Așa cum prevede Regulamentul general privind protecția datelor, pentru a putea trimite comunicări comerciale unei persoane sau firme, companie trebuie să se asigure că acest lucru este permis. Dacă nu are un temei aplicabil pentru acest lucru, trimiterea solicitărilor, în scop de marketing, este interzisă. O astfel de situație concretă este când clientul optează expres pentru a nu i se trimite asemenea comunicări comerciale.
Totuși, GDPR nu interzice, la modul absolut, comunicarea de mesaje, în scop de marketing, cu clienți sau cu potențiali clienți. Ea trebuie să urmeze niște principii și să respecte unul din temeiurile predefinite în Regulament. În acest caz este vorba despre consimțământul persoanei vizate de comunicarea comercială sau chiar interesul legitim al firmei ce ar trimite comunicarea.
Astfel, articolul 21 din GDPR, prevede că, „atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv”. Cu alte cuvinte, GDPR-ul îi acordă un drept expres persoanei vizate de comunicări comerciale de a se opune trimiterii unor astfel de mesaje, indiferent de momentul când are loc această opoziție.
În plus, pentru a se garanta efectivitatea dreptului respectiv, GDPR prevede că un client trebuie să fie informat de entitatea care îi prelucrează datele despre existența dreptului în cauză, „cel târziu în momentul primei comunicări cu persoana vizată”.
Modalitatea concretă prin care se poate aduce la îndeplinire această obligație este informarea persoanei vizate de prelucrare, la momentul primei comunicări, de posibilitatea de a alege dacă să îi fie sau nu trimite comunicări comerciale, pe parcursul relației cu un furnizor de bunuri sau servicii.
În speță, o companie ce activează în domeniul HORECA a primit un refuz de a trimite comunicări comericale, unei persoane care îi folosea serviciile. Astfel, persoana vizată și-a exercitat dreptul de opoziție, așa cum prevede articolul 21 din GDPR. Totuși, acest lucru nu a fost luat în considerare de companie, care a trimis comunicări comerciale. Având în vedere existența unei opoziții la astfel de comunicări, din partea clientului (deci și lipsa unui temei valid de prelucrare), compania a fost amendată de Autoritatea Română de protecția datelor cu 5.000 RON.
Nu este prima data când amenzi pentru trimiterea de comunicări în scop de marketing, dar nesolicitate, au fost date. De fapt, una din amenzile „record” date în baza GDPR a fost aplicată pentru o asemenea faptă, fiind vorba de o sumă de 27,8 milioane euro, amenda fiind dată de Autoritatea italiană de protecție a datelor.