan sonra ne yaptığınız, sistemlerinizin (veya üçüncü taraf sistemlerinizin) e-postalarınızla otomatik olarak ne yaptığı vb.

Her şey neye bağlıdır bu e-postalarla, hatta farkına bile varmadan yaptığınız şeyi yapacaksınız (otomatik yedeklemeler, tarama, işleme, arşivleme vb.). Kişisel verilerle ilgilenmek için her zaman açık rızaya ihtiyacınız yoktur. Örneğin, kişisel verileri "meşru menfaatler" temelinde, herhangi bir onay almadan işleyebilirsiniz.

E-postalarınızdaki kişisel verileri yalnızca onlara yanıt vermek için kullandığınızı ve belki de işi veya görevi gönderenin yerine getirdiğini varsayalım. istekleri. Örneğin, birisi size yaptığınız bir şeyle ilgilendiğini söyleyen ve onu bir telefon numarasından geri aramanızı isteyen bir e-posta gönderebilir. Ne yapacaksın? Elbette bu kişisel verileri e-postayı yanıtlamak ve bir telefon görüşmesi yapmak için kullanabilir ve bu verilerin yedeğini bir süre saklayabilirsiniz (ancak sonsuza kadar değil). Tüm bunlar kişisel verilerin meşru işlenmesidir, kullanıcılar tarafından beklenip anlaşılır ve herhangi bir rızaya gerek yoktur.

Şimdi, kişisel verileri e-postalarınızda kullandığınızı varsayalım. kullanıcıları ve bu listeyi ticari amaçlarla kullanacak başka birine gönderebilirsiniz. Bu, açık bir izin olmadan meşru olmaz . Bu, aldığınız her e-posta için bunu otomatik olarak yapamayacağınız, yasa dışı olacağı anlamına gelir. Gönderenin bu tür işlemler için size zaten açık onay vermiş olup olmadığını kontrol etmeniz gerekir. Onaylarını istemek için onlara bir e-posta gönderebilirsiniz. Yapamayacağınız şey, kişisel verilerini yukarıda belirtilen ticari amaçlar için onların açık rızası olmadan işlemeye başlamaktır.

Yani bir e-postayı "okumak" hiç sorun değil. Sorun, e-postayı okuduktan sonra kişisel verilerle gerçekte ne yapmakta olduğunuz veya sizin (veya bir başkası, örneğin Gmail’de Google?) Siz onu okumadan bile otomatik olarak zaten yapıyor olabileceğiniz şeydir.

Bununla ilgili daha ayrıntılı bilgi için, GDPR yasasında (Madde 6) "işleme için yasal dayanak" veya buna benzer bir şey aramanız gerektiğini düşünüyorum. Ayrıca "meşru menfaatler" ile ilgili tanım ve notlara bakın. Bununla ilgili, GDPR yasasından ilginç bir alıntı (vurgu benim tarafımdan eklenmiştir):

Kişisel verilerin ifşa edilebileceği bir kontrolörünkiler veya bir üçüncü taraf, veri sahibinin menfaatlerinin veya temel hak ve özgürlüklerinin geçersiz kılınmaması koşuluyla, veri sahiplerinin kontrolörle ilişkilerine dayalı makul beklentilerini dikkate alarak işleme için yasal bir dayanak sağlayabilir. Bu tür meşru menfaat, örneğin veri konusunun bir müşteri olduğu veya kontrolörün hizmetinde olduğu gibi durumlarda veri sahibi ile kontrolör arasında ilgili ve uygun bir ilişkinin olduğu durumlarda mevcut olabilir. Her halükarda, meşru bir menfaatin varlığı, bir veri konusunun, bu amaçla işlemenin gerçekleşebileceği kişisel verilerin toplanması bağlamında ve zamanında makul bir şekilde bekleyip bekleyemeyeceği dahil olmak üzere dikkatli bir değerlendirmeye ihtiyaç duyacaktır. Veri sahibinin menfaatleri ve temel hakları, özellikle, veri konularının makul bir şekilde daha fazla işlenmeyi beklemediği durumlarda kişisel verilerin işlendiği durumlarda, veri denetleyicisinin menfaatini geçersiz kılabilir.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 4.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...