Ahogy közeledett a május 25., a GDPR, vagyis az EU-s adatvédelmi rendelkezések gyakorlati alkalmazásának kezdőnapja, egyre több fura e-mail landolt a postaládákban. Összességében sokkal több volt a napi termés, mint korábban. És még most sincs vége. Miért is?
Mert a hírlevelek, közlemények küldői megerősítést kértek, hogy a jövőben is küldhessék a leveleiket. A forma azonban, ahogyan ezt a megerősítést kérték, elég változatos.
- Voltak akik csak annyit írtak, ha nem szeretnénk továbbra is kapni a hírlevelüket, akkor jelezzük.
Ez a legszimpatikusabb.
- Mások megírták, hogy itt és itt elérhető, hogyan kezelik az adatokat. De nem kértek hozzájárulást.
Ezzel is ki lehetett békülni.
- A harmadik kategória viszont, ha nem jeleztünk vissza (mert nem volt rá időnk, energiánk), naponta, kétnaponta, visszatérően bombáz a levelekkel, hogy járuljunk hozzá az adatkezeléshez.
Ráadásul az ilyen típusú levélből volt a legtöbb. És persze mindegyik levél más, másképp kell visszajelezni. Macerás, időigényes, idegesítő. Kell(ett) ez?
Még a határidő lejárta előtt kérdeztük meg a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), tényleg szükség van-e minden információforrás (emailküldő) részéről arra, hogy megkérje levelezőpartnereitől (újra) a megerősítést, hozzájárulást? És ha ilyet nem kap, valóban nem küldhet több levelet a címzettnek? Vagy elég (lett volna) az is, ha kicsit lazábbra veszik, és nem bombáznak levélözönnel nap mint nap, ha nem reagálunk?
A NAIH friss válasza szerint Vagyis ha van már megfelelő tájékoztatáson alapuló, szabad akaratból tett egyértelmű, kifejezett, tevőleges, bizonyítható hozzájárulás. Ha ilyen nem volt, vagy már nincs meg, nem bizonyítható, akkor (új) nyilatkozatot kell kérni. Aki nem ad nyilatkozatot, azt törölni kell a levelezési listáról, mert nincs jogalap a személyes adatai (például a személyes emailcíme) kezelésére.
Tehát ha fontos nekünk, hogy továbbra is kapjunk leveleket bizonyos feladóktól, például azért, mert a munkánkhoz kell, vagy csak mert egyszerűen érdekel, mit írnak, hasznos nekünk, akkor vennünk kell a fáradságot, időt és egyesével vissza kell jeleznünk, hozzájárulnunk. Vagy törölnek (ha már az egy hónap alatt nem töröltek) minket.
Bezzeg a pénisznagyobbítást, mágikus locsolócsövet, fantasztikus fogyást, lábgombátlanítást ígérő, naponta irdatlan mennyiségű levelet ránk zúdító spamelők nem kérték, járuljunk hozzá, hogy továbbra is küldjék a szemetüket. És nem is zavartatják magukat abban, hogy ezután is ránk zúdítsák kétes ajánlataikat.
A multikat vehetik elő először
A Deloitte szerint várhatóan a multinacionális vállalatok hazai érdekeltségei kerülnek először a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) célkeresztjébe a GDPR betartására vonatkozó vizsgálatoknál. Ezt egy módosítási javaslatból szűrték le, amelyet az információs önrendelkezési jogról és az információszabadságról szóló törvényhez nyújtott be a kormány. Az indoklásban szerepel, hogy a GDPR közvetlenül alkalmazandó szabályait – így a bírságra vonatkozó akár 20 millió eurós maximumot
elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni.
Ami persze nem jelenti azt, hogy a kkv-k bármit megúszhatnának. De egészen más hangnemet üt meg velük szemben az indoklás:
a többi gazdasági szereplő – elsősorban és kiemelten a kis- és középvállalkozások – tekintetében az arányosság elvét figyelembe véve a figyelmeztetés jogkövetkezményét indokolt alkalmazni.
