Check list direkt marketing célú adatkezelésekhez, illetve a B2B üzenetek problematikája

2018. május 25-én hatályba lépett az EU új adatvédelmi rendelete, közismert nevén a GDPR. A rendelet minden olyan adatkezelőt érint, aki üzleti tevékenysége során személyes adatokat kezel, legyen az akár az ügyfelével vagy a munkavállalójával kapcsolatos. Különösen érintettek azok a társaságok, amelyek direkt marketing, azaz közvetlen üzletszerzésre irányuló tevékenységet is folytatnak.

A direkt marketing célú adatkezelésekkel kapcsolatban meg kell különböztetnünk egymástól azt az esetet, amikor a küldendő reklám, vagy ajánlat egy természetes személyt céloz meg (ún. „Business to Citizen”, rövidítve B2C kommunikáció) attól, amikor az üzenettel nem kifejezetten egy természetes személyt, hanem egy üzleti tevékenységet végző vállalkozást szeretnénk megszólítani (ún. „Business to Business”, rövidítve B2B kommunikáció). Hangsúlyozzuk, hogy nem a kezelt e-mail cím jellege különbözteti meg a kétfajta kommunikációt. A különbségtétel alapja tehát nem az, hogy info@cegnev.hu, vagy keresztnev.csaladnev@cegnev.hu e-mail címekre érkezik-e az e-mail, hanem az, hogy a reklámozó magával a reklámmal kit szeretne elérni, illetve megszólítani, a magánszemélyt, vagy a vállalkozást (mindamellett, hogy az első típusú email cím kezelése egyáltalán nem fog adatvédelmi kérdést felvetni, mivel ez a típusú e-mail cím nem minősül személyes adatnak). Ha egy ruhabolt reklámozza legújabb kollekcióját, akkor az üzenet nagy valószínűséggel B2C üzenetnek fog minősülni, ugyanakkor irodaszerek reklámja feltehetően a vállalkozást kívánja megszólítani, akkor is, ha a két e-mail ugyanarra az e-mail címre érkezik. A levél címzésére, megszólításra is érdemes odafigyelni e körben. Határesetek az üzleti képzéseket ajánló e-mailek, szakmai konferenciákra invitáló levelek vagy akár a gazdasági folyóiratokra irányuló előfizetési ajánlatok. Ezen esetekben célszerű külön-külön megvizsgálni az ajánlat tartalmát és a címzetti kört, valamint az érintett személyes adatok (e-mail címek) forrását.

Hogy miben különbözik a két kommunikáció megítélése adatvédelmi szempontból, azt a jelenleg hatályos magyar szabályozásból nem lehet egyértelműen kiolvasni. Ugyanakkor közvetve, illetve segítségül hívva a GDPR-t és más EU-s tagállamok adatvédelmi biztosainak állásfoglalásait[1] arra következtetésre juthatunk, hogy míg a B2C üzenetek elküldéséhez szükség van az érintett személy előzetes hozzájárulására, addig a B2B üzenetek elküldésének (és ezzel együtt a vonatkozó e-mail címek tárolásának) megfelelő jogalapja lehet az adatkezelő (azaz a reklámozó) jogos érdeke.

A jelenleg hatályban lévő 2002/58/EK irányelv (közismert nevén E-privacy irányelv) 13.cikk (2) bekezdésének értelmében, ha egy természetes vagy jogi személy elektronikus levelezés céljából megszerzi ügyfeleitől elektronikus elérhetőségi adataikat egy termék vagy szolgáltatás értékesítése során, ugyanaz a természetes vagy jogi személy ezeket az elektronikus elérhetőségi adatokat felhasználhatja saját hasonló termékeivel vagy szolgáltatásaival kapcsolatos közvetlen üzletszerzési célra. Ennek azonban feltétele, hogy az ügyfelek számára az adatok gyűjtésekor és minden egyes üzenet küldésekor biztosítva legyen az üzenetek elleni tiltakozás joga. Mint látjuk az irányelv nem tesz különbséget természetes személy és jogi személy címzettek között, e lehetőség tehát minden ajánlat esetén adott.

A még elfogadásra váró E-privacy rendelet tervezet (amely elfogadása és hatályba lépése esetén közvetlenül alkalmazandó lesz az EU minden tagállamában) azonban már distinkciót tartalmaz a természetes személy címzettek és üzleti címzettek tekintetben. Az E-privacy rendelet tervezet jelenlegi megszövegezése természetes személyek esetében kifejezett hozzájárulást vár el a közvetlen üzletszerzési célú tájékoztatók küldéséhez. A jogi személyek esetén ilyen elvárást a tervezet nem fogalmaz meg, csupán annyit rögzít, hogy a jogi személyek jogos érdekeinek kellő védelmét, a tagállamok az uniós jog és a nemzeti jog keretein belül biztosítják. Ebből arra lehet következtetni, hogy a tervezet nem várja el jogi személy címzettek esetén a kifejezett hozzájárulást.

Érdemes figyelembe venni azt is, hogy a GDPR preambulumának (47) bekezdése szerint a személyes adatok közvetlen üzletszerzési célú kezelése jogos érdeken alapulónak tekinthető. Tekintettel arra, hogy a GDPR jelenleg is hatályos közvetlenül alkalmazandó jogforrás, ez a megállapítás még akkor is fontos kiindulóalap a kérdésben, ha maguk a preambulumbekezdések egyébként jogi szempontból nem minősülnek jogforrásnak.

Ami a jelenleg hatályos, magyar szabályozást illeti, a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (Reklámtv.) ugyan nem rendelkezik külön a B2C és B2B üzenetekről, ugyanakkor a Reklámtv. 6. §-a megköveteli az előzetes egyértelmű és kifejezett hozzájárulást a természetes személyeknek mint az üzenetek címzettjeinek szóló direkt marketing célú e-mail üzenetek esetén.

A Reklámtv. idézett rendelkezéséből – egybevetve a GDPR fent idézett preambulumbekezdésével – szintén arra a következtetésre juthatunk, hogy amennyiben az üzenet címzettje nem természetes személy, hanem jogi személy, akkor az adatkezelés jogalapja nem csak az érintett hozzájárulása lehet, hanem az adatkezelő jogos érdeke is.

A brit Information Commissioners Office (ICO) tájékoztatója alapján a GDPR nem hoz érdemi változást a B2B direkt marketing üzenetekkel kapcsolatban[2]. Amennyiben a B2B direkt marketing üzenetek küldése személyes adat kezelésével jár, nem szükséges ugyan előzetes hozzájárulás, de minden egyes alkalommal, sőt, már az adatok felvételekor is biztosítani kell a tiltakozás jogát.

Példaként említi az ICO az alábbi esetet[3]: magánszemélyek üzleti szemináriumon vesznek részt, ahol a szervezők begyűjtik az egyes megjelentek üzleti célú kapcsolattartásra szolgáló adatait. Ezen névjegykártyák gyűjtése jogos érdeken alapuló adatkezelés alá esik, amennyiben a szervező meghatározza, hogy az adatokat kapcsolattartás céljából és az üzleti szemináriumot rendező vállalat gazdasági növekedését elősegítő ügyfélszerzés érdekében gyűjti. Minderről tájékoztatja a megjelenteket és biztosítja számukra a tiltakozás jogát.

Az ICO kifejezettem megemlíti, hogy amennyiben egy jogi személy alkalmazottjának email címében az alkalmazott saját neve szerepel, az kétségkívül személyes adatnak minősül, ugyanakkor nem szükséges ezen személy kifejezett hozzájárulása a vállalkozást megszólító direkt marketing célú üzenetek küldéséhez, mivel az adatkezelés jogalapja az adatkezelő jogos érdeke lehet.

Javasoljuk, hogy a jogos érdeken alapuló adatkezelés esetén mindig vegyük figyelembe a magyar adatvédelmi hatóság által is előszeretettel hivatkozott „érintetti várakozás” elvét annak megítélésekor, hogy jogszerűen járunk-e el. Ennek megfelelően gondoljuk át, hogy az érintett ésszerűen számíthat-e az adatkezelésre, vagy őt ez váratlanul érné. Ha ez utóbbi a válasz, akkor minden bizonnyal a jogos érdek – mint az adatkezelés tervezett jogalapja – nem fogja megállni a helyét, mert az érdekmérlegelés nem hozna pozitív eredményt. Ha ezzel szemben az érintett ésszerűen számíthat a vállalkozását megszólító direkt marketing célú üzenetekre, mert adott esetben ellátogatott egy szakmai konferenciára, ahol a regisztrációnál az adatkezelő részére megadta a személyes adatait, akkor az (ugyanazon) adatkezelő általi, a szakmai konferenciával hasonló tematikában, a vállalkozást megszólító direkt marketing célú adatkezelés nagy valószínűséggel jogszerű lesz. Megítélésünk szerint a különbségtételt nagyban befolyásolja az, hogy az adatkezelő hogyan és milyen forrásból jutott az adatok birtokába.

A direkt marketing célú adatkezelések kapcsán (akár B2C, akár B2B üzenetekről van szó) hasznos lehet az ICO által kiadott rövid ellenőrzőlista áttekintése is,[4] amelyet az alábbiakban ismertetünk.

Hangsúlyozzuk, hogy az ellenőrzőlista kiöltése semmiképpen nem helyettesíti az adatvédelmi szakemberrel történő konzultációt az egyes adatkezelésekkel kapcsolatban.

DIREKT MARKETING ELLENŐRZŐ LISTA

Marketinghez való hozzájárulás megszerzése

  • Hozzájárulás megadásához szükséges checkboxok létrehozása
  • Meg kell határozni a jövőbeni kapcsolattartás módját (pl.: e-mail, telefon, postai út)
  • Hozzájárulást kérni a személyes adatok harmadik fél részére történő továbbításához marketing célokra, valamint megnevezni a harmadik feleket, akiknek esetlegesen továbbítjuk ezeket a személyes adatokat
  • Rögzíteni, hogy mikor és hogyan szereztük meg a hozzájárulást, és pontosan mit takar a hozzájárulás

Harmadik személytől vásárolt adatbázis esetén

Általánosan:

  • Ellenőrizni, hogy az eladó rendelkezik megfelelő minősítéssel, betartja a GDPR-ral kapcsolatos kötelezettségeit
  • Nem szabad vásárolt adatbázisokat felhasználni sms, emailes, vagy rögzített vonalas hívásokra (kivéve, ha tudjuk bizonyítani, hogy az érintett megadta részünkre a hozzájárulást az elmúlt hat hónapban)
  • A termék, szolgáltatás, minta, amelyet reklámozunk ugyanaz, vagy hasonló ahhoz, amellyel kapcsolatos reklámok fogadásához az érintett eredetileg hozzájárult
  • Csak marketingcélra használjunk az adatbázisban szereplő adatokat
  • Törölni kell minden irreleváns vagy olyan személyes adatot, amely nem szükséges a marketingcél eléréséhez
  • Egyeztetjük az adatbázisban szereplő személyeket azon személyek listájával, akik korábban jelezték felénk, hogy nem szeretnének tőlünk hívásokat
  • Meg kell vizsgálni egy kisebb teszt keretében, hogy az adatbázisban szereplő adatok megbízhatóak, valósak
  • Rendelkeznünk kell egy eljárásrenddel arra az esetre, ha az adatbázisban szereplő adatok pontatlanok vagy erre vonatkozó panasz érkezik
  • Amikor posta, e-mail vagy faxon keresztül reklámozunk, fel kell tüntetni a cégünk nevét, címét és telefonszámát a reklámanyagon
  • Tájékoztatást kell adni az érintetteknek arról, hogy honnan szereztük meg az adataikat
  • Biztosítani kell az érintetteknek az adatvédelmi tájékoztató megismerését
  • Az adatbázis eladójával kötött szerződésbe bele kell foglalni, hogy az eladó vállalja, hogy az adatbázisban szereplő adatok hitelesek, megbízhatóak, továbbá ki kell kötni magunk számára egy audit lehetőségét az adatbázissal kapcsolatban.

Az eladótól ajánlott kérni annak megerősítését, hogy az adatbázisban szereplő személyek:

  • Kifejezett hozzájárulást adtak ahhoz, hogy kifejezetten mi cégünktől reklámanyagot fogadjanak
  • Az adatbázisban szereplő érintettek tömör, átlátható, érthető és könnyen hozzáférhető tájékoztatást kaptak arról, hogy személyes adataikat milyen módon fogják felhasználni
  • Az adatbázisban szereplő személyek részére felkínálták a választás lehetőségét, annak kapcsán, hogy kívánják-e személyes adataik marketingcélra való felhasználását engedélyezni
  • Az érintettek aktív magatartással adták meg a hozzájárulást (pl.: checkbox kipipálása, hozzájáruló gomb megnyomása)
  • Az érintettek az utóbbi hat hónapon belül adták meg a hozzájárulást, valamint
  • Sms, e-mail, automatikus hívás esetén az érintettek kifejezetten hozzájárultak a reklámanyagok ezen úton történő fogadásához

Marketing e-mail útján

  • Az érintett személyek legalább egy általános nyilatkozatot adtak arról, hogy fogadnak tőlünk marketinganyagot
  • Ha az érintettek nem adtak kifejezett hozzájárulást az e-mailes marketinghez, akkor a marketing összhangban van azzal a kontextussal, amelynek keretében az érintett a személyes adatokat megadta, tekintettel magára a termékre, a szolgáltatásra vagy mintára

Élő hívások

  • Létre kell hozni egy saját adatbázist, amelyben rögzítjük azon személyek listáját, akik kifejezték, hogy a jövőben nem szeretnének tőlünk hívásokat kapni, és ezt a listát naprakészen tartjuk
  • Kijelezzük a telefonszámunkat annak a személynek, akit hívunk

Automatikus hívások

  • Csak abban az esetben indítunk rögzített hívásokat, ha ahhoz kifejezetten hozzájárult az érintett
  • Minden esetben ki kell jeleznünk a telefonszámunkat a hívásnál

Marketing e-mail vagy sms útján

  • Csak kifejezett hozzájárulás esetén küldünk sms-t vagy e-mailt (kivéve, ha régebbi ügyfeleket/vásárlókat keresünk meg hasonló termékkel, és felajánlottuk nekik a hozzájárulás megtagadásának lehetőségét amikor megadták az adataikat)
  • Fel kell kínálnunk a hozzájárulás visszavonásának lehetőségét (vagy válaszlevél útján, vagy leiratkozással)
  • Összevetjük az e-mailes adatbázist azon személyek listájával, akik visszavonták hozzájárulásukat az e-mail küldéséhez, hogy nekik ne küldjünk reklámanyagot.

Fax

  • Az érintett személyek kifejezetten hozzájárultak ahhoz, hogy reklámfaxokat kapjanak tőlünk

 

Kapcsolattartás módja Egyéni érintettek (B2C) Business-to-business (B2B)
Élő hívások
  • Hozzájárulás visszavonásának lehetősége
  • Hozzájárulás visszavonásának lehetősége
Rögzített hívások
  • Az érintettnek kifejezetten hozzá kell járulnia a rögzített hívásokkal történő megkereséshez
  • Az érintettnek kifejezetten hozzá kell járulnia a rögzített hívásokkal történő megkereséshez
E-mailek/SMS-ek
  • Az érintettnek kifejezetten hozzá kell járulnia az e-mailek, sms-ek útján történő történő marketinghez vagy,
  • „soft opt-in”, azaz: korábbi ügyfél, a saját hasonló termékünkkel kapcsolatban, de! lehetőség a hozzájárulás visszavonására
  • Szervezeti egységek részére
  • Gyakorlat kialakítása a hozzájárulás visszavonásának biztosítására
  • A cég egyes munkavállalóinak részére biztosítani kell, hogy vissza tudják vonni hozzájárulásukat
Faxok
  • Az érintettnek kifejezetten hozzá kell járulnia a fax útján történő marketinghez
  • Hozzájárulás visszavonásának lehetőségét biztosítani kell
  • Hozzájárulás visszavonásának lehetőségét biztosítani kell
Postai levél
  • Név és cím megszerzése szabályosan történt
  • Hozzájárulás visszavonásának lehetőségét biztosítani kell
  • Szervezeti egységek részére
  • A cég egyes munkavállalóinak részére biztosítani kell, hogy vissza tudják vonni hozzájárulásukat

 

 

[1] ld. pl. https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf

[2] https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf , 44. o.

[3] https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/when-can-we-rely-on-legitimate-interests

[4] https://ico.org.uk/media/for-organisations/documents/1551/direct-marketing-checklist.pdf

close
ENEN