Що ви МАЄТЕ право продавати (GDPR та монетизація)
Персональні чи ні? Анонімні чи псевдонімні? Яка правова підстава для передачі? Чек-лист з 5 запитань для безпечної монетизації ваших даних відповідно до GDPR.
Що ви маєте право продавати
GDPR та монетизація даних
10 слайдів · гортайте або використовуйте стрілкиЗастереження
Це не юридична консультація
Цей посібник спрощує встановлені правила. Для вашого випадку проконсультуйтеся з вашим DPO, CNIL або юристом.
Відправна точка
Особисті, чи ні?
Все починається з цього. Дані, що ідентифікують особу (прямо чи опосередковано), є «персональними» → застосовується GDPR.
┌ GDPR, ст. 4(1)
Ключова відмінність
Анонімний ≠ псевдонімний
Анонімний (незворотний) = поза GDPR (пункт 26). Псевдонімний (зворотний) = залишається персональним. CNIL вимагає 3 тести: індивідуалізація, кореляція, виведення.
┌ GDPR, пункт 26 + ст. 4(5) · CNIL
Умова
Правова підстава для передачі
Згода або законний інтерес (з тестом балансування). «Продаж на основі законного інтересу» НЕ є загальним правилом.
┌ GDPR, ст. 6(1)
Пастка
Перепродаж = нова мета
Перепродаж є іншою метою, ніж збір → на практиці, нова згода. Загальні умови, прийняті «в цілому», недостатні.
┌ GDPR, ст. 5(1)(b) + 6(4) · CNIL
Випадок B2B
B2B не поза GDPR
«contact@société» = поза GDPR. Але «prenom.nom@» або ім'я співробітника = персональні дані. Самозайнятий: часто персональні.
┌ GDPR, пункт 14 · CJUE C-710/23
Чек-лист
Чи можу я продати? 5 запитань
- 1. Чи є дані персональними?
- 2. Чи маю я правову підставу для їх передачі?
- 3. Чи сумісно це з початковою метою?
- 4. Чи були особи проінформовані + чи можуть вони заперечити?
- 5. Чи виключені заперечення (з доказом)?
Доказ (санкція)
Це не теоретично
15 травня 2025 року CNIL оштрафувала Solocal Marketing Services (900 000 €) та Caloga (80 000 €) за використання/перепродаж даних для пошуку клієнтів без дійсної правової підстави.
┌ CNIL, рішення від 15/05/2025
Запам'ятати
Відповідність - це цінність
Відповідні дані продаються; невідповідні дані караються.
- Без правової підстави дані нічого не варті (і наражають на ризик)
- Віддавайте перевагу агрегованим / анонімізованим даним
- Документуйте згоду та заперечення
Питання щодо монетизації чи купівлі даних?
Поговоріть з експертом — без зобов'язань.
Повний посібник
Перш ніж монетизувати дані, одне запитання переважає над усіма іншими: чи маєте ви право їх продавати? (Цей посібник спрощує встановлені правила і не є юридичною консультацією: для вашого конкретного випадку проконсультуйтеся з вашим DPO, CNIL або юристом.)
Все починається з розрізнення: чи є дані персональними? Дані, що дозволяють ідентифікувати особу, прямо чи опосередковано, є персональними і підпадають під дію GDPR (ст. 4(1)). Далі йде вирішальний нюанс: анонімні дані — тобто ті, що незворотно позбавлені ідентифікаційної ознаки — виходять з-під дії GDPR (пункт 26), тоді як лише псевдонімізовані дані залишаються персональними (ст. 4(5)). CNIL вимагає три тести для визнання анонімності: неможливість індивідуалізації, кореляції та виведення.
Для передачі персональних даних потрібна правова підстава (ст. 6(1)): згода або законний інтерес, що супроводжується тестом балансування. Увага, «продаж на основі законного інтересу» не є загальним правилом — це вирішується в кожному конкретному випадку. Інша пастка: перепродаж даних є новою метою порівняно зі збором (ст. 5(1)(b) та 6(4)); на практиці це передбачає нову згоду, а загальні умови, прийняті «в цілому», не є згодою (CNIL). Щодо пошуку клієнтів, електронний канал вимагає попередньої згоди, тоді як поштова або телефонна комунікація може спиратися на законний інтерес з правом на заперечення.
B2B не виходить з-під дії GDPR: загальна адреса «contact@société» виходить з поля дії (пункт 14), але імейл з ім'ям «prenom.nom@» або ім'я співробітника залишаються персональними даними (CJUE, C-710/23); для самозайнятого особи «дані компанії» часто ідентифікують особу. Звідси чек-лист з п'яти запитань: чи є дані персональними? Чи маю я правову підставу для їх передачі? Чи сумісно це з початковою метою? Чи були особи проінформовані та чи можуть вони заперечити? Чи виключені заперечення, з доказом?
Це не теоретично: 15 травня 2025 року CNIL оштрафувала Solocal Marketing Services (900 000 €) та Caloga (80 000 €) за використання та перепродаж даних для пошуку клієнтів без дійсної правової підстави. Урок: відповідні дані продаються, невідповідні дані караються. Віддавайте перевагу агрегованим та анонімізованим даним і перевіряйте свої дані перед виходом на ринок.
Джерела
- RGPD — Règlement (UE) 2016/679 (EUR-Lex)
- CNIL — Anonymisation, bases légales, vente de fichiers
- CNIL — Sanctions Solocal / Caloga (15/05/2025)
- CJUE — affaire C-710/23
Освітній матеріал — не є юридичною чи фінансовою консультацією. Кожна цифра має джерело та рік.