GDPR nyilatkozat és a hírlevél-feliratkozás: Milyen adatvédelmi szabályokat kell betartani?
A GDPR nyilatkozat, mint a hírlevél-feliratkozás alapja
A digitális marketing egyik legalapvetőbb eszköze a hírlevél-küldés. Ez azonban adatvédelmi szempontból nem csupán technikai kérdés: a hírlevél-feliratkozás során gyűjtött személyes adatok kezelése szigorúan szabályozott. Egy világos és jogszerű GDPR nyilatkozat nemcsak a hatósági előírásoknak való megfelelést biztosítja, hanem növeli a vállalkozás hitelességét is. A következőkben bemutatjuk, mire kell figyelni a hírlevél-feliratkozás során, és hogyan kapcsolódik ehhez a GDPR nyilatkozat szerepe a magyar jogszabályok tükrében.
A hírlevélre történő feliratkozás során a leggyakrabban gyűjtött személyes adat az e-mail cím. Ezen kívül gyakran bekérnek keresztnevet, teljes nevet vagy más azonosítót is. Ezek az adatok a GDPR hatálya alá tartoznak, ezért az adatkezelés csak jogszerűen történhet. Az adatkezelési szabályzat célja az, hogy átláthatóan tájékoztassa az érintettet arról, milyen adatokat gyűjt a szolgáltató, milyen célból, milyen jogalapon, és mennyi ideig kezeli azokat.
Hozzájárulás, mint adatkezelési jogalap
A magyar jogban az Európai Unió Általános Adatvédelmi Rendeletének (GDPR) végrehajtását az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény biztosítja. Eszerint a vállalkozásnak adatkezelési tájékoztatót – azaz GDPR nyilatkozatot – kell készítenie, amelynek tartalma megfelel az uniós és hazai előírásoknak is.
A hírlevelek küldése csak akkor jogszerű, ha az érintett ehhez kifejezett és önkéntes hozzájárulását adta. A hozzájárulás megadásának egyértelműnek kell lennie – az előre bejelölt négyzet például nem tekinthető érvényes hozzájárulásnak. A GDPR nyilatkozatban pontosan fel kell tüntetni, hogy a felhasználó milyen célra adja meg az adatait (pl. hírlevél küldése, marketinganyagok), és bármikor visszavonhatja ezt a hozzájárulást. A magyar jog alapján a hírlevél-feliratkozás egyértelmű hozzájárulást igényel, és a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) különösen szigorúan ellenőrzi a marketingcélú adatkezelést.
A GDPR nyilatkozat tartalma és az adatkezeléshez való hozzájárulás dokumentálása
A megfelelő GDPR nyilatkozatnak tartalmaznia kell az adatkezelő nevét és elérhetőségét, az adatkezelés célját (pl. hírlevélküldés), a kezelt adatok körét (e-mail cím, név, IP-cím stb.), az adatkezelés jogalapját (érintett hozzájárulása), az adatmegőrzés időtartamát, az érintettek jogait (hozzáférés, helyesbítés, törlés, tiltakozás, panasz benyújtása a NAIH-hoz), és az adatok továbbításának ténye, ha van ilyen.
Az adatkezelési szabályzat megléte önmagában nem elég: a vállalkozásnak azt is tudniuk kell igazolni, hogy az érintett valóban hozzájárult az adatkezeléshez. Ezért a feliratkozások naplózása kulcsfontosságú. Célszerű rögzíteni a feliratkozás időpontját, az IP-címet, valamint a feliratkozás módját is. A legbiztonságosabb megoldás az ún. double opt-in rendszer, ahol a feliratkozás után az érintett egy megerősítő e-mailben erősíti meg szándékát.
Nagyon fontos az adatok törlésének és leiratkozás biztosítása!
A GDPR egyik alapelve az adattakarékosság és időbeli korlátozás. A hírlevél-feliratkozók adatait csak addig lehet tárolni, amíg az adatkezelési cél fennáll. Az érintetteknek biztosítani kell a leiratkozás lehetőségét minden egyes hírlevélben. A GDPR nyilatkozat erre is ki kell térjen: pontosítani kell, hogyan lehet kérni a leiratkozást és az adatok törlését.
A NAIH több alkalommal is bírságolt olyan vállalkozásokat, amelyek nem rendelkeztek megfelelő GDPR nyilatkozattal vagy nem biztosították a hozzájárulás visszavonásának lehetőségét. A bírság mértéke súlyosabb lehet akkor, ha tömeges adatkezelésről van szó, illetve, ha az érintetteket nem tájékoztatták megfelelően. Egyetlen hiányos vagy nem naprakész GDPR nyilatkozat is elég lehet a szankcióhoz.