GDPR es spam (unsubscribe ellenere) - jar erte buntetes?

Amikor bevezettek a GDPR-t, tobb ceg is ugy ertelmezte, hogy nem lehet hirlevelet kuldeni feliratkozas nelkul, es kuldtek egy levelet, hogy a linkre kattintva iratkozz fel, mert "sajnos nem tudjuk neked tovabb kuldeni a kihagyhatatlan ajanlatainkat igy". Mas cegeknek meg - annak ellenere, hogy tobb europai orszagban tevekenykednek (pl. autokolcsonzo, legitarsasag) - azota sem mukodik a marketing ("20% sale", nem "confirmation of your order") emailek aljan talalhato unsubscribe gombjuk. Vagy konkretan nincs is unsubscribe gomb.

Kerdesek:

1 - Azok a cegek akik kuldtek GDPR bevezetes elott "iratkozz fel" emailt - ok maguknak ertelmeztek felre a szabalyt es mentek tul ovatos modba "szabalyertelmezes" cimszo alatt, vagy tenyleg serti a keretlen email ilyen modja is a GDPR-t?

2 - Ha egy nyilvanvaloan tobb EU orszagban is mukodo ceg unsubscribe gomb megnyomasa ellenere tovabbra is kuldi a spam levelet, az serti a GDPR-t? Melyik pontjat

3 - Ha nincs unsubscribe gomb, vagy van, de 404-es oldalra visz az serti a GDPR-t? Melyik pontjat?

4 - Ha a 2-es vagy a 3-as tipusu szabalyszeges megtortent, es meg egy delete request (kell egyaltalan?) utan is kapod a spameket, milyen jellegu jogi opcioid vannak? Bekeltetes? (Mint kotelezo elso lepes, vagy opcionalis?) Csak feljelentheted (hol?), de max birsagot kap amit az allamnak fizet, te nem kapsz semmit? Vagy perelheted karteritesert? (Normalis osszeguert, vagy fillereket kaphatsz csak?) Melyik lehetoseg all fenn magyar, es melyik all fenn tobb Europai orszagban de nem Magyarorszagon tevekenykedo spamet kuldo ceg eseten?

Hozzászólások

A GDPR a személyes adatok kezeléséről szól. Az, hogy spammel, az egy másik történet.

A GDPR értelmében, közzé kellett, hogy tegyen egy adatkezelési szabályzatot, amit neked a saját akaratodból el kellett fogadnod. Ha ez nem történt meg, akkor nem kezelheti a személyes adataidat, mint pl. a személyes e-mail címedet. Ha mégis kezeli, akkor először próbáld egyéb kommunikációs csatornákon, békés úton kérni az adatkezelés megszüntetésére. Ha ez eredménytelen, akkor az adatvédelmi hatósághoz fordulhatsz segítségért. (NAIH)

Az adatkezelési szabályzatnak rendelkeznie kell az adatkezelés céljáról, az adatkezelés kezdetéről és végéről. Lehet benne olyan rendelkezés, hogy az adatkezelés vége az, hogy Te leiratkozol a listáról, ő pedig azzal egyidejűleg törli adataidat. Az adatkezelés megszüntetésének a lehetőségét biztosítania kell. Ha nem működik a leiratkozás gomb, akkor lásd az előző pont utolsó két mondatát.

A GDPR szempontjából mindegy, hogy melyik Uniós tagállamban van az esemény.

Nem vagyok jogász... kártérítési igénynél, szerintem fontos kérdés, hogy ért-e vagyoni kár, illetve ha nem vagyoni kár ért (jó hírnév megsértése, stressz, stb.) akkor az milyen mértékű. Kártérítést kérhetsz a jogosulatlan adatkezelőtől, vagy polgári peres úton megpróbálhatod tőle behajtani. A NAIH ilyet szerintem alapból nem kezdeményez, ezt Neked kell kezdeményezned.

Ez teljesen más. A régebbi Adatvédelmi tv. le is írta, hogy az adataiddal kapcsolatos panaszodat akár hivataból megoldja a bíróság, de anyagi  dolgokra ne nagyon számíts. ;) A GDPR kb. hasonló, csak van hatóság és bírságolhatja a céget.

A másik oldala meg a személyes károd. Az egy másik per.

A repülőkhöz köze nincs. :-D

Ez országtól és kontextustól függ. A GDPR 47-es preambulumban van egy olyan kitétel, ami szerint ha az adatkezelő és az érintett között volt korábbi releváns kapcsolat, akkor folytathat adatkezelést jogos érdekre hivatkozva. A zárómondatban kifejezetten ide sorolja a direkt marketinget is. Releváns kapcsolat lehet, ha te korábban vevő voltál. Például ha te vettél egy tévét egy webshopban, akkor az új tévé ajánlatokról küldhetnek neked levelet, egészen addig amíg te nem tiltakozol. (De teljesen más dologról nem küldhet, például nem próbálhat meg eladni biztosítást.) Unsubscribe gombnak persze akkor is lenni kell, illetve ha tiltakozol, le kell venniük a listáról, pont erről szól a tiltakozáshoz való jog.

Idáig a GDPR, de idehaza kicsit más a helyzet mert az elektronikus kereskedelemről szóló törvény és a gazdasági reklámtevékenységről szóló törvény is explicit kimondja, hogy e-mailben reklámot csak és kizárólag hozzájárulással lehet küldeni. Szóval GDPR szempontjából lehet hogy van olyan ország, ahol a fentiek esetén legálisan kapsz levelet, de magyar cégtől viszont ez nem okés.

GDPR tekintetében kártérítésért lehet folyamodni, de csak akkor ha az alapvető jogaid sérültek, úgy mint szabadságjogok, magánélethez való jog, emberi méltóság, stb. Ebben az esetben ilyenről nincs szó. Békéltető testülethez nem kell fordulni, lehet egyenesen a hatósághoz benyújtani a panaszt. Volt rá precedens, hogy a NAIH azt mondta erre, hogy tessék az adatkezelővel rendezni a dolgokat és volt olyan is, ahol szó nélkül utánna mentek, de a spammerek nincsenek túl magasan a hivatal prioritási listáján. Különösen ha külföldi cég, mert akkor a székhely szerinti hatóságot is be kell vonniuk (de te idehaza megteheted a panaszodat egyébként, a többi az ő dolguk). Egy próbát azért megérhet, ha keresztül megy egy-egy süti/spam/akármi kisebb jelentőségű ügy valahol Európában a hivatalokon, akkor onnan elkezdik újragondolni az érintett cégek, hogy mit csináljanak. Néhány ilyen már volt, pl. FB like gomb integrálás, "ha folytatod a böngészést elfogadtad a sütiket" és egyéb témakörben. Lassú fejlődés, de ezért valami van.