Új sorozatunkban a Direkt és Interaktív Marketing Szövetség tagjaival járjuk körbe az e-mail marketing aktuális kérdéseit. Az adatvédelemről szóló beszélgetés első részében a jogszerű adatgyűjtés, valamint a más tulajdonában álló adatok kérdését jártuk körbe, ezúttal pedig a jogszerű leiratkozásról, a profilozásról, valamint az adatvédelem nemzetközi vonatkozásairól lesz szó.
Beszélgetőtársaink: dr. Buturácz Andrea és dr. Neuberger Ákos (Dr. Hatházi Vera Ügyvédi Iroda), dr. Halász Bálint (Eördögh Bird & Bird Ügyvédi Iroda), Dely Gábor (d-code)
Jogszerűen összegyűjtöttünk egy adatbázist. Hogyan tudjuk használni, illetve hogyan tud kikerülni belőle, aki ki szeretne?
dr. Halász Bálint: Elrettentő példák akadnak, mint az olyan, hírhedtté vált cég, amely addig nem volt hajlandó adatokat törölni, amíg a fogyasztók megtévesztésével kiszámlázott díjat azok ki nem egyenlítették. Van, amikor az adatkezelés a szolgáltatás nyújtásához szükséges, de akkor csak arra a célra lehet az adatot kezelni (például számlázás, számlatartozás-behajtás), ettől eltekintve ha az érintett kéri, hogy töröljék az adatait vagy nem szeretne több megkeresést kapni, akkor a cég kötelessége ennek eleget tenni. Itt inkább üzleti oldalról lehet megfogni a kérdést, olyan extra szolgáltatásokat, jellemzőket érdemes beépíteni, amelyek fokozzák a felhasználói élményt, és így a felhasználó nem akar leiratkozni a direkt marketing célú kommunikációs csatornákról.
dr. Neuberger Ákos: A DIMSZ-nek volt egy adatvédelmi kommandója még előző év decemberében-januárjában, amely az e-commerce oldalakat vizsgálta, míg az ősz elején az utazási irodák mellett a szállás- és repülőjegy foglalással foglalkozó weboldalak kerültek átvilágítására. Adatvédelmi szempontból a sok negatív tapasztalat mellett akadt néhány pozitív is. Az egyik ezek közülük az volt, hogy ha kaptak az adatvédelmi kommandót lefolytató vizsgálók hírlevelet, akkor arról egy kattintással le tudtak iratkozni. A leiratkozás gátlása már csak a nagyon a periférián mozgó cégeknél fordul elő.
Dely Gábor: Jogi szempontból itt van különbség aközött, hogy egy kattintással le tudok iratkozni vagy be kell lépnem az oldalon a profilomba, megkeresni a hírlevél-lehetőséget és kiszedni a pipát? Létezik erre iránymutatás, vagy csak a leiratkozási lehetőséget szükséges biztosítani?
dr. Buturácz Andrea: A jogszabály ezzel kapcsolatban annyit ír elő, hogy a leiratkozást mind e-mail útján, mind postai úton biztosítani kell. További iránymutatást ezzel kapcsolatban nem ad. A leiratkozási lehetőségek kidolgozásakor – a jogszabályban foglaltakon túl – azt javasolt szem előtt tartani, hogy a leiratkozás minél inkább fogyasztóbarát, tehát minél könnyebben elérhető legyen. Eldugni semmiképpen sem javasolt.
HB: Ha valaki jogszerűen működik, a szolgáltatás, a termékek jól össze vannak rakva és felhasználói élményt ad, az nem szokott ilyen kisstílű játszmákba belemenni. Én azt javasolnám az ügyfélnek, hogy ugyanolyan rendszerben lehessen leiratkozni, mint feliratkozni. Az nekem sem tetszene felhasználóként és valószínűleg a hatóságnak sem, ha nagyon egyszerűen fel lehetne iratkozni, viszont utána csak több menün keresztül juthatnék el oda, hogy kérhessem az adataim törlését. A kettőnek valahol párhuzamban kell állnia.
Érdemes visszatekinteni arra, hogy a 90-es évek elején, amikor az adatvédelem először jelent meg törvényi szintű szabályozásban, többé-kevésbé nagy állami adatkezelőkre és cégekre szabták. Most viszont az a helyzet, hogy a felhasználók szórják szét teljesen meggondolatlan módon az adataikat: bármihez hozzájárulnak, bármire feliratkoznak. Ez tévútra vezethet cégeket, és azt gondolhatják, hogy az adatvédelem nem fontos, hiszen az ügyfeleknek sem az. Ami érdekes, hogy máshol Európában, de különösen Amerikában máshogy állnak az adatvédelemhez. Amerikában nincs is adatvédelem a szó európai értelmében, ott inkább a magánszférát védik. Ezért van az, hogy ott, illetve Angliában nagyon sokszor hozzájárulás nélkül is lehet hírlevelet küldeni, opt-out rendszer működik, azaz nem kell előzetes hozzájárulás, hanem elég csak az utólagos leiratkozás lehetőségét biztosítani. Nálunk elektronikus direkt marketingnél minden esetben előzetes hozzájárulás kell, és ez akkor lehet probléma, ha valaki külföldi mintát vesz át. Óva intenék attól, hogy valaki a Google, a Facebook vagy bármely amerikai cég adatvédelmi szabályzatát fordítsa le és vegye át. Ez lehet, hogy egy darabig nem jelent gondot, de előbb-utóbb problémákhoz fog vezetni. Különösen startupoknál szokott előfordulni, hogy gyorsan szereznek-lefordítanak valamit, de amikor be akarna később szállni egy befektető és az átvilágításnál azt látja, hogy a teljes marketing-adatbázis hibás alapokon nyugszik, akkor esetleg eláll az üzlettől, vagy azt kéri, hogy minden ügyféltől szerezzenek be egy rendes hozzájárulást, ami sokszor nehezen valósítható meg, mert nagy a lemorzsolódás.
DG: Utólagos beleegyezés-kérésnél mi a követendő eljárás? Például LinkedInen fordult elő, hogy megváltozott az adatvédelmi szabályzat, és ha a felhasználó ennek megismerése után belépett, ezzel elfogadta az új szabályzatot. Egy ehhez hasonló megközelítés jó megoldás lehet abban az esetben, ha a korábbi hozzájáruláskérés nem megfelelően zajlott?
HB: Nekem volt ilyen ügyem, ahol megvoltak az adatok, megvolt a hozzájárulás, csak az adatkezelési cél nem volt világos. Azt a megoldást raktuk össze – amit a NAIH jóváhagyott, sőt, sugallt -, hogy az összes felhasználót megnyilatkoztattuk, hogy milyen jellegű megkeresésekhez járul hozzá és milyen úton szeretné megkapni azokat. Volt persze lemorzsolódás, akik nem válaszoltak, azokat törölni kellett. Ha az ÁSZF változik, de a változás nem érinti az adatkezelésre vonatkozó részeket, akkor működhet a LinkedIn-féle módszer, ha egy nagyon felhasználóbarát tájékoztatást kap arról, hogy mi volt régen, mi van most és mi változott.
Az EU-szabályozás most hol áll? Jól látom, hogy az eredeti tervek szerint, idén év végére már nem lesz ebből új rendelet?
HB: Valahol elakadt a Parlament és a Bizottság között, legutóbb három-négy különféle szöveg cirkulált a rendszerben. Úgy néz ki, talán 2015-ben elfogadják, és akkor változni fog sok minden. A cél várhatóan az lesz, hogy az Európai Unió egy biztonságos kikötő legyen a világban, az európai cégek selling point-ként tudják használni, hogy ha valaki egy EU-s céggel szerződik, akkor tudhatja, hogy az adatait óvják. A legnagyobb különbség, hogy a rendelet egységes szabályozás lesz, míg most irányelvi szabályozás van, ami szétesik nemzeti jogszabályokra, és ami miatt jelenleg egységes európai szabályozásról nem beszélhetünk.
De az irány azért a szigorú adatvédelem marad, vagyis ha valaki holnap ennek mentén alakítja ki a saját rendszerét, akkor nem érheti majd nagy meglepetés, ha jövőre elfogadják majd a rendeletet?
HB: Abban kár lenne bízni, hogy úgyis változik majd a szabályozás, talán lazább lesz, és ezért már most sem tartom be a kereteket. A hazai szabályozás az EU-s átlaghoz képest kevésbé rugalmas, sőt bizonyos kérdésekben kifejezetten szigorú. Ezért ha valaki meg tud felelni a mai magyar szabályozásnak, akkor valószínűleg nem lesz túl sok félnivalója, ha hatályba lép az EU-s rendelet. Az új rendelet hatályba lépést követően várhatóan nem lesznek egetrengető változások, az alapok nem fognak jelentősen átalakulni. Sok szempontból rugalmasabb lesz a rendszer, viszont jóval nagyobb bírságok is várhatóak. Jelenleg a NAIH maximum tízmillió forintos bírságot szabhat ki, de ez eltörpül más országokhoz képest, ahol a hatóságok nagyságrendekkel magasabb bírságokat is kiszabhatnak, és nem is félnek használni ezt a szankciót.
Ha van egy magyar webshopom, ami forgalmaz más országokba is, akkor adatvédelmi szempontból a magyar jog az irányadó vagy a vásárló országáé?
BA: Az Infotörvény szerint a Magyarország területén folytatott adatkezelésekre az Infotörvény rendelkezéseit alkalmazni kell, tehát amennyiben a webshoppal kapcsolatos adatkezelési, adatfeldolgozási műveleteket Magyarországon végzik (pl. itt van a szerver), úgy a magyar jog biztosan alkalmazandó lesz.
HB: A magyar Infotörvény az adatkezelés helye szerint határozza meg a hatályt. De nem kizárt, hogy például az angol jog mást mond, és adott esetben az angol joghatóság alatt álló vásárlóra az angol adatvédelmi jogszabályok is vonatkoznak. A logika azt diktálná, hogy az EU-n belül a szolgáltatásnyújtás szabadsága áll fenn, tehát ha egy magyar cég megfelel a magyar jogszabályoknak, amelyek az EU joggal harmonizáltak, akkor elvileg különösebb gond nélkül tudna más tagállamokba is szolgáltatni anélkül, hogy azok jogszabályainak is mindenben meg kellene felelnie. Ez a főszabály, de néha belefutunk kivételekbe, amikor valamit tenni kell a nemzeti megfelelés érdekében. Az ügyfelek, különösen a nagyvállalatok részéről is az az elvárás, hogy ha megfelelnek a székhelyük szerinti jogszabályoknak, akkor az elegendő legyen, és ne kelljen például országonként különféle adatvédelmi tájékoztatókat alkalmazni, mert az kezelhetetlen lenne.
DG: Mi a teendő akkor, ha egy vállalkozásnak több adatforrásból van eltérő természetű személyes adata? Például az egyik forrásból megvan a felhasználó neve, e-mail címe, míg a vásárlásaiból látom, például egy cookie segítségével, hogy mikor jelentkezik be, milyen jellegű termékeket néz. A kettőt hogyan tudom összevetni, a profilozást elindítani? Mi az, amit én ezekből kiszedhetek, jogi szempontból szabályos következtetésként levonhatok, és mi az, amire nem használhatom?
NÁ: Az adatbázis-építés alapköveinek a lerakásakor kell meghatározni az adatgyűjtési célokat, mert egy kész adatbázis egy másikkal való összekapcsolásának törvényi akadályai vannak. Az Infotörvény alapelve, hogy a különböző adatbázisokat nem lehet összekapcsolni. Ha úgy építjük fel az adatbázisainkat, hogy az alapul szolgáló tájékoztató szerint több forrásból fognak adatokat gyűjteni, majd ezeket marketingcélokból együtt felhasználni, akkor léteznek törvényesen megvalósítható eljárások a cél elérése érdekében. Azonban ha a létező adatbázisaimba nem voltak beépítve a törvénynek megfelelő garanciák, akkor utólag legfeljebb egy módosítás meghirdetésével és az ahhoz bekért hozzájárulásokkal lehet végrehajtani az összekapcsolást.
HB: Ha az ügyfélszolgálaton az ügyfél megadja az adatait és valamilyen kérdést tesz fel, akkor ezt a támogatási célt nem keverhetem össze az eDM-mel. Ha például azt a kérdést tette fel, hogy le tudná-e cserélni a Samsung telefonját iPhone készülékre az adott szolgáltatónál, az nem jelenti azt, hogy másnap kaphat egy iPhone készülékre és számlacsomagra vonatkozó ajánlatot, hacsak nincs arra hozzájárulás, hogy a támogatás céljára történő adatkezelést a szolgáltató összekapcsolja a marketingcélú adatkezeléssel. Ez elsőre egyszerűnek tűnhet, csak beleírják a szabályzatba, hogy mindent lehet mindennel, de ez nem jó: előre, pontosan meg kell tudni mondani, hogy mivel mit szeretnének csinálni. És mivel ez egy eltérő adatkezelési cél, azt is biztosítani kell számára, hogy erről le tudjon iratkozni. Ha akarja, ki tudja kapcsolni a profilozást, hasonlóképpen a „do not follow” opcióhoz a böngészőben. Jogi szempontból azt nehéz lenne megvédeni, hogy a profilozás a szolgáltatás része. A profilozásra vannak ajánlások is az Európai Unió ezzel foglalkozó adavédelmi munkacsoportjától, amelyeknek az a lényege, hogy lehetséges a profilozás, de részletes tájékoztatáson alapuló előzetes hozzájárulás kell hozzá, egyértelműen fel legyen tüntetve, hogy milyen adatát, milyen forrásból, milyen célra és hogyan használják fel, és biztosítani kell, hogy le kell tudjon iratkozni az érintett. A profilozás esetén különösen nem működik a „beleírok két elkent mondatot az adatvédelmi tájékoztató közepébe” megoldás, mert ezen a módon nem lesz meg az az egyértelmű tájékoztatás, amelyet a jogszabály megkövetel.
DG: A személyes adatok törlése még érdekes kérdés lehet, amikor azt az érintett kifejezetten kéri. Van egy olyan bevett eljárás a szakmában, hogy ha valaki leiratkozik, akkor nem töröljük az adatát, hanem kap egy ún. flaget, hogy nem küldhetünk neki hírlevelet, de az adata ettől még fizikailag megvan. Ezt hívják Robinson-listának. Így holnap már nem kap e-mailt, de ha például azt akarom megnézni, hogy megnyitotta-e a tegnapi levelet, az az adat még mindig rendelkezésre áll. Ez így rendben van-e, illetve ha szeretne mindenhonnan lekerülni, azt hogyan tudja elérni? Külön kell egy levelet írnia arról, hogy nem a hírlevélről szeretne lekerülni, hanem azt kéri, hogy minden adatát töröljük?
BA: Ha a hírlevél feliratozásra például egy weboldalon történő regisztráció során került sor, úgy ilyen esetben a regisztrációt és a hírlevél feliratkozást – hiszen ez két különböző adatkezelési célt jelent – külön kell kezelni. Ha az érintett csak a hírlevélről iratkozik le, akkor csak ebből az adatbázisból kell őt törölni, tehát a weboldalon történt regisztrációja továbbra is megmarad, ebből a célból az adtakezelő az adatait továbbra is kezelheti. A vonatkozó adatkezelési tájékoztatóban javasolt az érintetteket erről tájékoztatni, tehát javasolt kitérni arra, hogy ha az érintett csak a hírlevélről iratkozik le, úgy ez nem jelenti az adatai teljes törlését, tehát például a regisztrációja, egy webshop esetén a korábbi vásárlási adatai, stb. nem kerülnek törlésre.
HB: A jogszabályban a hírlevél-leiratkozás így ebben a formában nem jelenik meg. Az olyan fogalmakkal manipulál, mint az adatok törlése, az adatok törlésének a kérése, a hozzájárulás visszavonása, meg a tiltakozás, ezek pedig nem feltétlenül feleltethetőek meg a leiratkozásnak.
BA: A hírlevél-leiratkozásra vonatkozóan a reklámtörvény tartalmaz rendelkezéseket, de ahogy korábban említésre került, mind a reklámtörvény, mind az Infotörvény más fogalmakkal operál, ami megnehezíti a szabályok együttes értelmezését.
NÁ: Ebben az esetben az a prudens magatartás, ha a hírlevél címzettjének korrekt tájékoztatást adunk. Így célszerű, ha a címzett leiratkozáskor kap egy e-mailt, amiben tájékoztatjuk, hogy több hírlevelet nem fog kapni, de a feliratkozáskor az általa létrehozott profilt vagy az e-mail címet a rendszerben eltároltuk. Ehhez járulhat egy kiegészítés, melynek célja, ha később belép, újra tudja aktiválni a profilját. Ha a hírlevél címzettje ezzel sem ért egyet, úgy kínáljunk fel egy olyan lehetőséget, hogy „ide kattintva”a profiljában be tudja állítani az adatkezelést vagy akár teljesen törölni tudja a profilját.
BA: Ha az érintett leiratkozik a hírlevélről, akkor az érintettre vonatkozóan a direkt marketing adatbázisban szereplő minden adatot törölni kell. Ha az adatkezelő leiratkozási listát (Robinson-listát) vezet, erről megfelelően tájékoztatni kell az érintetteket.
NÁ: Ezeket lehet anonimizálni, és amennyiben ezek végleges anonimizálásra kerül sor úgy már ez nem minősül adatkezelésnek. Persze mindannyian tisztában vagyunk azzal, hogy ezek a rendszerek nem így működnek, ha egyszer valami oda bekerült, azt nagyon nehéz kiirtani, de ez nem szolgálhat mentségként. A hírlevél-leiratkozásra vonatkozó kérés elfogadható, viszont amennyiben a hírlevél címzettje azt a gombot nyomja meg, vagy arról ír egy levelet, hogy minden adatát kéri törölni, akkor a teljes profilt törölni kell. Az megint más kérdés, ha fennáll egy elszámolási jogviszony (például tartozása van). Ebben az esetben, ha a címzett kéri az adatai törlését, nem jelenti azt, hogy az adatkezelőnek minden elérhetőségét törölnie kell, amely által a tartozás behajtása meghiúsulhat. Az Infótörvényben vannak olyan jogalapok, mint a jogi kötelezettség vagy a jogos érdek, amely alapján az adatkezelő mondhatja, hogy a hírlevél-adatbázisból és a profilok közül törli a hírlevél címzettjét, de nem törli az adósságkezelő modulból, egészen addig amíg az adósság nem évül el vagy amíg az nem kerül kiegyenlítésre. Az Infotörvény előtt sokan próbálkoztak a visszaélés-szerű adattörléssel, bár más jogszabályokban, például a hitelintézeti törvényben akkor is megvolt erre a megfelelő jogalap.
