Gdpr про любую обработку, и в том чтсле про использование, а не только сбор. И да, использование мыла - это обработка персданных

Если есть законное основание, то норм. Например получили согласие (но тогда его должна быть возможность отозвать), или нужно для исполнения договора (в т.ч. оферты), или если легитимный интерес (но тогда он должен быть четко скоммуницирован и должно быть объяснено, как можно возразить), или есть требование закона

В целом инфы в вопросе явно недостаточно, чтобы однозначно ответить.

Основное правило: если кто-то делает что-то, что может быть кому-то поперек горла, при том что на это нет обязанности по закону, и от этого нельзя понятным и простым способом отказаться, то скорее всего это нарушение жидипиара

Вся конкретика в прайваси нотисе, который обычно показывается юзеру при сборе его данных. Там все должно быть прозрачно пояснено. Если нет нотиса или из него не ясно, что это за хрень, нафига нужна и как ее убрать, то скорее всего уже нарушен принцип transparency и статьи 12-14. Дальше можно не копать

А как вы его мыло получили вообще?

Если ему пора платить, то это договор, вероятно, и он может предусматривать единственный канал уведомлений. И все норм.

А если нет договора, то ну такое себе. И в случае согласия, и в случае легитимного интереса должа быть предусмотрена опция отказаться. В случае согласия все вообще жестко

Ну gdpr он в т.ч. про ux. Пользователю надо дать четко понять, нафига с него просят свои данные указать, как они будут использоваться, + по умолчанию не должно быть абьюза (без активного согласия его данные должны юзаться пл минимуму), плюс никаких обманов и дарк паттернов, + он должен сохранять контроль и иметь возможность отказаться от всего лишнего.

+ в отличие от лучших практик по ux, ждпр это закон, который надо исполнять в любом случае

Ну вот там и должно быть оговорено, что как и зачем

Ну да

1. Ищете их прайваси полиси и адрес, куда писать чтобы реализовать свои права субъекта данных. Если нет, берете их общий контактный
2. Пишете запрос:
Under GDPR, I demand information on how you use my personal data, to whom you transfer my data and for wgich purposes. (Это ваше право)
Also I am dissatisfied by constant marketing messages from food delivery services, which occurred after I made an order by your app. Under GDPR, I demand you and all your partners to stop sending me any marketing messages. I withdraw all the consents I gave you or your partners before for processing of my data for marketing purposes. Also I object to the processing activities for marketing purposes where you think you have legitimate interests.

If you do not stop processing my personal data for marketing purposes (i.e. sending me advertisement messages and making calls) I will lodge a complaint to the Office of the Commissioner for Personal Data Protection.

Ченить такое. Только с корректным английским. Можно еще цепануть соответствующие статьи из жидипиара и процитировать.

3. Ждете ответа и результата
4. Если нет, жалуетесь в инстанцию
5. Может быть, те настучат по башке фирме (законом предусмотрена даже тюрьма, но скорее всего просто добьются исправления под угрозой тысячи-другой евро штрафа)

Важно, что если вы у них уже заказывали, то по закону они в принципе могут слать вам всякий рекламный спам (вместо согласия они могут основываться на легитимном интересе), но только если такая цель была до вас донесена при получении от вас контактных данных, и если они позволяют вам отказаться.

В целом, жидипиар это боль в заднице для любой фирмы и соблюдать его полностью оч сложно, да и просто его чтоб понять, надо не одну поллитру выпить. Так что лучше с пониманием относиться и не мучить нормальные фирмы запросами и жалобами.
Но если они наглеют и делают дичь, да еще игнорят вежливые просьбы отписать от рассылок - долбите их запросами и жалобами. Бтв, не ответить на запрос и не выполнить его - тяжкое нарушение