Mange virksomheder har de nødvendige samtykke allerede, andre ikke har tilladelse til at sende en anmodning
@alexhern
Mon 21 Maj 2018 17.21 BST
Sidst opdateret om Mon 21 Maj 2018 17.48 BST
Indbakker er blevet oversvømmet sidst med GDPR-relaterede e-mails.
Foto: Alamy
Langt de fleste af e-mails oversvømmelser indbakker i hele Europa fra virksomheder beder om tilladelse til at holde modtagerne på deres mailing liste er unødvendige, og nogle kan være ulovligt, privatliv eksperter har sagt, som nye regler over data privatlivets fred trådte i kraft i slutningen af denne uge.
Mange virksomheder, der handler baseret på dårlig juridisk rådgivning, en frygt for bøder på op til €20m (£17.5 m) og en mangel på gode eksempler til efterfølgelse, har taget, hvad de ser som den sikreste løsning for hugger til Generel Forordning om databeskyttelse (GDPR): at spørge kunderne til at forny deres samtykke til markedsføring, kommunikation og databehandling.
Hvorfor GDPR e-mail-strøm, og kan jeg ignorere det?
Læs mere
Men Toni Vitale, lederen af forordningen, data og oplysninger på advokatfirmaet Winckworth Sherwood, sagde mange af dem, anmodninger ville være overflødigt papirarbejde, og nogle, der ikke ville være ulovligt.
“Virksomheder er ikke forpligtet til at automatisk “repaper’ eller opdatere alle eksisterende 1998 Handle samtykker i forberedelse til GDPR,” Vitale sagde. “Det første spørgsmål er: hvilken af de seks juridiske grunde under GDPR bør du stole på at behandle personoplysninger? Samtykke er kun én grund. De andre er i kontrakt, er juridisk forpligtelse, vitale interesser, den offentlige interesse og legitime interesser.
“Selv hvis du er afhængig af samtykke, som stadig betyder ikke, du er nødt til at bede om samtykke igen. Betragtning 171 GDPR gør klar, kan du fortsætte med at stole på enhver gældende tilladelse, der blev givet i overensstemmelse med GDPR krav, og der er ingen grund til at søge frisk samtykke. Bare sørg for, at dit samtykke mødte GDPR standard, og at samtykke er korrekt dokumenteret.”
Med andre ord, hvis virksomheden havde tilladelse til at kommunikere med dig, før GDPR, at samtykke sandsynligvis bærer over, og selv hvis det ikke bærer over, at der er fem andre årsager til, at en virksomhed kan anvende til at fortsætte med at behandle data.
Hvad mere er, Vitale sagde, hvis virksomheden virkelig ikke mangler den nødvendige tilladelse til at kommunikere med dig, er det sandsynligvis mangler samtykke, selv til e-mail for at bede dig om at give det, at samtykke.
“I mange tilfælde vil afsenderen være en overskridelse et andet sæt af regler, Privatlivets fred og Elektronisk Kommunikation Regler, som gør det strafbart at nogen e-mail for at bede dem om tilladelse til at sende dem markedsføring via e-mail.”
Den manglende forståelse omkring, hvornår og hvorfor samtykke er påkrævet i henhold til GDPR har bedt om the Information Commissioner ‘ s Office for at prøve at løse nogle af de “myter” af GDPR.
“Vi har hørt historier om e-mail-indbakker sprængfyldt med lange e-mails fra organisationer, der beder folk om de er stadig glade for at høre fra dem,” Steve Wood, den assisterende information commissioner, skrev i vejledning for virksomhederne. “Så tænk over, om du rent faktisk har brug for at genopfriske samtykke, før du sender denne e-mail, og glem ikke at indføre mekanismer for folk til at trække deres samtykke nemt.”
Som Vitale, Træ understreget, at bede for marketing samtykke fra folk, der ikke havde givet det i første omgang kan være ulovlige. “Det er også vigtigt at huske, at i nogle tilfælde kan det være hensigtsmæssigt at søge frisk samtykke, hvis du er usikker på, hvordan du har indsamlet oplysninger om kontakt i første omgang, og at samtykke ikke ville have mødt den standard, der er under vores eksisterende Data Protection Act,” sagde han.
Lukasz Olejnik, en forsker og konsulent, sagde, at en del af problemet var, at mange virksomheder ikke var i vane med at optage, når og hvor de har modtaget den oprindelige tilladelse til at kontakte kunder, i stedet for bare at lagre store databaser af e-mail-adresser. “Nogle virksomheder kan simpelthen være i stand til at dokumentere, at de har samtykker, enten fordi de ikke, eller at de ikke har et spor af det.
“Dette, at nogle virksomheder simpelthen aldrig havde samtykker i, eller er ude af stand til at godtgøre, der giver sit samtykke – er nogle gange diskuteret blandt både politikere og konsulenter. Der er også diskussioner over virksomheder, der ikke overholder selv de eksisterende love om databeskyttelse.”
Paul Jordan, Europa administrerende direktør for den Internationale Sammenslutning af Privatlivets fred Fagfolk, der tilbydes en sølv foring. “Jeg synes, det er helt klart, at en række selskaber ikke vil være klar [for GDPR], men hvis de kan bevise, at de har været planlægning korrekt, så vil tilsynsmyndighederne give dem et vist spillerum.”
Hvis ikke, er de bøder, – for €20m eller 4% af den årlige omsætning, kunne være at vente.