National Commission on Computing and Freedom (CNIL) tar regelbundet emot klagomål om praxis hos företag som samlar in personuppgifter om Internetanvändare för att söka kommersiella ledtrådar utan samtycke. Detta är vanligtvis “telefonuppgifterna för personer som visas i annonser som publiceras på en interpersonell webbplats eller till och med onlinekataloger”, specificerade kommissionen.
Dessa företag använder skrapningsprogram. Målet med dessa verktyg: att automatiskt samla in Internetanvändares kontaktinformation på offentliga webbplatser. Data som samlas in på detta sätt förblir dock personlig information. Därför bör de inte användas fritt eller utnyttjas, särskilt inte om deras ägare motsätter sig någon form av kommersiellt utnyttjande.
Brott mot GDPR-lagen
Bland de aktörer som identifierats av CNIL finns företag som specialiserar sig på “frilansfastigheter”, som bildar en databas med internetanvändares kontaktuppgifter som kommuniceras via onlineannonsering och säljer vidare till andra tjänsteföretag eller till och med de som “samlar in alla personuppgifter för egen räkning” av ett geografiskt område som visas i onlinekatalogen” för att sälja produkter till dem .
CNIL genomförde revisioner av dessa företag för att verifiera deras efterlevnad av praxis relaterade till GDPR. Därför visar den franska myndighetens slutsats på brott mot lagen om skydd av personuppgifter, särskilt på nivån för denna informationskälla, såsom “brist på samtycke” eller “respekt för folkets rätt att protestera.
Samtycke är “fritt, specifikt, informerat och explicit”
CNIL upprepar en av de grundläggande principerna som ska respekteras för företag som bedriver kommersiell leadgenerering genom data som samlats in av ett annat företag: “fritt, specifikt samtycke”, informerat och tydligt av Internetanvändare före något intrång.
När ett företag återanvänder allmänt tillgänglig data på Internet för att leda direkta leads relaterade till sina produkter och tjänster med hjälp av ett elektroniskt meddelandesystem eller automatiskt samtal måste företaget inhämta allas samtycke innan dessa åtgärder.
Enligt CNIL kan användarens godkännande av villkoren för användning av en webbplats inte betraktas som specifikt samtycke, även om dessa T&Cs informerar användaren om att han sannolikt kommer att få e-postreklam.
Vid kallsamtal får dataextraktionsmjukvaran inte samla in personlig information om Internetanvändare som är registrerade i antidetekteringslistan som upprättats av telefonoperatören eller BLOCTEL-systemet.
Bästa metoder för att samla in personuppgifter online
För att reglera denna användning delar CNIL fem goda rutiner att följa innan någon kommersiell aktivitet:
Kontrollera datas art och ursprung, Minska datainsamlingen till vad som är absolut nödvändigt, Informera relevanta personer genom att behandla deras data, Övervaka avtalsrelationer med underleverantörer, Genomföra konsekvensanalyser vid behov gällande dataskydd.
Kommissionen angav också att om webbplatser visar villkor som förbjuder insamling av personuppgifter från internetanvändare, kommer tredjepartsföretag inte att ha rätt att samla in denna information. Därför är det nödvändigt att verifiera arten och ursprunget för dessa källor för att följa GDPR. På samma sätt bör “insamling av irrelevant eller överdriven information, särskilt om den är känslig” (hälsa, religion, sexuell läggning, etc.), undvikas, enligt CNIL.
Se hela CNIL-rapporten
