Mi lesz veled direkt marketing?

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az adatvédelem területén a közelmúlt egyik nagy fejtörést okozó kérdése volt a címben is szereplő felvetés, joggal. A szakemberek számára is jelentős megpróbáltatást jelentett mind az Európai Unió, mind a hazai jogszabályok közötti eligazodás e témában, főleg ha előrelátóan, a még hatályba sem léptetett, közelgő szabályozásra is tekintettel kívántak lenni. Ebben a nem egyszerű helyzetben kihívást jelentett a vállalkozások egyik mozgatórugóját képező tevékenység jogi megfeleltetése és újragondolása.

De miről is van szó pontosan?

A hazai szabályozás – részben igazodva a jelenleg is hatályos elektronikus hírközlési adatvédelmi irányelv[1] (a továbbiakban: E-Privacy irányelv) rendelkezéseihez – a közvetlen üzletszerzés módszerét a címzett előzetes, egyértelmű és kifejezett hozzájárulásához köti.

Kivételt csak azok, a postai szolgáltatásokról szóló törvény^[2] fogalom-meghatározása szerinti címzett reklámküldemények képeznek, amelyek több mint 500 példányban kerülnek kézbesítésre.

Ezzel szemben az általános adatvédelmi rendelet (a továbbiakban: GDPR) preambulumbekezdéseit figyelmesen olvasva találunk egy mondatot, amely a közvetlen üzletszerzés esetében – tekintet nélkül annak fajtájára – már más jogalapot tekint alkalmazandónak, méghozzá a jogos érdeket.

Az igazsághoz hozzá tartozik, hogy a jogalkotó szándéka az volt, hogy a GDPR-ral egy időben hatályba lépteti az új E-Privacy rendeletet, azaz az elektronikus hírközlési adatvédelmi rendeletet is, amely ennél sokkal részletesebben ismerteti és egészíti ki az e témára vonatkozó szabályokat. A képet tovább árnyalva, a hazai szabályozás azért csak részben igazodott az EU-s irányelv rendelkezéseihez, mert az úgy került átültetésre a jogszabályba, hogy az irányelv által nyújtott lehetőség, mely szerint egy vállalkozás már meglévő ügyfelei előzetes hozzájárulásuk nélkül is megkereshetők, csak biztosítani szükséges a kifogás – azaz a leiratkozás – lehetőségét, kimaradt. Az E-Privacy rendelet – a tervezet rendelkezésre álló szövege szerint – továbbra is fent kívánja majd tartani az irányelv hozzájárulás, mint főszabály mellett hozott ezen kivételként kezelt rendelkezését, amikor kimondja, hogy „Egy fennálló ügyfélkapcsolat keretében ugyanakkor észszerű megengedni az elektronikus elérhetőségi adatoknak hasonló termékek, illetve szolgáltatások felkínálására való igénybevételét. Ez a lehetőség csak egy és ugyanazon társaság esetében alkalmazható, amelyik az elektronikus elérhetőségi adatokat az (EU) 2016/679 rendelettel összhangban megszerezte.”[3]

A rendelkezésre álló információk szerint a fentebb hivatkozott E-Privacy rendelet legkorábban 2019 év végén, 2020 év elején kerülhet elfogadásra. Mindeközben itthon, a kormány elkészítette 75 jogszabályra vonatkozó, GDPR megfeleltetés miatti előterjesztését (T/4479. számú törvényjavaslat), azonban ebből a direkt marketinget szabályozó és jelenleg a kialakult helyzetért nagymértékben felelős, a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény kimaradt, tehát a fenti joghézag továbbra is rendezetlen jogi szempontból.

Ilyen bizonytalan jogszabályi környezetben nehéz volt dönteni a helyes útról. A mára kialakult gyakorlat ugyanakkor azt mutatja, hogy a nagy többség a hozzájárulást választotta a direkt marketing tevékenysége jogalapjául, azt meg kellett feleltetnie a GDPR elvárásaival, amelyek a korábbiakhoz képest lényegesen nagyobb terhet helyeztek az adatkezelőkre, többek közt az elszámoltathatóság alapelvével.

Ennek során először is meg kellett vizsgálniuk, hogy a közvetlen üzletszerzésre használt személyes adatok (elektronikus direkt marketingről lévén szó, név, email cím és telefonszám) a GDRP által megkövetelt módon, azaz érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása alapján kerültek-e a birtokukba. A problémát legtöbbször a tájékoztatás vagy az egyértelmű kinyilvánítás bizonyíthatóságának hiánya okozta.

Ami a tájékoztatást illeti, a Magyarországon honos adatkezelők többsége úgy döntött, hogy a direkt marketing tevékenységük jogszerű folytatása érdekében újra nyilatkoztatják ügyfeleiket az email címek, telefonszámok használatáról, mellékelve a teljes körű tájékoztatást.

A bizonyíthatóság kritériuma akár papír alapon, akár elektronikus úton is teljesíthető. Az Adatvédelmi Munkacsoport (WP29) külön e témára készített egy ajánlást[4], ahol javaslataik közt szerepel, hogy az adatkezelők kétlépcsős ellenőrzési eljárást[5] használjanak az érvényes kifejezett hozzájárulás biztosítása érdekében (pl. kérjék meg a címzettet, hogy az „Elfogadom” linkre kattintva erősítse meg a hozzájárulást, ezt nevezik más néven double opt-in-nak). Mind a papír, mind az elektronikus eljárás többletköltséggel jár az adatkezelők számára, hiszen a teljes ügyfélkör papír alapú nyilatkoztatása értelemszerűen papír, nyomtatási és humán erőforrás igénnyel, míg az elektronikus nyilatkoztatás rosszabb esetben akár informatikai fejlesztéssel is járhat.

Azon vállalkozásoknak tehát, amelyek nem feleltek meg maradéktalanul a Rendelet előírásainak, szinte egy új adatbázist kellett felépíteniük, amely a fentebb is ismertetett emberi és anyagi erőforrás bevonásával járt, terhelve ezzel a sokszor amúgy is szűkös költségvetést.

Gyakran hallani azt a mondást, hogy az adat az új olaj. Nos, ami a költségeket illeti, biztosan így van. De vajon feltétlenül szükség volt erre? Megtérül-e az adatkezelők részére valaha az a költség, amelyet arra fordítottak, hogy a bizonytalan jogi helyzet közepette próbáltak megfelelni az elvárásoknak? A kérdés természetesen költői, azonban azt nem hagyhatjuk szó nélkül, hogy a GDPR hatályba lépése óta eltelt lassan egy évben sem sikerült rendezni ezt a jogbizonytalanságot, úgy, hogy az E-Privacy Rendelet szövegtervezete már elérhető, tehát valamelyest irányt mutat a várható követelmények tekintetében.

Ez a joghézag pedig további problémát generál majd, hiszen ha egy vállalkozás a meglévő ügyfélköre tekintetében a GDPR által elvárt módon szerezte meg annak közvetlen üzletszerzés tekintetében használandó releváns adatait, akkor lehetősége nyílik majd hozzájárulás nélkül is küldeni részére reklámanyagokat. Azonban a jogalapot, ahogy arról a GDPR (41) preambulumbekezdése rendelkezik, előre kell meghatározni,[6] a Magyarázat a GDPR-ról[7] című könyv 6. fejezet 6.1. pontjában a szerző pedig tovább vezetve a jogalap megválasztás témáját kijelenti, hogy „Az adatkezelőnek az adatkezelés megkezdése előtt át kell tekintetnie, hogy a konkrét tevékenysége végrehajtásához kapcsolódóan melyik jogalap alkalmazása lesz a legjobb megoldás. (…) Az adatkezelőnek gondosan kell mérlegelnie, hogy mely jogalapot is alkalmazza a konkrét adatkezelésre, minthogy csak kivételesen van lehetőség arra, hogy egyik jogalapról átváltsanak egy másik jogalapra”.[8] A már idézett 29. cikk szerinti munkacsoport hozzájárulásról szóló ajánlása viszont a GDPR szövegéből levezetve határozottan kijelenti, hogy egyik jogalapról másikra történő áttérés nem lehetséges.[9] A jogalap megválasztása még további kérdéseket is felvet majd, tekintettel arra, hogy az egyik jogalap esetében nem ugyanaz az érintetti jog gyakorolható, mint egy másiknál.

Összegezve a fentieket, úgy hiszem, hogy a közvetlen üzletszerzés jogszabályi útvesztőjéből a kiutat majd a minden tagállamban kötelezően alkalmazandó E-Privacy rendelet hatályba lépése fogja jelenteni, és egyúttal kivételes lehetőséget is teremthet az érintett adatkezelőknek arra, hogy áttérjenek a korábbi hozzájárulás szerinti jogalapról a jogos érdekre. Ennek megvalósítására és a felkészülésre várhatóan még ez az év áll mindannyiunk rendelkezésére.

[1]    Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (OJ L 201, 31.7.2002, p. 0037–0047.)

[2] A postai szolgáltatásokról szóló 2012. évi CLIX. törvény

[3]     Javaslat az Európai Parlament és a Tanács rendelete az elektronikus hírközlés során a magánélet tiszteletben tartásáról és a személyes adatok védelméről, valamint a 2002/58/EK irányelv hatályon kívül helyezéséről (elektronikus hírközlési adatvédelmi rendelet) Brüsszel, 2017.1.10., 22. oldal (33) bekezdés

[4]     29. cikk szerinti munkacsoport iránymutatása az (EU) 2016/679 rendelet szerinti hozzájárulásról (WP259 rev.01)

[5]     Ibid 22. oldal 1. bekezdés

[6]     Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (41) preambulumbekezdés, 8. oldal

[7]     Magyarázat a GDPR-ról (szerkesztette: Péterfalvi Attila, Révész Balázs, Buzás Péter) Wolters Kluwer Hungary Budapest 2018.

[8]     Lj, 7. 112. oldal

[9]     Lj. 4. 26. oldal 6. pont és 36. oldal utolsó bekezdés.

---