Szabálytalan hírlevélküldés: jelentős bírságot úszhat meg, ha figyel ezekre az előírásokra!

Megosztás Tetszik

Harmincmillió forint adatvédelmi bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság egy cégre szabálytalan hírlevélküldés miatt. Cikkünkben összefoglaljuk az általános jelentőséggel is bíró ügy tanulságait.

Ezen túlmenően a cég a Facebook és a Google közösségi média platformokon célzott hirdetések céljából manuálisan – automatizált döntéshozatal nélkül – leválogatott egy listát azon e-mail-címmel rendelkező ügyfeleinek egy csoportjáról, akik számára az adott hirdetés releváns lehet, és ezen e-mail-cím listát hashtagelve feltöltötte a Facebook és a Google hirdetési rendszerébe. A hirdetések ezen személyeknél meg is jelentek.

Erről azonban az ügyfelek megfelelő tájékoztatást nem kaptak, illetve ehhez nem járultak hozzá. Végezetül az e-mail-cím és telefonszámadatok esetében a cég nem jelölte, hogy ezek a megrendelés eljuttatásához (kiszállítás megkönnyítése) vagy direkt marketing tevékenységhez szükségesek-e. A kapcsolati adatok kezelésének ugyanakkor sokféle célja lehet, így ezeket külön kellett volna megjelölni.

Megállapítások postai úton történő megrendelésnél

A megrendeléshez használt formanyomtatványon az adatkezelési tájékoztatás apró betűs volt, melyet ebben a formában a hatóság nem talált megfelelőnek. Ezen túlmenően nem mutatta be egyértelműen az adatkezelési célokat, melyeket általánosságban (például kedvező ajánlat küldése), és nem konkrétan jelölt meg.

Az érintettek számára nem volt továbbá nyilvánvaló, hogy a telefonszám és e-mail-cím adatokat a cég a Facebook és Google számára is továbbította, hogy az ügyfeleinél hirdetései jelenjenek meg. Ez ráadásul harmadik országbeli adattovábbításnak is minősül. A kötelezően megadandó és nem kötelezően megadandó adatokat a megrendeléssel összefüggésben nem a marketing adatkezelésről szóló részben jelezték,  és olyan apró csillagos bejegyzésben, amely szinte olvashatatlan volt, így az átlagos érintett erről sem kapott világos és könnyen hozzáférhető tájékoztatást a hozzájárulás kérésekor. Nem volt továbbá lehetőség jelezni, ha az érintett a telefonszám és e-mail cím adatokat a közvetlen megkeresés céljára nem kívánja megadni és csak a rendelés könnyebb nyomon követéséhez adná meg ezeket. Az egyes célok ás egyes kapcsolati módok nem különültek el a postai formanyomtatványon.

A telefonos rendelés hiányosságai

Telefonos megrendelés esetében a hatóság szerint az adatkezelési tájékoztatás nem megfelelő a honlapon keresztül, mivel számos ügyfél, aki telefonon rendel nem is rendelkezik internet kapcsolattal. Ilyen esetekben telefonon keresztül is adatkezelési tájékoztatást kell nyújtani. Ezen túlmenően telefonos hozzájárulás esetén sem lehetett megválasztani, ha csak egyes módokon kíván a megkereséshez hozzájárulni az érintett, például csak postán, csak telefonon vagy csak e-mailen, vagy ezek bármely kombinációjának megjelölésével. A postai tájékoztatáshoz hasonlóan telefonos tájékoztatás esetén sem történt információnyújtás az érintett részére a fentieken kívüli egyéb adatkezelési módokról, például Google és Facebook célzott hirdetés az e-mail-cím segítségével, de nem e-mail-üzenet, hanem célzott weboldali reklám útján. Ez a két adatkezelés eltérő és külön hozzájárulást igényelnek.

Online megrendelés hiányosságai

Online megrendelés esetében a telefonszám és e-mail-cím kötelező személyes adatok voltak. Ezen túlmenően arra is rámutatott a hatóság, hogy az ügyféltől "elektronikus megkereséshez" nem kérhető hozzájárulás, mert az túl tág fogalom. Konkrétan meg kell jelölni a megkeresési módokat, és egyenként szükséges a hozzájárulást ezekhez bekérni. Nem volt lehetőség az e-mail-üzenet küldéséhez, vagy a Google és Facebook célzott online hirdetésekkel kapcsolatos adatkezeléshez külön hozzájárulni. Ezen harmadik országbeli szolgáltatók adatkezelései pedig az EU-ban nem tekinthetők megfelelőnek. Itt is leszögezte a hatóság, hogy a honlapon keresztül elérhető adatkezelési tájékoztató elsősorban az online megrendelőknek szól, akiknek van internetkapcsolatuk.

Az adatkezelési tájékoztatás sem volt megfelelő

Az Európai Adatvédelmi Testület 5/2020. iránymutatása alapján a hozzájárulás csak abban az esetben érvényes, ha azt megfelelő, előzetes tájékoztatás előzi meg az adatkezelés valamennyi releváns körülményéről, illetve, ha a hozzájárulást célonként és csatornánként kéri az adatkezelő: e-mailes megkereséshez, telefonos megkereséshez, postai megkereséshez, e-mailes megkereséshez a Facebookon keresztül, valamint e-mailes megkereséshez a Google-on keresztül. Az adatkezelési tájékoztatást azon a csatornán kell nyújtani, ahol az adatkezelő a hozzájárulást kéri. Ez nem zár ki olyan opciót, amely segítségével minden megjelölt célhoz egyszerre lehet hozzájárulni, de ezen kívül lennie kell lehetőségnek csak egyes célok tekintetében külön hozzájárulás megadására.

Minden fontos körülményről tájékoztatást kell adni a hozzájárulás-kérést megelőzően. Nyilvánvalóan nem függ össze a teljesen különböző csatornákon folytatott megkeresés (posta, telefon, e-mail, célzott online hirdetés), ezek egymástól teljesen függetlenül folytathatók, szétválaszthatatlan összefűzésük jogellenes. Ezekhez tehát külön hozzájárulás szükséges. A kapcsolati adatok (e-mail-cím, telefonszám) kezelésének célja nem lehet olyan megfoghatatlan és határtalan cél, mint a "további kedvező ajánlatok fogadása".

A "közvetlen üzletszerzés" egy ernyőfogalom, amelynek konkrét megvalósítását szükséges megjelölni célként, például saját vagy harmadik személy termékekről szóló hirdetéseinek küldése adott csatornán vagy meghatározott csatornákon. Külön ki kell emelni a szokásostól eltérő, az érintettek által észszerűen nem várt lényeges körülményeket, például a külföldi adatfeldolgozót, és annak világos, tömör, könnyen érthető szerepét az adatkezelés során.

Az ügyfél nem támasztotta megfelelően alá, hogy alkalmazza a beépített adatvédelmet, és az adatkezeléseit folyamatosan felülvizsgálja. Minden alá nem támasztott állítást az adatkezelő terhére kell értékelni.

A megfelelő adatkezelési tájékoztatók elkészítésére jogszerűen adhat rövid, azaz 30 napos határidőt a hatóság, és kötelezte is erre a céget.