A magyar adatvédelmi hatóság elvárásai a különböző csatornákon végzett direkt marketinghez adott hozzájárulással kapcsolatban – egy hatósági határozat megállapításainak ismertetése
Szeretnénk felhívni a figyelmet a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság vagy NAIH) egy nemrég közzétett határozatára, amelyben 30 millió forintos adatvédelmi bírságot szabott ki jogellenes közvetlen üzletszerzés (azaz direkt marketing) miatt. A döntés azért fontos, mert a Hatóság most először foglalkozott azzal, hogy hány hozzájárulás szükséges akkor, amikor egy cég különböző csatornákon keresztül végez közvetlen üzletszerzési tevékenységet.
A döntés legfontosabb eleme, hogy a NAIH elvárja a reklámozótól, hogy az érintett számára a hozzájárulás lehetőségét egyes kapcsolati módonként, vagyis kommunikációs csatornánként (pl. az adott ügyben postán, telefonon, e-mailen, Google és Facebook célzott online hirdetésekkel) külön biztosítsa. A NAIH megállapítása szerint nem teljesíti ezért a hozzájárulás önkéntességének követelményét, ha az érintett az egyes direkt marketing megkeresési csatornákra külön-külön nem tud hozzájárulást adni. Ez nem zárja ki egy olyan opció nyújtását, amely segítségével minden megjelölt célhoz egyszerre lehet hozzájárulni, de ezen kívül lennie kell lehetőségnek csak egyes célok tekintetében külön hozzájárulás megadására.
A NAIH azt is kifejtette, hogy ha a hozzájárulást „elektronikus úton” való megkereséshez szerzik meg, úgy ez a megfogalmazás túl tág és a hozzájárulás nem konkrét, mivel az e-mailes megkeresésen felül bármely más – az érintett által előre nem látható, akár jövőbeli – kapcsolati formát is magában foglalhat, mellyel az érintett nem számolhat. Ennek megfelelően a megadott e-mail címen kívüli egyéb úton történő közvetlen megkereséshez is külön hozzájárulás szükséges. Ilyennek minősül a Google és Facebook hirdetési rendszeren történő célzott hirdetéses megkeresés is, tehát arra is külön hozzájárulást vár el a NAIH.
A döntés alapján
- külön hozzájárulás kell célonként és marketing csatornánként – erre figyelemmel az adatkezelőknek érdemes felülvizsgálni az alkalmazott adatkezelési hozzájárulások kialakítását, a checkbox-ok számát és a megfogalmazás módját;
- külön hozzájárulás kell Google és Facebook célzott hirdetésekhez, továbbá külön tájékoztatást kell adni ezen és a hasonló tömeges automatizált hirdetésrendszerek használatáról – erre is szükséges figyelemmel lenni a hozzájárulás szövegezését és az adatvédelmi tájékoztató tartalmát illetően;
- konkrét információ kell a direkt marketing jellegéről – a kapcsolattartási adatok kezelésének célja nem lehet egy olyan homályos cél, mint a „további kedvező ajánlatok fogadása”. „A közvetlen üzletszerzés egy ernyőfogalom, amelynek konkrét megvalósítását szükséges megjelölni célként”, például saját termékekről szóló hirdetések küldése adott csatornán vagy meghatározott csatornákon. Külön ki kell emelni a szokásostól eltérő, az érintettek által észszerűen nem várt lényeges körülményeket, a NAIH szerint ilyen például a külföldi adatfeldolgozó is (és annak világos, tömör, könnyen érthető adatkezelési szerepét is le kell írni);
- az adatkezelési tájékoztatót olyan módon kell az érintett rendelkezésére bocsátani, amely igazodik az éppen használt kommunikációs csatornához – offline kommunikáció esetén nem elegendő csak az online adatkezelési tájékoztató elérhetőségére utalni, mert számos érintett lehet, aki nem rendelkezik internet hozzáféréssel.