In base al GDPR, posso richiedere di essere dimenticato e registrarmi nuovamente per una prova?

Domanda:

Grzegorz Oledzki

2018-05-25 16:04:54 UTC

view on stackexchange narkive permalink

Immagina un servizio online che offra 1 mese di prova gratuita per i nuovi utenti. Posso sempre:

registrarmi per la prova, usarlo per un mese
richiedere la cancellazione del mio account e dimenticare i miei dati
ripetere?

Tre risposte:

Free Radical

2018-05-25 16:10:45 UTC

view on stackexchange narkive permalink

In base al GDPR, posso richiedere di essere dimenticato e registrarmi nuovamente per un percorso?

No (a meno che non siano stupidi)

"diritto all'oblio" non significa che devono cancellare i tuoi dati. Possono conservare i dati personali se hanno "interessi legittimi" per conservare questi dati. Impedire ai clienti di abusare del loro sistema di "prova gratuita" è un interesse legittimo.

Citazione / i per favore, poiché sul suo volto, questa risposta è insufficiente e imprecisa.

@A.fm. insufficiente, ma non impreciso.

Inesatto in quanto è falso dire che non devono cancellare i tuoi dati. Hanno l'obbligo di farlo con eccezioni.

A.fm.

2018-05-26 18:04:32 UTC

view on stackexchange narkive permalink

Sicuramente non consulenza legale e si prega di consultare un avvocato prima di fare qualsiasi mossa w / r / t GDPR (o qualsiasi altra cosa, davvero!).

Ai sensi del GDPR, il " diritto alla cancellazione" si applica nelle seguenti circostanze:

a) i dati personali non sono più necessari in in relazione alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l'interessato revoca il consenso su cui si basa il trattamento ai sensi dell'articolo 6, paragrafo 1, lettera a), o lettera a ) dell'articolo 9, paragrafo 2, e laddove non sussista altro fondamento giuridico per il trattamento;

c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1 e non sussiste alcun motivo legittimo prevalente per il trattamento, o l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2;

d) i dati personali sono stati trattati illecitamente;

e) i dati personali hanno da cancellare per adempiere a un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il responsabile del trattamento;

f) i dati personali sono stati raccolti in relazione all'offerta della società dell'informazione se rvices di cui all'articolo 8, paragrafo 1.

Tuttavia, questi punti non si applicano quando il trattamento in questione è necessario:

a) per esercitare il diritto alla libertà di espressione e informazione;

b) per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel interesse pubblico o nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i) ) nonché l'articolo 9, paragrafo 3;

d) a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica oa fini statistici in conformità dell'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento; o

e) per l'istituzione, l'esercizio o la difesa di rivendicazioni legali.

Se non si applicano eccezioni ed esiste una delle circostanze di cui sopra, il

l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali

Pertanto, la dichiarazione che

il "diritto all'oblio" non significa che devono cancellare i tuoi dati

è impreciso.

Secondo l ' Information Commissioner's Office del Regno Unito, ci sono altri due modi in cui una richiesta di cancellazione delle informazioni può essere rifiutata. Può essere negato se la richiesta è

manifestamente infondata o eccessiva, tenendo conto del fatto che la richiesta sia di natura ripetitiva.

Se è così , la richiesta può essere rifiutata o può essere richiesta una "tariffa ragionevole" per evadere la richiesta.

La conclusione è che l'azienda

potrebbe sostenere che i suoi interessi legittimi prevalgono sulla tua richiesta; oppure
potrebbe sostenere che i dati vengono ancora utilizzati per realizzare lo scopo per cui sono stati originariamente raccolti o elaborati

Dovresti essere in grado di determinarlo quando fornisci le informazioni, tuttavia, perché

[i] f I Titolari del trattamento utilizzano gli interessi legittimi come base legale del trattamento dei dati, quindi devono garantire che alle persone venga comunicato che intendono trattare i loro dati. Devono inoltre informarli dei legittimi interessi che hanno stipulato come base del trattamento e sono inoltre tenuti a informarli del loro diritto di opporsi al trattamento.

Tuttavia, le aziende sono obbligate a raccogliere ed elaborare solo le informazioni necessarie per raggiungere gli scopi per i quali i dati vengono acquisiti. Pertanto, potresti essere in grado di richiedere che alcune parti delle tue informazioni vengano eliminate. Ad esempio, l'azienda potrebbe aver bisogno del tuo nome e indirizzo email per impedirti di raggiungere il tuo obiettivo di omaggi a vita; tuttavia, forse non avrebbero bisogno del tuo indirizzo di casa per questi scopi. Probabilmente sarai comunque in grado di rimuovere con successo quella parte dei tuoi dati, perché esiste anche l'obbligo di eliminare le informazioni personali entro un tempo ragionevole dopo il quale i dati non sono più necessari.

In alternativa, potresti farla franca un paio di volte, ma è concepibile che dopo di che, supponendo che si diffondano, sarebbero in grado di stabilire che la tua richiesta di cancellazione è "manifestamente infondata o eccessiva , tenendo conto se la richiesta è di natura ripetitiva. "

Infine, e questa è solo una mia congettura e penso che sarebbe uno scenario interessante, forse l'azienda sarebbe tenuta a cancellare i tuoi dati , ma il tuo tentativo di sfruttare i loro servizi di prova gratuiti creerebbe l'interesse legittimo su cui l'azienda potrebbe fare affidamento o forse potrebbe creare un nuovo scopo per la conservazione di tali informazioni che non era già esistito.

Alla fine della giornata, probabilmente non te la caverai con il programma di prova gratuito. Tuttavia, volevo assicurarmi che tu avessi una risposta completa e che considerasse i vari aspetti di questo problema.

Mi sembra che il punto e consentirebbe la conservazione delle informazioni di identificazione allo scopo di difendersi da una potenziale rivendicazione futura, ma ancora più importante, sembra che il diritto alla cancellazione non esista qui perché nessuno dei motivi in 17 (1 ) si applica. Cioè, la conservazione dei dati per questo scopo rientra nel 6 (1) (f), non nel 6 (1) (a).

Può davvero sembrarti così, ma non è così. Pensa a quella dichiarazione. Pensi che abbiano approvato questa legge che dovrebbe stabilire lo standard globale per la protezione dei dati e dopo anni di anticipazione e preparazione, le autorità sono colte di sorpresa da una scappatoia che consente praticamente a ogni azienda di mantenere le informazioni di tutti sulla base di "Bene, loro può farmi causa. "

Se il buon senso non basta, le Linee guida sull'art. 49 del Reg 2016/679, adottato in data 2/6/18. Mentre l'art. 49 offerte con trasferimenti, non elaborazione, utilizza quasi esattamente gli stessi punti e la stessa lingua. Si afferma espressamente che "[l] a deroga non può essere utilizzata per giustificare il trasferimento di dati personali sulla base della mera possibilità che in futuro possano essere avviati procedimenti legali o procedimenti formali". Inoltre, il "test di necessità" "richiede una connessione stretta e sostanziale tra i dati ... e l'istituzione, l'esercizio o la difesa specifici del reclamo legale in questione.

http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49771

Si applicano almeno tre motivi in 17 (1). E non sai se la conservazione dei dati per questo scopo rientra nell'uno o nell'altro, a meno che tu non abbia letto l'informativa sulla privacy dell'azienda o lavori lì. Sebbene gli interessi legittimi sarebbero preferibili al consenso come base per il trattamento dei dati, è anche più difficile da sostenere rispetto al consenso.

ok, hai confutato il mio primo punto, ma non sono convinto sul secondo. La conservazione dei dati in questo contesto potrebbe essere giustificata da 6 (1) (f) o, se il processo è offerto alle condizioni giuste, 6 (1) (b), quindi il diritto di cancellazione dell'articolo 17 non sarebbe applicabile.

Quindi, 6 (1) (f) è un interesse legittimo e 6 (1) (b) è l'esecuzione di un contratto. In primo luogo, può essere applicato più di un principio, come dice 6 (1) "nella misura in cui si applica almeno uno dei seguenti:". Detto questo, ecco un esempio di una prova gratuita di un'app che ho appena scaricato + l'informativa sulla privacy dell'azienda (screenshot con punti salienti: https://imgur.com/a/PVMRTpQ). Aneddotico, ovviamente, ma scommetto che la maggior parte di tali accordi sarà basata sul consenso dell'utente. Detto questo, il diritto alla cancellazione * sempre * si applica. Può essere superato, ma non c'è mai una circostanza in cui il diritto alla cancellazione non sia una cosa ...

Ad esempio, se il trattamento dei dati è stato basato su interessi legittimi, stai sostenendo che il diritto alla cancellazione non sarebbe una base su cui si potrebbe richiedere la cancellazione delle loro informazioni. Ma in realtà, un test comparativo determinerebbe se l'interesse legittimo abbia prevalso sugli interessi dell'interessato nel far rimuovere i suoi dati. Inoltre, il 13/5/14 l'Euro. Ct of Justice ha dichiarato: il "diritto all'oblio" è davvero un * diritto umano. * UK ICO dice diritto alla cancellazione = diritto all'oblio https://ico.org.uk/for-organisations/guide-to-the -general-data-protection-regulation-gdpr / diritti-individuali / diritto-alla-cancellazione /

Non posso più modificare i commenti (??) ... "mai una circostanza in cui il diritto alla cancellazione non sia una cosa." Un po 'un'esagerazione. Ma i casi in cui non si applica sono quelli elencati nel 2 ° testo citato nella mia risposta. L'unico di quelli di cui abbiamo parlato è l'uso per stabilire / esercitare / difendere rivendicazioni legali.

Mike Scott

2018-05-29 01:32:27 UTC

view on stackexchange narkive permalink

Anche se hai il diritto di far cancellare i tuoi dati, ciò non significa che puoi farla franca con il tuo piano. Possono mantenere un hash delle informazioni fornite, che non sono dati personali poiché non possono essere collegati a te, ma se provi ad aprire un nuovo account con gli stessi dettagli possono farlo di nuovo e vedere che l'hash esiste già.

ⓘ

Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.

a proposito - legalese