如何有效规避GDPR和DPA的触角
如何有效地躲避GDPR和DPA的影响,因为我的老读者知道,我不情愿地相信任何没有经过测试和战斗证明的东西。在过去的两年中,我将我应用于漏洞研究的相同逻辑应用到数据隐私环境中,并继续测试广泛的数据主体权利(Data Subject Rights)。预计在这一次之后会有一些披露。在真正的信息安全时尚(内部人士会理解)中,他们将这一弱点归因于ID:
当我在谷歌上搜索我的名字时,结果中出现了一个有趣的网站。一家名为Rocket Reach的公司允许他人购买我的个人数据。我很感兴趣,因为我从未同意RocketReach存储(甚至出售)我的数据,我也没有看到RocketReach处理我的数据的其他法律依据。
使用世界上最大、最准确的电子邮件和直拨电话数据库,直接与正确的决策者联系。*实时验证来自全球1700万家公司的4.3亿专业人员的数据。受到超过500万用户的信任-推动大大小小公司的销售、招聘和营销。
2019年4月5日,我要求RocketReach访问我的个人数据(数据主体访问请求),并询问处理的目的和法律依据。RocketReach没有让我访问我的数据,也没有给我足够的回复,而是决定删除/移除所有的痕迹,并通知我它在同一天这样做了。
虽然这可能会让一些人感到惊讶,但当数据控制器意识到他们拥有的数据可能没有真正的法律依据时,这实际上是对DSAR的常见反应。
2019年4月5日,我向卢森堡数据保护局(CNPD)提出投诉。此投诉的编号为#3018(适用于那些希望向CNPD索取信息/文件的人)。
2020年3月6日(1年!)。CNPD的回应如下(原版在上,翻译版在下)。
国家保护委员会(CNPD)se permet de revenir ver vous concerned votre rétation du 5 Avril 2019年àl‘enast e de la SociétéRocketReach(全国人民保护委员会(CNPD)se permet de revenir ver vous concerned de du SociétéRocketReach)。
Dans le cadre de l‘Instructions de votre réption,la SociétéRocketReach nous a cous’elle consididère que ce sont les utilisateur de ses services,et non elle-même,qui sont les Responsables du traexation our ce qui concerne donn néesàcaractère Personalitées sur son site internet。
根据“公民权利和政治权利国际公约”第27条的规定,自由裁量权和自由裁量权是一种保护和保护的权利,因此,必须遵守“公民权利和政治权利国际公约”第27条的规定,即“自由裁量权-自由裁量法”第27条规定的“保护和保护唐尼埃斯的权利”(RGPD)的规定,但不适用于该地区的法律法规和法律法规,因此,“宪法”第27条的规定不适用于该地区的法律法规和法律法规,也不适用于保护和保护不受歧视的国家和地区的法律法规(RGPD),因此,必须遵守“宪法”第27条的规定,即“宪法”第27条。
Au sujet des Responsable du Traitationsétablis dans des Payers Tiers,Comme les Etats-Unis d‘Amérique,nous Souhaitons attirer votre sur le consideréant(116)du RGPD qui précise que(116)du RGPD qui précise que(116)du RGPD Qui Précise que:
Lorsque des DonnéesàCaractère人员专营权发送Les Frontières Extérieures de l';Union,cela peut accroütre le risque les Personnes Phyque ne puissend Expander leur droits liésàla Protection des Données,notamment our se protéger de l';Uilization ou de la Discreation illicite de ces信息。De même,Les autorités de contrôle peuentêtre disposibilitéesàl';impossibilitéd&39;expossibilitéd e réclations ou de mener des enqueêtes sur les actiités exffecées en dehors de leur Frontières.。我们的努力是为了让更多的人在跨境的情况下享受更好的生活环境,而不是处理掉的不是马蒂埃和普罗沃斯的防护性喷雾剂,而是重新开始的,标准的法律依据和标准的障碍,这些都是资源的来源。
您的位置:我也知道>地区>地区/地区>地区/地区/地区。在效果上,nous ne disposons pas des pouvoir de mener des enqueêtes et de faire appliquer les décisions que nous Serons amésàprendre sur le territoire des Etats-Unis d‘Amérique。
Nous Sommes dès lors au rous de vous告密者Qu‘il nous considérons Qu’il nous Est‘il nous Est Imposal de Poursuivre de façon Efficient le Traexation de votre档案。
国家数据保护委员会(CNPD)希望就您2019年4月5日对RocketReach公司的投诉回复您。
REACH已通知我们,它认为负责处理在其网站上处理的个人数据的是其服务的用户,而不是自己。此外,从这项指示中还发现,RocketReach是一家位于美国的公司,它在欧盟没有《数据保护一般条例》(RGPD)第27条所指的代表。*关于在第三国(如美利坚合众国)设立的数据控制器,我们想请您注意RocketReach(116)。当个人数据越过联盟的外部边界时,这可能会增加个人可能无法行使其数据保护权的风险,特别是保护自己免受此类信息的非法使用或披露的风险。同样,监管当局可能面临无法调查境外投诉或活动的问题。他们在跨界合作的努力也可能受到预防或补救权力不足、法律制度各异以及缺乏资源等实际障碍的阻碍。vbl.)
就您的投诉而言,这意味着,尽管我们不同意RocketReach的观点,即RocketReach是其网站上处理个人数据的数据控制器,但我们无法对您的投诉采取任何进一步行动。我们无权调查和执行我们在美利坚合众国必须作出的任何决定。
我们很遗憾地通知您,我们认为我们不可能继续处理您的案件。
总而言之,RocketReach没有满足GDPR关于任命一名欧盟代表来负责欧洲个人数据处理的要求(第27条)。在他们的回答中,CNPD让它听起来像是可选的,其实不然。CNPD没有仅仅基于这一点在当地追查RocketReach,而是放弃了辩称自己在美国没有管辖权。
换句话说,只要不指定欧洲的代表,围绕利用数百万欧洲数据主体的数据建立你的商业模式,你就没事了吗?
我完全知道我可以自己办理法律程序。但(在这种情况下)这不符合我的利益。你应该问的总体问题是:我们是否需要一个处理域外调查和罚款的欧洲机构?当DPA应该捍卫数据主体的权利时,为什么要花费个人的时间、金钱和精力呢?
根据文献[1],CNPD本可以做些什么,下令暂停流向第三国或国际组织的数据流动。
依照第八十三条的规定,根据个别情况,附加或者代替本款规定的措施处以行政罚款;
责令控制人或处理人在适当的情况下,以规定的方式,在规定的期限内,使处理作业符合本条例的规定;
[1]与https://cnpd.public.lu/en/commission-nationale/pouvoirs.html相反,RocketReach只是继续出售数以百万计的欧洲数据对象的个人数据,就像什么都没有发生过一样。包括以下所有内容: