Здравствуйте, Khimik, Вы писали:

K>Для этого он вводит свой email, и получает сообщение:

за такое надо бить по рукам

K>Таким образом, сторонний человек, если он знает email пользователя моей программы, может ввести этот email на моём сайте и он получит некую информацию о пользователе

за это по голове

K>Пользователю же в этом случае придёт email с ключом, и ему будет непонятно откуда он взялся. Нарушает ли это GDPR?

пользователю письмо, а постороннему сразу всею инфу на блюдечке?
тут проблема не только с GDPR, но и со здравым смыслом