 ## Egy magánszemély részt vett az XY vállalat által biztosított ingyenes webszemináriumon, majd ezt követően azzal szembesült, hogy őt a közösségi médián és az emailfiókján keresztül hirdetésekkel árasztotta el a fent nevezett cég, mindezt anélkül, hogy ehhez ténylegesen hozzájárult volna. Az XY cég állítása szerint e-mailben és a közösségi médián keresztül úgynevezett „célzott közönségen” keresztül végez hirdetési tevékenységet. Ez azt jelenti, hogy az ügyféllisták közösségi médiaoldalra történő feltöltésével a közösségi platform képes ezeket a listákat a meglévő közösségi média-profilokkal összehangolni, és ezeket a profilokat hirdetésekkel megcélozni. Az adatvédelmi hatóság megkeresésére a vállalat azzal érvelt, hogy minden olyan magánszemély, aki igénybe veszi a szolgáltatásait – így például részt vesz egy webszemináriumon – automatikusan beleegyezik e-mail marketing üzenetek fogadásába. A cég szerint a magánszemély már a webes tanfolyam elvégzése során hozzájárult a marketinghez; a hozzájárulás automatikus megadásáról az adatvédelmi szabályzatukban található irányelvek rendelkeznek. Az ügy áttekintése után az adatvédelmi hatóság arra a következtetésre jutott, hogy a hozzájárulás megszerzésének ez a típusa – vagyis, hogy a hozzájárulást a magánszemély az adatvédelmi szabályzat részeként adja meg – sérti a GDPR rendelkezéseit. A rendelet ugyanis előírja, hogy az adatkezelésre csak akkor kerülhet sor, ha az érintett **egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja** személyes adatainak kezeléséhez. A GDPR alapvető követelménye, hogy a személyes adatok feldolgozásához való **hozzájárulást konkrétan és önkéntesen szükséges megadni**. Lehetőséget kell adni arra, hogy a magánszemély eldönthesse beleegyezik-e a direkt marketing üzenetek fogadásába, amikor egy szolgáltatást igénybe vesz; vagyis az adatkezeléshez szükséges hozzájárulásunkat a szolgáltatás igénybevételétől függetlenül kell tudjuk megadni, **ráutaló magatartással** – ideértve az adatvédelmi szabályzatba burkolt hozzájárulást is – **a hozzájárulás nem megadható**, annak minden esetben tevőleges cselekedetnek kell lennie. Ennek alapján az adatvédelmi hatóság utasította a vállalatot, hogy változtassa meg a hozzájárulás megszerzésének módját a GDPR követelményeinek történő megfelelés érdekében. A társaságot továbbá arra is kötelezték, hogy törölje a panaszossal kapcsolatos személyes adatokat. Fenti jogeset remek példája annak, hogy egy adott vállalat hiába rendelkezik adatvédelmi szabályzattal, ha mindeközben a GDPR-ral ellentétes, jogszerűtlen gyakorlatot folytat, vagy az elkészített szabályzat nincs összhangban a cég által végzett gyakorlattal.
2021-07-13