A GDPR hatása a marketingfolyamatokra

Dátum: 2018. 05. 09. 07:48

2018. május 25-től válik alkalmazandóvá az Európai Parlament és Tanács 2016/679 rendelete (Általános Adatvédelmi Rendelet, másnéven GDPR), amely jelentős mértékben megváltoztatja a természetes személyek adatainak védelmére vonatkozó jelenlegi szabályozást.

Dr. Szűcs László
cégtárs
PwC Legal

Az immáron minden uniós tagállamban egységes és közvetlenül kötelezően alkalmazandó szabályozás a jelenlegi magyar szabályozásnál lényegesen szigorúbb, és nagyságrendekkel súlyosabb bírságszankciókat helyez kilátásba. Így a cégeknek a jövőben még nagyobb figyelmet kell fordítaniuk arra, hogy csak akkor kezelhetnek személyes adatot, ha az adott személyes adat vonatkozásában az adatkezelés célja, módja és időtartama egyértelműen meghatározható, az adatkezelésre megfelelő jogalappal rendelkeznek, továbbá megfelelő biztonsági intézkedésekkel óvják a személyes adatokat. Emellett minden esetben csak addig és olyan módon kezelhetők a személyes adatok, ameddig és ahogyan az az adatkezelés célja figyelembevételével szükséges és indokolt.

Személyes adat és adatkezelés

Dr. Mezei Péter
ügyvéd
PwC Legal

Mielőtt a GPDR marketingfolyamatokra vonatkozó konkrét hatására térnénk ki, két fogalmat szükségesnek tartunk tisztázni. Az egyik fogalom a személyes adat fogalma. Személyes adatnak minősül minden olyan információ, amely alapján a természetes személy (érintett) közvetett vagy közvetlen módon beazonosítható, amely információ egy konkrét érintettre visszavezethető. Itt nemcsak a névre vagy e-mail címre kell gondolni, hanem minden olyan információra, amely az adott személy szokásaira irányadó, ideértve például a vásárlási gyakoriságot, a vásárolt termékek összetételét, a megrendelt termék méretét, esetenként funkcióját. A vásárlói kosarakból ugyanis számos esetben lehet következtetni az érintett fogyasztó személyes jellemzőire, akár egészségi állapotára, testi, fiziológiai vagy viselkedési jellemzőire is.

A másik fontos fogalom az adatkezelés. Az adatkezelés folyamata a személyes adat felvételétől egészen az adat törléséig tart, és lényegében minden, a személyes adat felhasználásával végzett műveletet magába foglal, ideértve az adatok lekérdezését, rendszerezését, összehangolását, továbbítását.

Általános vagy közvetlen?

A marketingfolyamatok eredményességének egyik fontos tényezője, hogy az értékesítendő termékre vagy szolgáltatásra vonatkozó üzenetet a cégek milyen módon juttatják el a fogyasztókhoz. Amennyiben a marketingüzenet plakát vagy TV-/rádióreklám útján jut el, úgy e folyamattal összefüggésben jellemzően nem merülhetnek fel adatvédelmi aggályok. Amennyiben azonban a marketingüzenet konkrét fogyasztók részére közvetlenül kerül megküldésre, úgy már szóba jönnek bizonyos adatvédelmi kérdések.

E vonatkozásban kérdéses, hogy mi minősül közvetlen marketingkommunikációnak. Itt nem csupán a levélben vagy e-mail útján eljuttatott üzenetre kell gondolnunk, hiszen közvetlen kommunikációt valósít meg az az esetkör is, amikor az adott (beazonosított, beazonosítható) érintett szociális média felületén (adatlapján, hírfolyamában) jelennek meg különböző marketingcélzatú felhívások, információk.

A fentiekben már említettük, hogy az adatok kezelése kizárólag egyértelműen meghatározott cél elérése érdekében lehetséges. Az adatkezelés kezdetekor a pontos cél ismerete elengedhetetlen, hiszen az érintett részére még azt megelőzően világos és átlátható tájékoztatást kell nyújtani az adatkezeléshez kapcsolódó célról, hogy megadná személyes adatait.

Igazolt hozzájárulás

Az adatkezelés jogalapja körében fontos megemlíteni, hogy míg a jelenlegi reklámtörvény előírásai alapján reklám közvetlen üzletszerzés (direkt marketing) módszerével kizárólag akkor küldhető, ha ahhoz az érintett előzetesen egyértelműen és kifejezetten hozzájárult; addig a GDPR szerint a közvetlen üzletszerzési célú adatkezelés adott esetben jogos érdeken is alapulhat, amelyhez – a jogos érdek igazolható fennállása esetén – nem kell az érintett hozzájárulása. Ez csak egy a számos olyan kérdés közül, amely tekintetében a GDPR és a jelenleg hatályos, egyelőre nem módosított hazai adatvédelmi szabályozás egymásnak ellentmond, és így a piaci szereplők a jogszerű működés kialakítása során bizonytalansággal szembesülhetnek.

Ha az adatkezelés hozzájáruláson alapul, úgy pedig az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett adatainak kezeléséhez hozzájárult. Ez a gyakorlatban azt jelenti, hogy amennyiben a hozzájárulását az érintett például egy telefonos megkeresés körében szóban vagy gombnyomással kifejezve adja meg, úgy előzetesen végig kell hallgatnia az adatkezeléshez kapcsolódó részletes tájékoztatást, majd ezt követően nyilatkoznia kell arról, hogy azt megértette, és arra tekintettel hozzájárul adatai kezeléséhez. Ilyen esetben bizonyíthatósági okokból praktikusan a teljes hívás, illetve beszélgetés hanganyagát meg kell őrizni mindaddig, amíg az érintettre nézve adatkezelés történik.

Hasonló logika irányadó abban az esetben is, ha az érintett írásban járul hozzá adatai kezeléséhez. Írásbelinek tekinthető az az esetkör is, ha az érintett egy elektronikus platformon aktív magatartással (pl. üres jelölőnégyzet bepipálásával vagy „hozzájáruló gomb” megnyomásával) kifejezve járul hozzá adatai kezeléséhez, azonban itt is bizonyítható módon kell megtörténnie az előzetes tájékoztatásnak, továbbá a hozzájárulás kifejezett megadásának később is rekonstruálható és bizonyítható (változatlanul visszaidézhető) módon kell megtörténnie.

Jogalap az adatkezeléshez

Gyakran előfordul, hogy a korábbi célok mellé új célok épülnek be a marketingstratégiába. Ha ilyen esetekben az adatok felhasználásának célja is változik, bővül, úgy új adatkezelési cél(ok) megjelenéséről beszélhetünk, amely(ek)hez szintén megfelelő, külön adatkezelési jogalap (pl. hozzájárulás) szükséges, továbbá ugyanúgy kötelező az adatkezelést megelőzően részletesen tájékoztatni az érintetteket ezen „új” adatkezelés GDPR-ben rögzített lényeges körülményeiről. A célokat nem lehet kiterjesztően értelmezni vagy összemosni, így pl. külön kell arról tájékoztatni a fogyasztót, ha a kereskedő direkt marketing tevékenységet végez, és ezzel egyidejűleg a vásárlói szokásokat is vizsgálja, ún. „automatizált adatkezelésen (profilalkotás) alapuló döntéshozatalt” végez; ezeket nem lehet egységesen egyféle marketingcélú adatkezelésnek tekinteni.

Emellett amennyiben az adatkezelő profilalkotáson alapuló döntést hoz az érintett fogyasztókat érintően (pl. vásárlási szokásaik alapján szegmentálja őket, és egyedi ajánlatokkal keresi meg őket, vagy a szegmentáció alapján dönt bizonyos őket érintő üzleti feltételekről stb.), amely döntés rájuk nézve joghatással járna vagy őket hasonlóképpen jelentős mértékben érintené, úgy az ilyen „profilozásra” csak a GDPR-ben rögzített konkrét jogalapok fennállása mellett kerülhet sor. E jogalapok az érintett és az adatkezelő közötti szerződés, uniós vagy tagállami jogi felhatalmazás, illetve az érintett kifejezett hozzájárulása lehetnek.

Nem szabad a vásár

Amennyiben a jogszerűen kezelt személyes adatokat az adatkezelő bármely címzett részére átadja, továbbítja, úgy az adatkezelő érintett részére nyújtott tájékoztatásának ki kell terjednie az adatátadás, továbbítás körülményeire is. Ez a gyakorlatban esetenként nagyon összetett feladat. Egyrészről ugyanis a szabályozás a közös adatkezelésre, illetve az adatfeldolgozásra vonatkozó előírások körében számos feltétel együttes fennállását teszi kötelezővé, ugyanakkor az érintett részére a tájékoztatásnak továbbra is konkrétnak és átláthatónak kell lennie. A lényeg leegyszerűsítve az, hogy ilyen esetekben az érintettnek mindig tudnia kell, hogy a személyes adataival mely adatkezelő cégek, milyen célból és milyen időtartamban végeznek adatkezelési műveleteket, ideértve az adatok tárolását is. Az Európai Gazdasági Térségen (EGT) kívülre történő adattovábbításokra pedig még szigorúbb speciális szabályok vonatkoznak.

A fentiek alapján az is egyértelmű, hogy a GDPR a személyes adatokat tartalmazó fogyasztói adatbázisok „szabad” értékesítését és felhasználását tiltja. Ez a tilalom még abban az esetben is irányadó, ha az adatbázist értékesítő cég az adatokat nyilvános, mindenki számára elérhető forrásból gyűjtötte össze. Ennek következtében megfelelően fennálló adatkezelési jogalap nélkül sem a cégnyilvántartásból, sem a telefonkönyvekből, sem a kamarai adatbázisokból, sem a céges honlapokról összegyűjtött adatok nem használhatóak fel szabadon további marketingcélokra.

Szigorodik a büntetés is

Az új szabályozás a 2018. május 25-ét követően végzett adatkezelési műveletekre irányadó. Ez lényegében azt is jelenti, hogy az adatkezelő cégeknek erre tekintettel ismételten meg kell keresniük a fogyasztóikat, és a GDPR elvárásainak megfelelő tartalommal kell tájékoztatniuk őket az általuk végzett adatkezelések GDPR-ben rögzített lényeges körülményeiről. Amely adatkezelések esetében a jogalap az érintettek hozzájárulása, ott pedig ismételten be kell szerezniük e hozzájárulásokat a marketingcélú adatkezeléshez, amely hozzájárulásnak már az előbbi, a GDPR-nek megfelelő előzetes tájékoztatáson kell alapulnia.

A hozzájáruláson alapuló adatkezelés esetén az érintett jogosult a hozzájárulását bármikor, indoklás nélkül visszavonni. Ilyenkor az adatkezelő köteles az adatbázisból az érintett fogyasztó adatait haladéktalanul törölni.

A GDPR kiterjedt, és sok tekintetben a jelenlegi előírásoknál szigorúbb szabályait a tagállami szinten kijelölésre kerülő felügyeleti hatóságok (Magyarországon várhatóan a NAIH) fogják érvényesíteni, amelyek jogsértés megállapítása esetén a jelenlegi magyar szabályozás által lehetővé tett legfeljebb 20 millió forint összegű bírság helyett már akár 20 millió euró összegű, illetve a jogsértő vállalkozás előző évi világszintű forgalmának legfeljebb 4%-áig terjedő összegű bírságot is kiszabhatnak. //