На 28 декември 2018 г. френският орган по защита на данните (CNIL) публикува насоки относно условията за законосъобразно споделяне на лични данни с бизнес партньори или други трети страни, като брокери на данни. Насоките са в контекста на общия регламент на ЕС за защита на данните (GDPR).
Насоките са приложими за случаи при директен маркетинг, когато организациите придобиват лични данни (например, лични имейл адреси) от трети лица.
Те поставят следните пет условия за законосъобразно обработване:
Предварително съгласие: Организациите трябва да потърсят съгласието на лицето, преди да споделят лични данни с партньорите на организацията, ако не разпологат с друго законово основание за споделянето на данни. Това е така, тъй като предаването на данни е друг вид обработване. Все пак, ако организацията разполага с друго законово основание – например, предаване на данни за лица, наети по трудов договор, на органите по приходи, то не се нуждае от съгласие.
Идентификация на партньорите: Формулярът за събиране на данни трябва да разкрива конкретния партньор, който може да получи личните данни. Организацията, която събира данните, може или (1) да публикува изчерпателен и редовно актуализиран списък с партньори директно във формуляра за събиране на данни, или (2) да вмъкне линк към този списък във формуляра, заедно с връзка към правилата за поверителност на партньорите.
Уведомяване за промени в списъка на партньорите: Физическите лица трябва да бъдат информирани за всички актуализации на списъка на партньорите и по-специално за факта, че техните лични данни могат да бъдат споделяни с нови партньори. Тази информация може да бъде предоставена на две „нива“: (1) всяко маркетингово съобщение, изпратено от организацията, която събира данните, трябва да предоставя актуален списък на партньорите; и (2) всеки нов партньор, който получава данните на дадено лице, трябва да го информира при първия контакт с него за такава обработка.
Ограничаване до по-нататъшно споделяне без съгласие: Партньорите не могат да споделят личните данни със своите партньори, без да търсят информираното съгласие на субекта на данни.
Уведомление, което трябва да бъде предоставено от партньорите по време на първото съобщение на лицето: Партньорите, които обработват личните данни, за да изпратят собствените си маркетингови комуникации, трябва да информират съответните лица за източника, от който произхождат данните (чрез посочване на името на организацията, която е споделила данните с тях) и как физическите лица могат да упражняват своите права за защита на данните, по-специално правото си да възразят срещу обработката на личните им данни за целите на директния маркетинг. Те могат да упражнят правото на възразяване по два начина – директно пред новия партньор или от компанията, която първоначално е предала данните. От тази организация се изисква да предаде възражението на своите партньори, които са получили данните на това лице.

Прочетете още: Легитимният интерес като основание за обработване