一部のGDPRメールでオプトアウトとオプトインが必要なのはなぜですか？

GDPR法からの引用：

[...]同意書は、以下を含む書面によるものなど、彼または彼女に関連する個人データの処理に対するデータ主体の合意の自由に与えられた、特定の、情報に基づいた明確な表示を確立する明確な肯定的行為によって与えられるべきです。電子的手段、または口頭陳述。これには、インターネットWebサイトにアクセスするときのボックスのチェック、情報社会サービスの技術設定の選択、またはこのコンテキストでデータ主体が提案された個人データの処理の受け入れを明確に示す別のステートメントまたは行為を選択することが含まれます。したがって、沈黙、事前にチェックされたボックス、または非アクティブは、同意を構成するものではありません。同意は、同じ目的のために実行されたすべての処理アクティビティをカバーする必要があります。処理に複数の目的がある場合は、すべてに同意する必要があります。電子的手段による要求に続いてデータ主体の同意が与えられる場合、要求は明確で簡潔でなければならず、それが提供されるサービスの使用を不必要に妨害してはなりません。 [...]

[...]指令が指令95/46/ECに基づく同意に基づいている場合、同意が与えられた方法が次のとおりである場合、データ主体が再度同意を行う必要はありません。この規則の条件[...]

[...]データ主体の「同意」とは、データ主体の希望を自由に与えられた、特定の、情報に基づいた、明確な表示を意味し、声明または明確な肯定的行動によって、彼または彼女に関する個人データ; [...]

[...]同意が自由に与えられているかどうかを評価するときは、特に、サービスの提供を含む契約の履行が、個人情報の処理に同意しないことを条件とするかどうかを最大限に考慮しなければならないその契約の履行に必要です。 [...]

GDPRには明示的な同意が必要です。サービスが個人データを収集していて、あなたがそれに明示的な同意を与えなかった場合、彼らは再びあなたの同意を明示的に求めなければなりません。理論的には、サービスもプライバシーポリシーを変更するたびに、明示的な同意を再度求める必要があると思いますが、それについての説明はありません。そのため、以前にGDPRに準拠した方法で明示的に同意を与えていたとしても（そして疑いがあります）、プライバシーポリシーを変更しているため、「疑似暗黙のオプトアウト」の例はいずれの場合も合法ではないと思いますそして、単に彼らのサービスを使い続けることによって暗黙のうちにそれを受け入れるように求めます。

1つ目のカテゴリは、大企業（大規模な電子メールプロバイダーなど）がとにかくやりたいことを行い、そのサービスを利用したいので、条件を受け入れます。そうしないと、サービスを使用できなくなります。

2番目のカテゴリは、それらから情報を受け取りたいかどうかを尋ねるより公正なカテゴリです。通常、これらは商業企業であり、それらのオファーを受け取ることをオプトアウトしても、それらとのビジネスを妨げることはありません。

第一に、判例法はまだありません、そして、異なる弁護士が異なる方法でルールを解釈しています：非常に安全にプレーしている人もいれば、風に近づいて航海している人もいます。起訴に値する人々のリストの上位にいる可能性は低いと考えている人もいるでしょう。 （それに直面しましょう、誰が最後に芝刈り機を修理したかを記録しておくために誰もスポーツクラブを起訴するつもりはありません）。

第2に、同意は、データの保持を許容できる方法の1つにすぎません。その他には、契約の存在、法規制の遵守の必要性、および「正当な利益」（解釈に非常にオープンです）が含まれます。たとえば、保険会社は、請求履歴を保持して、詐欺的な申し立て）。

3番目に、見かけとは異なり、GDPRのために既存の同意を更新する必要はありません。あなたが昨年同意したなら、それは（おそらく！）かなり十分です。

IANAL-しかし、私は規制を読みました。

他の回答が述べているように、GDPRは明示的で情報に基づいた明確な同意を必要とします。さらに、説明責任の原則に従って、データ管理者はそれを実証できなければならない。理論的には：

1. オプトアウトEメールを送信している組織は、明示的な同意がすでに適切に記録されている（たとえば、ニュースレターを購読したとき、または契約に署名したとき）電子メールを送信すると、いつでもオプトアウトできることを思い出させるために利用されます。
2. オプトインメールを送信している組織には適切な同意が記録されていなかったため、同意を得て新しいGDPR管理ツールに保存するよう急いでいます。

実際には：

1. オプトアウトメールを送信している一部の組織は、おそらく氷の上を歩いていて、昔ながらの同意が当局によって認められると信じています。
2. オプトインメールを送信している一部の組織は、（以前の指令および加盟国の法律に関して）すでに法律の対象外でしたが、罰金を恐れるようになったため、今は後悔しています。

または、それぞれが採用した弁護士によって異なります。

ここですでに述べた領域に加えて、データ保持に関するGDPRのセクションがあります。人々（または少なくとも私が入手しているもの）にオプトインするように求めている多くの電子メールはまた、彼らが私と（またはむしろ）何年もやり取りしていないことを述べているため、メールを引き続き受信したい場合は、再度オプトインする必要があります。これにより、データが最新であり、他のデータは削除できることをお客様に知らせることができます。

英国のデータ保護法では、データを必要以上に長く保持することはできないとすでに述べられていますが、ほとんど無視され、メーリングリストは増え続けました。ただし、GDPRでは、妥当な時間の経過後にデータを削除する必要があります。オプトインする場合は、関連するデータの時計をリセットしています。

ここには2つのことが関係しています。

• 古い同意がまだ有効であるときはいつでも、この新法（オプトアウトの印象を与えるが、古いオプトインの継続に過ぎない）にすでに準拠している方法で尋ねられたため、以前の同意は不十分または無効であるため、更新する必要があります。チェックボックスはデフォルトでチェックされていました（実際にはオプトアウトされていたため、新しいオプトインに置き換える必要があります）。
• 会社が現状を維持したい場合（ここでも、今はオプトアウトのように感じる古いオプトイン）、または機会を利用して、以前よりも多くの権限を要求する場合（まったく新しいものにオプトインする場合） 、メールのように）。

ここでは最初のケースを扱っているようです。最初の会社は単にポリシーを更新し、古い同意は十分に適切であると見なし、2番目の会社は古い同意を新しい法律の下で無効と見なし、改めて同意するよう求めます。

GDPRは新しいものではありません。私が住んでいるここでは、2年の休暇がありました。そのため、理論的には、サイトは少なくとも2年から準備できます。一部の同意が既に準拠していることは完全に想像できます（実際には、法案が施行されるまで誰も気にしませんでした）。

ケース番号2については、 https://gdprhallofshame.com/ に例があり、ズームがそれを正確に実行しようとしています。