GDPR útmutató

Tanácsadás ◆ Audit ◆ KKV támogatás ◆ DPO képzés ◆ Kamarai programok ◆ Letölthető dokumentumok

Vissza az útmutatóra Vissza a főoldalra

Hírlevél küldés

A címzettek adatai, még ha csak egy e-mail cím vagy telefonszám is, személyes adatnak minősül. Még akkor is, ha esetleg a magánszemély tulajdonképpen nem feltétlenül beazonosítható. Ahogy egy NAIH állásfoglalás is leírta, az e-mail cím hozzátartozik a természetes személy tágabb értelemben vett magánszférájához.

Bár a GDPR preambulum megnevez olyan esetet [1], amikor akár hozzájárulás nélkül is küldhető marketing levél (amennyiben van korábbi releváns kapcsolat a felek között), erre nem javasolt támaszkodni. Ennek oka, hogy ennek ellenében a hazai törvények viszont kifejezetten megkövetelik, hogy legyen hozzájárulásunk az ilyen megkeresésekhez [2]. (A hasonló ellentmondásos esetekben, bár az uniós rendeletnek elsőbbsége van, a hazai joggyakorlat nem veszi feltétlenül abszolút értékűnek azt. Aki erre hivatkozva próbál eltérni a hazai törvényektől, az rendkívül problémás jogi folyamatot vállal.)

A hozzájárulásnak a szokványos feltételeknek kell megfelelnie, továbbá ne felejtsük el, hogy tudnunk kell bizonyítani a hozzájárulás meglétét.

Utólagos hozzájárulás

Ha vannak már „szerzett” címeink, de hozzájárulásunk nincs, utólagos hozzájárulást beszerezni problémás lehet. Bár idehaza még nem született ilyen jellegű bírság, külföldön volt rá példa, hogy az utólag hozzájárulást kérő levelet is kéretlen megkeresésnek minősítette a hatóság és jelentős bírságot szabott ki.

Vásárolt címlisták

A vásárolt címlisták kapcsán is szigorodtak a követelmények. Ha a címlistán található magánszemélyek kifejezetten tisztába vannak azzal, hogy a címlista gyűjtő cég tovább fogja adni az adataikat (és ehhez hozzájárultak), akkor legálisan vehetjük és használhatjuk ezt a listát. Minden más esetben, az érintettek felé történő megkeresésünk kéretlen lesz és a jogalap nélküli adatkezelésünket büntetheti a hatóság.

Ha a fentiekben vázolt legális módon jutottunk a címlistához, akkor is szükség van arra, hogy az érintetteket értesítsük arról, hogy az adataik hozzánk kerültek. Ez a GDPR 14-es cikkelye szerinti kötelezettség, amelynek a gyakorlati megvalósítása roppant egyszerű. Küldünk egy levelet vagy üzenetet az érintettek részére, amelyben tájékoztatjuk őket, hogy az adatik nálunk vannak. Továbbá megnevezzük azt az Adatkezelőt, akitől az adatok származnak és az adatkezelési tájékoztatóban előforduló szokásos információkat is eljuttatjuk az adat alanyokhoz.

Referenciák

[1] GDPR Preambulum 47.: Az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll. (...) Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.

[2] 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól 6.§ (1): Ha külön törvény eltérően nem rendelkezik, reklám természetes személynek mint reklám címzettjének közvetlen megkeresése módszerével (a továbbiakban: közvetlen üzletszerzés), így különösen elektronikus levelezés vagy azzal egyenértékű más egyéni kommunikációs eszköz útján - a (4) bekezdésben meghatározott kivétellel - kizárólag akkor közölhető, ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult.