electronicprivacy.euからGDPRに関する奇妙なメールを受信しています
一週間後、私はいくつかのフランスのメールを受け取ります。私はフランス語がわからないので、Google翻訳を使用してこれが何であるかを知りました:
メール1:
Bonjour、
モン・ドロワ・ド・アセス・エ・ド・スール・ド・ドネエス人事担当者の関心のあるアプリケーション、エンス・アプリケーション、エンス・ド・ドネス・オ・セル・デ・ボス・スス・トレイトマンズ・ドスliéesàmon email。マデマルシュフェイトスイートアラカルトデスパムアロアスキュールセージデセッテアドレスEメールエクストリビューションリミテッション; ainsi je souhaites que laprocédurede recherche se limiteàmon email et auxdonnéesque vous ou vos sous traitants pourraient avoirassociées。
Je ne souhaites pasaccéderauxdonnéesde compte niàdesdonnéesliéesàuneidentitéphysique。 Ainsi je vous demande deprocéderaucontrôlessur la base de mapropriétéde cette email sans autreprocéduredecontrôlesqui seraient余分なauについてre ma ma deumde。
Dans l'éventualitéoùdesdonnéesme meに関わりのあるseraientdétectées... je vous demande de mepréciserla source d’obtention de cesdonnéeset les traitements et partagentassociés.
ダンラタンテドヴォトルリツアー
メール2:
Je me permet de vous relancer concerant ma mademde d’accèsauxdonnéesliéesàmon email datant de la semainedernière。 Avez vous bienreçumaデマンド? Vous avezlégalement1 moisreépondreを注ぐ。 Dans la Mesure ou ma Demande est simple etlimitée、le prolongement d’un mois dudélaisderéponseme sembleraitplutôtinapproprié。
Dans l’attente d’un retour de votreパート。
したがって、基本的に、この人は私のアプリで自分のデータを処理するかどうかを尋ねています(私はフランスでビジネスを行っていません)。これは別の国を対象としています。
迷惑メールの一種だと思って返信しませんでしたが、2通目のメールには1通目のメールへの返信が必要で、1か月以内に返信するようにとのことです。
私の質問は、これは何ですか?私はそのような電子メールに1か月で応答する義務がありますか?私はフランス語がわからないので、正式に返信できます。私はフランス語が話せないので、何が欲しいのかわかりません。彼が英語で話し始めたら、私も同じことをすることができます。
すべての電子メールはelectronicprivacy.euから送信されます。
まったく同じ、非常に悪い、フランス語で書かれたメールが届きました。私はビジネスを持っています(カナダを拠点としていますが、主に海外の大企業と協力しています)。魚臭い…フィッシング?
このウェブサイトを見つけました(もちろんフランス語)
https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces
それは言う:"Quels正当な要求者?エクセルサーセスドロイツ、ラペルソンドゥイットジャスティファイアードソンアイデンティティーを注ぎます。パープリンシペ、チェットジャスティフィケーションプートインターヴェニール"パートートモエン" Ainsi、il n'est pasnécessairede joindre une photocopie d'un titre d'identitéen cas d'exercice d'un dros ques l'identitéde la personne est suffisammentétablie(par exemple、par laprésentationd'un numéroclient ou desélémentspermettant d'identifier desabonnésàun service)。準優勝者、ダンアンアンビロンメントヌメリック、ルファイトデクサーサーエスドロイスデピュイアンエスパースオエラペルソンヌs'estauthentifiéepeutêtresuffisant、en fonction desdonnéesd’identiténumériquesdemandeees(par exemple FranceConnect) Néanmoins、si vous avez un"doute raisonnable"sur l'identitédu demandeur、vous pouvez lui demander de joindre tout autre document permettant de prouver sonidentité、comme par exemple、si cela estnécessaire、une photocopie d'unepièced'une 。 En revanche、vous ne pouvez pas exigersystématiquementde tellespiècesjustificatives、lorsque le contexte ne le justifie pas。 Il est par exemplpledisproportionnéd’exiger automatiquement une copie de lapièced’identitési leDemandeur effectue sadémarchedans un espaceoùil estédàauthentifié Unepièced’identitépeut toutefoisêtredemandéeen cas de suspicion d’usurpation d’identitéou de piratage du compte par exmplple。 Le niveau desvérificationsàEffectuer peut varier en fonction de la nature de la demande、de lasensibilitédes informationsCommuniqueéeset du contexte dans lequel la demande est faite。"
したがって、基本的には、クライアント番号、または機密データを要求している人物を特定できるものを求めます。これで問題が解決するはずです。それがphishongである場合、その人は偽のクライアント番号を送信します。その場合、その要求を拒否することができます。そうしないと、メールへの返信がありません。どちらにしても、このメールが正当である場合everであれば安全です。
GDPRの非常に広い言い回しによると、すべてのEU市民は、EUに物理的な所持を持っていない企業からもデータを要求するこの権利を持っています。これはその規制の下では適切な要求です。問題のメールアドレスに関連するデータがある場合は、そのデータをそのメールアドレスに提供してください。データが非常にデリケートな性質のものである場合、共有する前にデータを他の方法で確認するようにデータを要求する人と連絡を取る可能性があります。最後に、共有するデータが安全な暗号化された方法で行われていることを確認してください(GDPRでは、この目的のためにセルフサービスのTLS暗号化ポータルを設定することをお勧めしています)
フランス国民はこちら!
私が正しく理解した場合のリクエストは、このメールに記載されている情報を尋ねることに関するもののようです。 GDPRリクエストは正当であり、ビジネスがEU指向でない場合でも、GDPRリクエストを考慮する必要があります。つまり、フランス語を話さなくても、このユーザーリクエストに準拠し(このメールに本当に情報がある場合)、それに答える方法を見つける必要があります。さもなければ、このユーザーはあなたの会社を訴え、あなたは罰金を科されるかもしれません。
electronicprivacy.euは、GDPR準拠のWebサイトの実際の状態をチェックする一種の「パトロール」のようです。彼らの最終的な目的はわかりませんが、GDPRに準拠した「ランキング」などを構築している可能性があるため、返信することを検討してください。そうは言っても、ビジネスに他の影響を与える可能性はほとんどありません。
あなたのビジネスがEU指向のユーザーではなく、GDPRに準拠したくない場合は、それらをブロックする必要があります(IPアドレスをブロックすることにより)。
GDPRリクエストは事実上ヨーロッパでは正当ですが、このメールには返信しないでください。それはスパムフィッシングです。 @rosebirdproおよび https://Twitter.com/Security_Hack3r/status/1060294795501989888 でそれを参照してください
従事している市民LOL Bye
彼らの ウェブサイトはこれを説明しています :
ねえ、私たちのメールは不審に見えますか?
心配しないでください。私たちはDPOに対してスパムを行っていません。私たちは「私の個人データ」で市民のための情報処理をテストするサイトを回っています。情報へのアクセスをリクエストするメールは4つしかありません。
DPOでない場合は、ご不便をおかけして申し訳ありません。送信したメールの下部にあるリンクを使用して通知するだけで、メールは送信されなくなります。
DPOでメールが不審な場合は、プロセスを自動化したことが原因である可能性があります。すべてのWebサイトに問い合わせようとしているため、非常に時間がかかります。私たちの要求は正当です。正しくない場合は、送信したメールの下部にあるリンクを使用して、メールを送信しないように依頼できます。私たちはあなたを私たちの研究の拒否カテゴリに入れ、あなたの選択を尊重します。
あなたがDPOであり、私たちが何をしているかについてもっと知りたいと思っているなら、あなたはここにあなたの電子メールを送ることができ、私たちはそれについて直接議論することができます。
だから、これはあなたが彼らのどんなデータを持っているかを要求している私的なEU市民ではありません。
人doは、このような種類のリクエストを第三者に依頼する権利を有します。例えばから GDPRの個人の権利に関する英国のICOページ :
他の人のために行われたリクエストはどうですか?
GDPRは、第三者を介してサブジェクトアクセス要求を行う個人を妨げません。多くの場合、これはクライアントに代わって行動する事務弁護士になりますが、それは単に、個人が他の誰かが彼らのために行動することを許可することを快適に感じているということかもしれません。このような場合、リクエストを行う第三者が個人に代わって行動する権利があることを確認する必要がありますが、この権利の証拠を提供するのは第三者の責任です。これは、要求を行うための書面による権限である場合と、より一般的な委任状である場合があります。
しかし、この電子プライバシークラブがそうしているようには見えません。ランダムなサイト所有者をスパムしているように見えるだけです。何のために?まあ、テキストはそれが研究であると言います。
それらを無視してください。
または彼らにどのような研究をするか尋ねます。彼らはおそらく、GDPRの実装の状態に関するレポートを、それを見て公開したいと考えています。それは彼ら自身の利益のためであるので、あなたはこのスパムを検討することさえできます:彼らがあなたに研究への参加を求めていたとしてもそれはスパムであるでしょう。
または規制を指摘し、誰に代わってリクエストを行っているかを尋ねます( lolablindfoldの提案 のように)。彼らはおそらく答えません。
とにかくこれは怪しげに見えます:
- 彼らのサイトのどこにも彼らはもっと語っていません。または彼らが誰であるか。
はい、彼らのMailChimpメーリングリストを購読できます。彼らの側から収集するより多くのデータ。 - 彼らは同意を求めずにシステムに1つまたは2つのCookieを配置します。