Új sorozatunkban a Direkt és Interaktív Marketing Szövetség tagjaival járjuk körbe az e-mail marketing aktuális kérdéseit. Legutóbb az adatbázisok és a mérhetőség témáját érintettük, most pedig az adatbázisokhoz, adatvédelemhez kapcsolódó jogi elvárásokról lesz szó. Az első részben a jogszerű adatgyűjtés, valamint a más tulajdonában álló adatok kérdését jártuk körbe.
Beszélgetőtársaink: dr. Buturácz Andrea és dr. Neuberger Ákos (Dr. Hatházi Vera Ügyvédi Iroda), dr. Halász Bálint (Eördögh Bird & Bird Ügyvédi Iroda), Dely Gábor (d-code)
dr. Neuberger Ákos: Annak érdekében, hogy egy eDM kampány megfeleljen a jogszabály által támasztott követelményeknek, hosszas felkészülési folyamat kell, hogy megelőzze. Erre többek között azért van szükség, hogy az eDM során végzett adatkezelési tevékenységhez az adatkezelő megfelelő adatkezelési tájékoztatót készítsen az adott kampányra szabva, amely által az adatkezelés érintettjei tájékozódhatnak az adatkezelés céljáról, időtartamáról valamint jogaik érvényesítéséről stb… Azonban sajnos azt tapasztaljuk, hogy ehhez a felkészülési folyamathoz szükséges idő rendszerint nem szokott a kampányokat szervező cégek rendelkezésre állni, mert a megrendelők többnyire másnapra szeretnék az adott eDM kapmányt megvalósítani.
dr. Buturácz Andrea: Nagyon fontos, hogy az adatkezeléseket mindig adatkezelési célonként kell bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatósághoz. Nem elegendő például csak a nyereményjátékkal kapcsolatos adatkezelést bejelenteni, ha a későbbiekben direkt marketing célra is fel kívánják használni az ehhez hozzájáruló résztvevők adatait. Ez utóbbi ugyanis önálló adatkezelési célnak minősül, így mindkét adatkezelést külön be kell jelenteni a hatósághoz. Ilyen esetben tehát minimum kettő NAIH nyilvántartási szám lesz.
dr. Halász Bálint: A saját tapasztalatunk szerint is gyakran félreérték, hogy a különböző célú adatkezeléseket külön-külön kell vizsgálni, tehát nem az a lényeg, hogy valakinek a nevét, címét, e-mail-címét kezelhetik-e, hanem az, hogy az adott célra kezelhetik-e ezeket az adatokat. Gyakran az üzletemberek annyit mondanak: van hozzájárulásom, hogy az adatait kezelhetem, benne van az adatbázisban. Ugyanakkor csak akkor küldhetnek egy magánszemélynek reklámüzenetet, ha kifejezetten erre a célra van tőle hozzájárulás. Önmagában az, hogy a magánszemély egyszer vásárolt az adott cégtől, és például a kiszállítás időpontjának egyeztetéséhez megadta az telefonszámát vagy e-mail címét, még nem küldhető neki reklám. Gyakran az az ügyfél elvárása az adatkezelési hozzájárulással és tájékoztatóval szemben, hogy „bármit tudjak az elérhetőségekkel csinálni, bármikor bármit tudjak az ügyfélnek küldeni”. Ez is megoldható, ugyanakkor erre előre kell gondolni, a részletes tájékoztatáson alapuló hozzájárulást előre be kell szerezni. Sokszor azt is gondolják az ügyfelek, hogy ezek csak jogi szövegek, amit a jogász önmaga el tud készíteni. Ez félreértés: jó részre valóban jogi szöveg, de a lényeget, hogy mi lesz a kampány, milyen adatokat és milyen célból fognak kezelni, mennyi ideig tárolják azokat, kinek adják át, milyen alvállalkozó van, ki küldi ki a hírlevelet, és még számos aspektust, az ügyfélnek kell tudni megmondania. Ezekre az ügyfél cégénél általában tud valaki válaszolni, de ezeket az embereket meg kell találni.
BA: Promóciók esetén is gyakran előfordul, hogy a direkt marketing üzenetek fogadásához történő hozzájárulást összevonják a promócióval kapcsolatos adatkezeléshez történő hozzájárulással. Gyakran csak az adatvédelmi tájékoztatóban rejtik el, hogy a promócióban történő részvétellel a résztvevő egyben feliratkozik a hírlevélre is. Az esetek nagy részében ez így nem megfelelő, mivel főszabály szerint a reklámozónak az érintett külön kifejezett, egyértelmű hozzájárulásával kell rendelkeznie ahhoz, hogy a későbbiekben reklámüzeneteket tudjon küldeni az érintett részére.
HB: Promóciók esetében a külön egyértelmű hozzájárulás vitatott kérdés. Volt arról vita, hogy jogszerű lehet-e, ha a nyereményjátékra regisztrálással a játékos automatikusan feliratkozik a hírlevélre is. Az üzleti racionalitás ezt diktálja, hiszen az adatbázis építés a valódi célja a promóciónak. Nemrég egy NAIH-határozat kimondta: meg lehet írni úgy a tájékoztatót, hogy a promócióval együtt a hírlevélre is feliratkozik a játékos, de csak akkor, ha ez egyértelműen fel van tüntetve a tájékoztatóban. Az érintettnek pontosan tudnia kell, hogy az adatai megadásával mire iratkozott fel, mit fog kapni, milyen jogai és kötelezettségei vannak. Természetesen az ügyfél számára ebben az esetben is biztosítani kell, hogy bármikor leiratkozzon az ügyfél, kérhesse adatai törlését.
Ha harmadik felek ajánlatait is szeretnénk kiküldeni, ahhoz külön nyilvántartási számra van szükség?
BA: Számos cég fő profiljaként kifejezetten értékesítési célból gyűjt adatokat, épít adatbázisokat. A legszigorúbban értelmezve a jogszabályt, az adatbázisok átadása, továbbértékesítése akkor történik jogszerűen, ha az érintettek ehhez hozzájárultak, azaz hozzájárult ahhoz, hogy az adataik az adatbázist megvásárló cég részére marketingcélból továbbításra kerüljenek. (Az adattovábbítást egyebekben a NAIH-hoz tett adatkezelési bejelentésben is szerepeltetni kell.) Az adatbázist megvásárló cég az adatok átadását követően mint önálló adatkezelő fogja kezelni az adatokat, így neki erre vonatkozóan értelemszerűen saját adatkezelési nyilvántartási számmal is rendelkeznie kell.
HB: Üzleti szempontból két konstrukció lehetséges: a megbízó csak megbízást ad egy ügynökségnek, de nem kezel személyes adatokat, nem ő küldi ki a hírleveleket – ebben az esetben nincs teendője az adatkezeléssel -, vagy valaki megveszi a személyes adatokat és ő fogja kiküldeni a hírleveleket. Feszültség tapasztalható a szabályozás és az üzleti élet, valamint a technika mostani állása között, ugyanis a jelenlegi adatvédelmi törvény, az Infotörvény sok szempontból az 1992-es jogszabály rendelkezéseit vette át. Az adatkezelő, adatfeldolgozó, többes adatkezelő fogalmai mára egybemosódtak, nehéz a szerepeket egyértelműen elkülöníteni. Például a szabályozás azt írja elő, hogy a hozzájárulás csak akkor érvényes, ha előre részletesen tájékoztatták az érintettet. Ez azt jelenti, hogy elvileg akkor teljesen biztos a tájékoztatás, ha előre meg tudják mondani, hogy kinek fogják majd eladni az adatokat. Ez azonban valójában nem így működik, ezért nagyon nehéz a jogszabály minden egyes betűjének megfelelni. Inkább kockázatarányos megoldásokat, üzleti szempontból még vállalható kockázatokat kell vállalni. Én úgy látom, hogy ehhez a hatóságok is többé-kevésbé rugalmasan állnak hozzá. Visszatérve az előző ellentmondásra, az egyfajta többes adatkezelés megvalósításával oldható fel: azzal, hogy az adatkezelő az adatot eladja valaki másnak, az eredeti kapcsolat még megmarad az ügyfél felé. Ha az ügyfél hozzá fordul, hogy többet nem szeretne hírlevelet kapni, erről köteles tájékoztatni azokat, akik az adatokat tőle megvásárolták. A NAIH nemrég állásfoglalásában is járható útnak tekintette ezt, viszont a többes adatkezelésre inkább csak európai ajánlások vannak, az Infotörvényben nincs nevesítve.
BA: Adatbázis értékesítés esetén jogi szempontból megfelelő gyakorlati megoldás lehet, ha az adatbázist építő cég az adatbázis átadása előtt kiküld az adatbázisra egy üzenetet arra vonatkozóan, hogy mely cégnek milyen célból szeretné továbbítani az adatokat, és ehhez az érintett járuljon hozzá. Persze felmerülhet, hogy ez üzleti szempontból nem biztos, hogy a legcélravezetőbb és leghatékonyabb megoldás.
HB: Ha az ügyfél a jogilag teljesen biztonságos megoldást nem tudja vagy akarja vállalni, akkor minimalizálni szükséges a kockázatokat. Volt olyan ügyfelem, ahol nagyon összecsúsztak az adatkezelési célok, és amikor elindult ellenük a NAIH-vizsgálat, akkor utólag tettünk mindent rendbe. Ez nem csak arról szól, hogy írunk egy szabályzatot, hanem a belső folyamatokat is át kell nézni, és vannak olyan pontok, ahol azt kell mondani, hogy nem lehet többé úgy csinálni, ahogy eddig csinálták, hanem másképp, jobban átgondolva és jobban dokumentáltan kell folytatni. Ebben az esetben az ügyfél átalakította az űrlapokat, az adatok tárolását, új adatbázist fejlesztettek arra, hogy kiknek és hogyan mehetnek ki a hírlevelek. Ezt bemutattuk a NAIH-nak, és végül bírság kiszabása nélkül megszüntették a vizsgálatot. Ezzel szemben sokszor azt látjuk, hogy a vállalkozások úgy tekintenek az adatvédelemre, mint egy úri huncutságra, nem tartanak a büntetéstől, nem költenek jogászra, nem olvasnak tájékoztatókat, mert úgy gondolják, hogy úgyis mindenki csibészkedik, akkor miért ők ne csinálják. Ugyanakkor azt látjuk, hogy az ügyfelek többsége értékeli, ha a rendszer rendben működik: ha leiratkozott, nem kap több hírlevelet, ha csak az e-mailt jelölte meg kapcsolattartási módként, nem hívják telefonon, vagyis a beépített adatvédelem hosszabb távon akár selling point is lehet.
Nyilván van egy része az ügyfeleknek, akik értékelik, ha úgy és akkor kapnak üzeneteket, ahogyan jóváhagyták, de olyanok is akadnak, akik kötözködőbbek és akár a hatóságoknál is feljelentik az üzenetküldőket. Ezzel kapcsolatban milyenek az általános tapasztalatok: inkább hivatalból, vagy bejelentésre indulnak a vizsgálatok?
NÁ: Ezzel kapcsolatban statisztikák nem állnak a rendelkezésünkre, erről inkább a hatóság tudna nyilatkozni, azonban azt sejtjük, hogy a kéretlen üzenetekhez kapcsolódó vizsgálatok leginkább fogyasztói panaszokra indulnak. Egy-egy eDM kampány során több ezer e-mail kerül kiküldésre, ezért könnyen lehet, hogy a címzettek között van olyan is , akinek van ideje, energiája egy panaszt megfogalmazni és ezzel a hatósághoz fordulni. Inkább abban az esetben feltételezhető, hogy egyes fogyasztók élnek panasztételi jogukkal, amennyiben őket rendre nem várt módon érik az ajánlatok, és a tájékoztató nem volt megfelelően megfogalmazva, ködös volt, esetleg más kampányok tájékoztatóiból volt összeollózva.
HB: A saját praxisomban azt látom, hogy a vizsgálatok alapvetően két irányból szoktak indulni: vagy az ügyfél vagy a versenytárs bejelentése alapján. Nagyon sokszor a magánszemély mögött is egy versenytárs áll, hiszen ők azok, akik árgus szemmel figyelik a másikat. Vannak olyan szereplők, akik abba sem invesztálnak, hogy ők pereljenek, hiszen akkor nekik kell az ügyvédet és az illetéket fizetni, inkább mindenféle bejelentéseket tesznek, így próbálják a másikat lefárasztani: NAIH-hal, Nemzeti Média és Hírközlési Hatósággal, Gazdasági Versenyhivatallal, Fogyasztóvédelmi Hivatallal. Ami a hivatalból indított vizsgálatokat illeti: az interneten minden fent van, különösen eDM-mel foglalkozó cégek esetében, így a hatóságnak könnyű dolga van. Át lehet nézni az adatvédelmi tájékoztatókat, egyéb anyagokat, és aki keres, talál alapon hibákat keresni bennük, de valószínűleg elég bejelentést kapnak, ami alapján dolgozhatnak. És nem csak a NAIH vizsgálódhat eDM-kiküldés kérdésében, hanem az NMHH is, a spam-bejelentéseket ők jogosultak elbírálni.
Dely Gábor: Mi történik akkor, ha nem adatbázis-vásárlásról, hanem bérlésről van szó, tehát egyetlen alkalommal szeretném a promóciós üzenetemet kiküldeni az adatbázis-értékesítéssel foglalkozó ügynökség tulajdonában lévő adatbázisra. Ilyenkor kell valamire figyelnie a megrendelőnek, vagy csak annyi a dolga, hogy átadja az üzenetet, amit szeretne kiküldetni?
NÁ: Ez az eset adatvédelmi szempontból viszonylag tiszta ügy, hiszen ebben az esetben maga a megrendelő nem kezel adatokat, tehát hozzá az ügynökség adatbázisából nem kerülnek sem címek sem telefonszámok. A megrendelőnek adatvédelmi szempontból nincs túl sok aggódni valója abban az estben, ha az ügynökség adatbázisában lévő adatalanyok adatkezeléshez való hozzájárulása megfelelő volt, továbbá az ügynökség az adatkezelési tevékenységét a jogszabálynak megfelelően folytatja, és csak ők küldi ki a hírlevelet majd a végén az ügyfél felé csak anonimizált statisztikai adatokkal– megnyitási, átkattintási arány -, tesz riportot. Ez persze nem jelenti azt, hogy reklámszempontból ne kellene megfelelnie a Reklámtörvényben foglalt előírásoknak.
BA: Mivel a megrendelők általában nem tudhatják, hogyan lett összegyűjtve az adatbázis, az is előfordulhat, hogy arra nem küldhető ki jogszerűen a direkt marketing üzenet, mert az adatbázis kezelője nem rendelkezik az érintettek erre irányuló megfelelő hozzájárulásával. Amit tehetnek, hogy a szerződésben a lehető legjobban tisztázzák a felelősségi köröket. Az más kérdés, hogy harmadik felek, így az érintettek vagy a NAIH felé a reklámozó is egyetemlegesen felel az esetleges jogsértésért.
HB: És még ha mondhatjuk is, hogy a jogi kockázat végső soron az adatbázis kezelőjéé, a reputációs kockázat mindenképpen a megrendelőn van. Nem az fog elterjedni, hogy valamelyik ügynökség kiküldött egy rossz kampányt, hanem azt fogja felkapni a sajtó, hogy az adott cég olyan üzeneteket küldött ki, ami valamiért nem volt megfelelő. Ezt jogi eszközökkel nem lehet kizárni, a megbízhatóság a kulcsszó, ha adatbázis-vásárlásról van szó.
Ha az internetről így-úgy összeszedett adatbázisokról beszélünk, érdemes tisztázni azt a félreértést is, miszerint ha egy adat fent van az interneten, azt szabadon fel lehet használni. Attól, hogy valami egyszer felkerült az internetre, az nem jelenti azt, hogy onnantól köztulajdonban van és bárki bármit csinálhat vele. Igaz ez a tartalmakra éppúgy, mint az e-mail címekre vagy telefonszámokra. Ehhez kapcsolódó nagyon érdekes kérdés, hogy az e-mail cím személyes adat-e. Például a céges e-mail címre, például gipsz.jakab@cegnev.hu, küldendő reklámhoz kell-e előzetes hozzájárulás, hiszen ez nem magánjellegű e-mail cím, mint például egy például gmailes cím.
NÁ: A hatóság nagyjából az info és az office kezdetű címeket tekinti úgy, hogy azok nem természetes személy e-mail címei, ezáltal azokat szabadabban engedi bombázni. Azonban a nevesíthető, egy személyhez köthető e-mail címeket személyes adatnak szokták tekinteni.
HB: Az a probléma, hogy anno az egész spam-szabályozás onnan indult ki, hogy a céges címek esetében a cég be tud abba fektetni, hogy spamszűrőt tegyen fel, míg egy magánszemély nem tud ebbe befektetni, így számára plusz jogi védelem kell. Ez teljesen meghaladottá vált mostanra, a legtöbb ingyenes alkalmazásban is erős spamszűrők vannak. A hatósági, bírósági gyakorlat ugyanakkor fekete-fehér jellegű maradt: ha office@, beszerzes@ vagy hasonló áll az e-mail elején, arra szabadon lehet üzeneteket küldeni, míg ha a név szerepel benne, akkor csak előzetes hozzájárulással, tájékoztatás után küldhető rá reklámüzenet, legalábbis a hatóság hozzáállása szerint.
NÁ: Előbb-utóbb a hirdetőknek meg fogja érni, hogy legális forrásból származó, megfelelően összeállított adatbázisokat használjanak kampányaikhoz, mivel hiába megy ki egy valamilyen módon összeállított adatbázisból több ezer üzenet, ha azok közül végül csak néhány ajánlat találja meg a fogyasztói érdeklődést, míg a többi egyszerűen törlésre kerül. Tehát megéri legális adatbázisokat felhasználni a kampányok során, még akkor is, ha az esetleg nem saját, hanem bérelt vagy vásárolt. Az a pénz, amit erre a hirdetők fordítnak, megtérülhet, míg egy ingoványos alapokon álló adatbázis használata valószínűleg akkor sem térül meg, ha töredékösszegbe kerül.
A beszélgetés második részében a jogszerű leiratkozást, a profilozást, valamint az adatvédelem nemzetközi vonatkozásait járjuk majd körbe.