Для продавців3 хв читання

Що ви МАЄТЕ право продавати (GDPR та монетизація)

Персональні чи ні? Анонімні чи псевдонімні? Яка правова підстава для передачі? Чек-лист з 5 запитань для безпечної монетизації ваших даних відповідно до GDPR.

3 хв читання

Що ви маєте право продавати

GDPR та монетизація даних

10 слайдів · гортайте або використовуйте стрілки
d-nvest.com1/10

Застереження

Це не юридична консультація

Цей посібник спрощує встановлені правила. Для вашого випадку проконсультуйтеся з вашим DPO, CNIL або юристом.

d-nvest.com2/10

Відправна точка

Особисті, чи ні?

Все починається з цього. Дані, що ідентифікують особу (прямо чи опосередковано), є «персональними» → застосовується GDPR.

GDPR, ст. 4(1)

d-nvest.com3/10

Ключова відмінність

Анонімний ≠ псевдонімний

Анонімний (незворотний) = поза GDPR (пункт 26). Псевдонімний (зворотний) = залишається персональним. CNIL вимагає 3 тести: індивідуалізація, кореляція, виведення.

GDPR, пункт 26 + ст. 4(5) · CNIL

d-nvest.com4/10

Умова

Правова підстава для передачі

Згода або законний інтерес (з тестом балансування). «Продаж на основі законного інтересу» НЕ є загальним правилом.

GDPR, ст. 6(1)

d-nvest.com5/10

Пастка

Перепродаж = нова мета

Перепродаж є іншою метою, ніж збір → на практиці, нова згода. Загальні умови, прийняті «в цілому», недостатні.

GDPR, ст. 5(1)(b) + 6(4) · CNIL

d-nvest.com6/10

Випадок B2B

B2B не поза GDPR

«contact@société» = поза GDPR. Але «prenom.nom@» або ім'я співробітника = персональні дані. Самозайнятий: часто персональні.

GDPR, пункт 14 · CJUE C-710/23

d-nvest.com7/10

Чек-лист

Чи можу я продати? 5 запитань

  • 1. Чи є дані персональними?
  • 2. Чи маю я правову підставу для їх передачі?
  • 3. Чи сумісно це з початковою метою?
  • 4. Чи були особи проінформовані + чи можуть вони заперечити?
  • 5. Чи виключені заперечення (з доказом)?
d-nvest.com8/10

Доказ (санкція)

Це не теоретично

15 травня 2025 року CNIL оштрафувала Solocal Marketing Services (900 000 €) та Caloga (80 000 €) за використання/перепродаж даних для пошуку клієнтів без дійсної правової підстави.

CNIL, рішення від 15/05/2025

d-nvest.com9/10

Запам'ятати

Відповідність - це цінність

Відповідні дані продаються; невідповідні дані караються.

  • Без правової підстави дані нічого не варті (і наражають на ризик)
  • Віддавайте перевагу агрегованим / анонімізованим даним
  • Документуйте згоду та заперечення
d-nvest.com10/10

Питання щодо монетизації чи купівлі даних?

Поговоріть з експертом — без зобов'язань.

Замовити безкоштовну 30-хв розмову

Повний посібник

Перш ніж монетизувати дані, одне запитання переважає над усіма іншими: чи маєте ви право їх продавати? (Цей посібник спрощує встановлені правила і не є юридичною консультацією: для вашого конкретного випадку проконсультуйтеся з вашим DPO, CNIL або юристом.)

Все починається з розрізнення: чи є дані персональними? Дані, що дозволяють ідентифікувати особу, прямо чи опосередковано, є персональними і підпадають під дію GDPR (ст. 4(1)). Далі йде вирішальний нюанс: анонімні дані — тобто ті, що незворотно позбавлені ідентифікаційної ознаки — виходять з-під дії GDPR (пункт 26), тоді як лише псевдонімізовані дані залишаються персональними (ст. 4(5)). CNIL вимагає три тести для визнання анонімності: неможливість індивідуалізації, кореляції та виведення.

Для передачі персональних даних потрібна правова підстава (ст. 6(1)): згода або законний інтерес, що супроводжується тестом балансування. Увага, «продаж на основі законного інтересу» не є загальним правилом — це вирішується в кожному конкретному випадку. Інша пастка: перепродаж даних є новою метою порівняно зі збором (ст. 5(1)(b) та 6(4)); на практиці це передбачає нову згоду, а загальні умови, прийняті «в цілому», не є згодою (CNIL). Щодо пошуку клієнтів, електронний канал вимагає попередньої згоди, тоді як поштова або телефонна комунікація може спиратися на законний інтерес з правом на заперечення.

B2B не виходить з-під дії GDPR: загальна адреса «contact@société» виходить з поля дії (пункт 14), але імейл з ім'ям «prenom.nom@» або ім'я співробітника залишаються персональними даними (CJUE, C-710/23); для самозайнятого особи «дані компанії» часто ідентифікують особу. Звідси чек-лист з п'яти запитань: чи є дані персональними? Чи маю я правову підставу для їх передачі? Чи сумісно це з початковою метою? Чи були особи проінформовані та чи можуть вони заперечити? Чи виключені заперечення, з доказом?

Це не теоретично: 15 травня 2025 року CNIL оштрафувала Solocal Marketing Services (900 000 €) та Caloga (80 000 €) за використання та перепродаж даних для пошуку клієнтів без дійсної правової підстави. Урок: відповідні дані продаються, невідповідні дані караються. Віддавайте перевагу агрегованим та анонімізованим даним і перевіряйте свої дані перед виходом на ринок.

Джерела

Освітній матеріал — не є юридичною чи фінансовою консультацією. Кожна цифра має джерело та рік.

Що ви МАЄТЕ право продавати (GDPR та монетизація) — d-nvest | d-nvest