NE LŐJ ÖNGÓLT A GDPR-RAL! – MINDIG KELL A HOZZÁJÁRULÁS?

28 May 2018

Minden esetben szükséges, hogy a már korábban megadott hozzájárulás megerősítését kérd az ügyféltől a GDPR miatt? Mielőtt e-mailek ezreit küldenéd ki az adatbázisodban lévő ügyfeleknek, olvasd el cikkünket, hogy ne öntsd ki a fürdővízzel a gyereket!

A múlt héten, ahogy a GDPR „D-napja” közeledett, tucatnyi e-mailt kaptam, webshopoktól, hotelektől, utazási irodáktól, tanácsadó cégektől és egyéb hasonló adatkezelőktől , ahol on-line ügyfél fiókom volt az elmúlt években.

A fenti cégeket kétfajta megközelítés jellemezte a GDPR-ral kapcsolatban. Az egyik típus az volt, aki az általam már korábban megadott hozzájárulás megerősítését kérte a személyes adataim további kezeléséhez. A másik típus pedig csak egyszerűen tájékoztatott az adatvédelmi szabályzatának módosításáról és biztosított, hogy adataimat jogszerűen fogja kezelni.

Mondanom sem kell, a második megközelítés vonzóbb volt számomra. Az első esetben ugyanis kétszer is meggondoltam, hogy egyáltalán szükségem van-e az on-line fiókra, mielőtt klikkeltem volna, hogy megújítsam a hozzájárulásomat az adatkezeléshez.

A felmérések azt mutatják, hogy nem vagyok ezzel egyedül, és azok a szolgáltatók, akik e-mailben a hozzájárulás megújítását kérik a GDPR miatt, nagyon alacsony arányban kapnak pozitív választ.

Felmerül tehát a kérdés, céged melyik megközelítést válassza, hogy megfeleljen a GDPR-nek?

Hozzájárulás mint jogalap

Azok a cégek, akik a már megadott hozzájárulás megerősítését kérik, szerintem vagy nincsenek tisztában azzal, hogy a „hozzájárulás” csak egy a GDPR által megengedett 6 (hat) adatkezelési jogalap közül, vagy túl megszorítóan értelmezik a rendelet szabályait.

Ezek az adatkezelők, akik az adatkezelésüket az ügyfél hozzájárulására alapozzák, könnyen „öngólt lőhetnek” a GDPR-nek való megfelelés hevében.

Mivel a „hozzájárulás” cselekvést jelent az adatkezeléssel érintett természetes személy részéről, egy nem válaszoló ügyfél viselkedését úgy kell tekinteni, mint aki nem járul hozzá személyes adatai további kezeléséhez.

Ez azzal a következménnyel jár, hogy nem küldhetsz neki további on-line anyagokat és törölnöd kell az on-line fiókját.

Biztos, hogy ezt akarod?

Jogos érdek mint jogalap

A „hozzájárulás” mellett van más jogalap is, melyre érvényesen alapozhatod a személyes adatok kezelését: céged, mint adatkezelő jogos érdekére.

Azok a cégek, akik nem kérik a megerősítést, csak tájékoztatják ügyfeleiket a változásokról, egy okosabb megközelítést választottak, és adatvédelmi szabályzatukban az ügyfelek hozzájárulása helyett a cégük jogos érdekeire alapozták az adatkezelést.

Ez érvényes jogalap abban az esetben, amennyiben az adatkezelés valóban szükséges a cég jogos érdekének érvényesítéséhez és ezt nem írják felül az érintett természetes személy alapvető jogai.

Hozzájárulás vs. Jogos Érdek

Tény, hogy jogos érdek választása esetén le kell folytatnod és dokumentálnod kell egy „érdekmérlegelési tesztet”, mely egy adatvédelemben jártas jogász nélkül nem fog menni elsőre.

Az is tény, hogy egyszerűbb az ügyfelek hozzájárulást bekérni e-mail-ek kiküldésével, adatvédelmi szakértő bevonása nélkül.

Azonban a kockázat egyértelmű: ha az ügyfeleidtől a hozzájárulás megerősítését kéred, azzal azt kockáztatod, hogy elveszted az ügyfél adatbázisod nagy részét.

Amennyiben az okosabb megoldást választod, és egy adatvédelmi szakértő segítségével találsz egy olyan jogos érdeket, mely lehetővé teszi számodra, hogy ügyfeleid személyes adatait kezeld, alapvető jogainak sérelme nélkül, akkor elég ha csak egyszerűen tájékoztatod őket a változásról, de nem kell újra beszerezned a „hozzájárulásukat”.

Összefoglalás

Öngól rúgása helyett, mielőtt elkezdenél e-maileket küldözgetni ügyfeleidnek, hogy újból beszerezd hozzájárulásukat az adatkezeléshez, vedd fel a kapcsolatot egy adatvédelmi jogásszal, hogy megtaláld azt a megoldást, mellyel meg tudsz felelni a GDPR-nek anélkül, hogy elveszítenéd az ügyfél adatbázisodat.