Direkt marketing és a GDPR

Egy magánszemély részt vett az XY vállalat által biztosított ingyenes webszemináriumon, majd ezt követően azzal szembesült, hogy őt a közösségi médián és az emailfiókján keresztül hirdetésekkel árasztotta el a fent nevezett cég, mindezt anélkül, hogy ehhez ténylegesen hozzájárult volna.

Az XY cég állítása szerint e-mailben és a közösségi médián keresztül úgynevezett „célzott közönségen” keresztül végez hirdetési tevékenységet. Ez azt jelenti, hogy az ügyféllisták közösségi médiaoldalra történő feltöltésével a közösségi platform képes ezeket a listákat a meglévő közösségi média-profilokkal összehangolni, és ezeket a profilokat hirdetésekkel megcélozni.

Az adatvédelmi hatóság megkeresésére a vállalat azzal érvelt, hogy minden olyan magánszemély, aki igénybe veszi a szolgáltatásait – így például részt vesz egy webszemináriumon – automatikusan beleegyezik e-mail marketing üzenetek fogadásába. A cég szerint a magánszemély már a webes tanfolyam elvégzése során hozzájárult a marketinghez; a hozzájárulás automatikus megadásáról az adatvédelmi szabályzatukban található irányelvek rendelkeznek.

Az ügy áttekintése után az adatvédelmi hatóság arra a következtetésre jutott, hogy a hozzájárulás megszerzésének ez a típusa – vagyis, hogy a hozzájárulást a magánszemély az adatvédelmi szabályzat részeként adja meg – sérti a GDPR rendelkezéseit. A rendelet ugyanis előírja, hogy az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja személyes adatainak kezeléséhez.

A GDPR alapvető követelménye, hogy a személyes adatok feldolgozásához való hozzájárulást konkrétan és önkéntesen szükséges megadni. Lehetőséget kell adni arra, hogy a magánszemély eldönthesse beleegyezik-e a direkt marketing üzenetek fogadásába, amikor egy szolgáltatást igénybe vesz; vagyis az adatkezeléshez szükséges hozzájárulásunkat a szolgáltatás igénybevételétől függetlenül kell tudjuk megadni, ráutaló magatartással – ideértve az adatvédelmi szabályzatba burkolt hozzájárulást is – a hozzájárulás nem megadható, annak minden esetben tevőleges cselekedetnek kell lennie.

Ennek alapján az adatvédelmi hatóság utasította a vállalatot, hogy változtassa meg a hozzájárulás megszerzésének módját a GDPR követelményeinek történő megfelelés érdekében. A társaságot továbbá arra is kötelezték, hogy törölje a panaszossal kapcsolatos személyes adatokat.

Fenti jogeset remek példája annak, hogy egy adott vállalat hiába rendelkezik adatvédelmi szabályzattal, ha mindeközben a GDPR-ral ellentétes, jogszerűtlen gyakorlatot folytat, vagy az elkészített szabályzat nincs összhangban a cég által végzett gyakorlattal.