Spørsmål:
Å redusere og bruke en e-postadresse under GDPR
George Harris
2018-06-11 19:26:54 UTC
view on stackexchange narkive permalink

Jeg ble nylig kontaktet på en jobb-e-postadresse av en rekrutterer som jobbet fra et privat rekrutteringsbyrå. Jeg har ikke hatt noen tidligere kontakt med denne rekruttereren eller byrået før dette.

Arbeids-e-postadressen jeg ble kontaktet på, er ikke oppført i det offentlige området hvor som helst jeg vet om (ikke på firmaets side, ikke på LinkedIn osv.).

Da jeg spurte rekruttereren om hvor han fant e-posten min, sa de at de hadde:

"[...] hadde kontakt med folk på [CompanyX] før og kjenner e-post-syntaksen ".

Jeg kan bare anta at dette betyr at de visste at jeg hadde begynt å jobbe i selskapet (denne informasjonen er tilgjengelig på LinkedIn i det offentlige rom) og kjente e-post-syntaksen, og brukte så denne kunnskapen til å gjette e-postadressen min og kontakte meg.

Gitt ny GDPR-lovgivning i Storbritannia og Europa, spesielt rundt behovet for et selskap å få eksplisitt samtykke til å kontakte noen er denne tilnærmingen for å kontakte mennesker lovlig i henhold til GDPR før du gjør det?

Jeg vil si at generering av e-postadresser høres mer ut som et spørsmål om lovlig beskyttelse mot spam enn GDPR; for GDPR ville det første punktet være hvor fikk de navnet ditt fra for å generere e-postadressen (hvordan vet de at det er en George Harris som jobber i firmaet ditt?).
Se også [Bruke GDPR mot e-post for markedsføring av kaldt anrop] (https://law.stackexchange.com/q/30801/18215)
En svar:
wimh
2018-06-12 01:35:58 UTC
view on stackexchange narkive permalink

Se først på artikkel 13 nr. 1 i direktiv 2002/58 / EF

artikkel 13

Uønsket kommunikasjon

  1. Bruk av automatiserte anropssystemer uten menneskelig inngripen (automatiske anropsmaskiner), faksimaskiner (faks) eller elektronisk post for direkte markedsføring kan bare tillates med hensyn til abonnenter som har gitt sitt forutgående samtykke.

  2. Uansett nr. 1, der en fysisk eller juridisk person får sine kunder deres elektroniske kontaktinformasjon for elektronisk post, i forbindelse med salg av et produkt eller en tjeneste, i samsvar med direktiv 95/46 / EF, kan den samme fysiske eller juridiske personen bruke disse elektroniske kontaktopplysningene for direkte markedsføring av egne lignende produkter eller tjenester, forutsatt at kundene klart og tydelig får muligheten til å protestere, gratis kostnad og på en enkel måte for slik bruk av elektronisk kontaktinformasjon når de samles inn d i anledning hver melding i tilfelle kunden ikke først har nektet slik bruk.

Merk at dette er et direktiv , så det er ikke direkte bindende, men hvert EU-land har opprettet sine egne lover som inneholder dette. Jeg siterte også avsnitt 2 for fullstendighet, men basert på beskrivelsen din gjelder den ikke.

Artikkel 95 GDPR spesifiserer spesifikt at den ikke endrer noen forpliktelser fra direktiv 2002/58 / EF.

Så det ser veldig tydelig ut for meg at situasjonen du beskriver ikke er lovlig.

Artikkel 14 GDPR lar deg be om all informasjon om dette, som inkluderte informasjon om hvordan de nøyaktig har fått navn og e-postadresse.

2002/58 / EF i Storbritannia er [PECR 2003] (https://www.legislation.gov.uk/uksi/2003/2426/regulation/22/made), som dessverre introduserte begrepet 'individuelle abonnenter' som jeg tror betyr at en arbeids-e-postadresse neppe vil bli dekket av den, i det minste av ICOs tolkninger: https://ico.org.uk/for-organisations/guide-to-pecr/key-concepts-and-definitions/
Denne siden skiller mellom bedriftsabonnenter og individuelle abonnenter, hvor bedriftsabonnenter ser ut til å bety selve selskapet (f.eks. Info@company.com). [Guide for direkte markedsføring] (https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf) gir e-postadresser til personlige bedrifter de samme rettighetene som andre personer. Det refererer til [seksjon 11 i DPA 1998] (http://www.legislation.gov.uk/ukpga/1998/29/section/11), som bare nevner "individer". Så i utgangspunktet hvis du vet navnet på personen til en arbeids-e-postadresse, er det en person.
Så vidt jeg kan se, har ICO sett på at når et selskap har en kontrakt på 500 kontoer fra en e-postleverandør for sine ansatte, anses ingen av disse kontoene som individuelle abonnenter. Når det gjelder den publiserte guiden, sier referansen til avsnitt 11 i DPA "selv om reglene i PECR ikke gjelder DPA fortsatt", slik jeg leste den.


Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 4.0-lisensen den distribueres under.
Loading...