fbpx

GDPR sértő direkt marketing célú adatkezelés miatt nyolcvanmillió forintos adatvédelmi bírságot szabott ki a NAIH az AMPLIFON Magyarország Kft.-vel szemben. Az AMPLIFON a Belügyminisztérium személyi adat- és lakcímnyilvántartásából piackutatási célra igényelt adatokat a valóságban direkt marketing célra használta. A jogeset valamennyi adatkezelő számára számos tanulsággal szolgál a GDPR-nek megfelelő adatkezelés és direkt marketing gyakorlat kialakításához.

PIACKUTATÁS, AMELY DIREKT MARKETING ÉS SALES STRATÉGIÁT IS MEGALAPOZ

Piackutatás helyett ingyenes hallásszűrés népszerűsítése

Az AMPLIFON a 2020. január 1-től 2021. október 5-ig terjedő időszakban átlagosan havonta 300.000-400.000 halláskárosodással érintett, 55+ korosztályba tartozó személy nevét és lakcímét igényelte a BM-től. Az adatigénylés céljaként a “piackutató kapcsolatfelvétel és kapcsolattartást” jelölte meg. Az így szerzett adatok felhasználásával postai úton kereste fel a lehetséges pácienseket egy ingyenes hallásszűrés-szolgáltatás helyszínének és időpontjának megjelölésével. Az adatkezelés valódi célja azonban – az eredeti kérelmének és az érintettek kezdeti tájékoztatásának is megfelelően – a közvetlen üzletszerzés volt.

Hogyan értesült a Hatóság az AMPLIFON GDPR sértő gyakorlatáról?

A Hatóság – mint ahogy sok más esetben is – bejelentésekből értesült a jogsértő direkt marketing gyakorlatról. A bejelentők azt kifogásolták, hogy az AMPLIFON annak ellenére küldött postai úton szűrővizsgálatról értesítést számukra, hogy ahhoz korábban nem járultak hozzá. A NAIH a bejelentések alapján hivatalból eljárást indított annak vizsgálatára, hogy az AMPLIFON betartja -e a GDPR-ben foglalt előírásokat.

A jogsértő adatkezeléssel érintett értékesítés volumene

Az AMPLIFON ún. “mini DM” nyilvántartása szerint 2020. június 1. után összesen 1045 db hallókészüléket értékesített a postai direkt marketing tevékenység eredményeképpen. Ebből 599 ügyfél volt az, akik a BM adatszolgáltatások felhasználásával érkeztek hallásvizsgálatra.

LEHET -E EGYÁLTALÁN DIREKT MARKETING CÉLRA IGÉNYELNI SZEMÉLYES ADATOKAT A BM SZEMÉLYIADAT- ÉS LAKCÍMNYILVÁNTARTÁSÁBÓL?

A kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló törvény (Kktv.) 2019. április 25-ig lehetővé tette a BM nyilvántartásából igényelt adatok közvetlen üzletszerzésre (direkt marketingre) történő felhasználását. Ez a lehetőség lehetett az eredeti terve az AMPLIFON-nak is, amikor az eredeti kérelmét direkt marketing céllal adta be.

A Kktv. azonban 2019. április 26-étől már a direkt marketing célból történő felhasználásra nem terjed ki, a BM adatbázisából csak

  • tudományos kutatás,
  • közvélemény-kutatás és
  • piackutatás céljából lehet adatot igényelni.

Feltehetően a jogszabály tüzetesebb tanulmányozása (és a módosítás későbbi észlelése) miatt vontta vissza az AMPLIFON a direkt marketing céllal történő adatigénylését, és tért át 2021 márciusától a piackutatási célra.

A Kktv. korábbi fogalommeghatározásában foglaltak szerint a közvetlen üzletszerzés (direkt marketing) azoknak a közvetlen megkeresés módszerével végzett, tájékoztató tevékenységeknek és kiegészítő szolgáltatásoknak az összessége, amelyeknek célja termékek vagy szolgáltatások értékesítésével, szolgáltatásával vagy eladásösztönzésével közvetlen kapcsolatban álló, a Reklámtörvény szerinti gazdasági reklám továbbítása a fogyasztók vagy kereskedelmi partnerek részére.

Az AMPLIFON ÖNGÓLJA

Az adatvédelmi hatósági eljárásban az AMPLIFON azzal védekezett, hogy Magyarország piacvezető halláspecialistájaként feladatául tűzte ki az ország lakosságának egészségmegőrzését. A piackutatás célja, hogy megállapítsa Magyarország idősödő lakosságának halláshoz való viszonyát, hallás minőségének szintjét, azok régiós megosztását, illetve a nem szerinti különbözőségeket.

Az AMPLIFON azonban a NAIH felhívására piackutatási tervént csak egy dátum nélküli, két oldalas dokumentumot tudott felmutatni. A piackutatási terven készítőként a marketing osztályt volt feltüntetve.

Az igazi öngól azonban az AMPLIFON válasza volt a hatóság azon kérdésére, hogy milyen üzleti, illetve egyéb döntéseket alapozott meg a piackutatás eredménye:

„a tanulmány eredménye alapján került sor piaci analízisen alapuló stratégia kialakítására, célközönség meghatározására, a célközönség personalzálására, legfőbb touchpointok alakítására, sales stratégiai tervezésre: új hallásszalonok tervezése, bezárása, plusz erőforrások betervezése vagy leépítése.”

Az adatkezelő tehát magát buktatta le a nyilatkozatában azzal, hogy elismerte: a piackutatás marketing és sales döntésének megalapozását is szolgálta.

AZ AMPLIFON ADATKEZELÉSI TÁJÁKOZTATÓJA

Az AMPLIFON az adatkezelése – azaz a postai megkeresés útján történő kapcsolatfelvétel – jogalapjaként az érintettek önkéntes hozzájárulását jelölte meg. Szerinte az érintetti joggyakorlás biztosított és az érintettek a hozzájárulásukat bármikor visszavonhatják a BM felé intézett nyilatkozatban. 

Az érintettek hozzájárulása automatikusan megadottnak tekinthető álláspontja szerint, kivéve, ha a személyiadat- és lakcímnyilvántartásban az adataik kiadását megtiltották.

Az AMPLIFON eredeti Adatkezelési Tájékoztatója az adatkezelés jogalapjaként az érintett hozzájárulását nevezte meg. A tájékoztatása azonban nem tartalmazott további információt arról, hogy az érintettek miként gyakorolhatják a hozzájárulás visszavonásához való jogukat. A hatósági eljárás alatt javították ezt a hibát, és 2021 júliusától az adatkezelési tájékoztatója már tartalmazta ezt a kiegészítést.

A HATÓSÁG ÁLTAL MEGÁLLAPÍTOTT JOGSÉRTÉSEK

A jogalap hibája

A Hatóság határozatában megállapította, hogy az AMPLIFON adatkezelését jogellenesen alapította a hozzájárulás jogalapra, és érvényes jogalap fennálltát nem igazolta a Hatóság felé.

A GDPR kimondja, hogy az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása.

A NAIH álláspontja szerint a postai megkeresés útján történő kapcsolatfelvételnek nem lehet jogszerű jogalapja a GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulás, mivel annak valamennyi fogalmi eleme hiányzik.

A NAIH szerint a megfelelő gyakorlat az lett volna, ha az AMPLIFON ún. kapcsolatfelvételi eljárást kezdeményez, amelynek során a nyilvántartás szerve keresi meg a megjelölt személyi kört, eljuttatva a kezdeményező üzenetét a címzetteknek.

Alapelvek sérelme

A határozat szerint az AMPLIFON megsértette a célhoz kötöttség elvét azzal, hogy az adatkezelését úgy próbálta meg piackutatássá átalakítani, hogy ezen megnevezés alatt folytassa a direkt marketing célú adatkezelését.

Az adatkezelés elsődleges célja változatlanul a közvetlen üzletszerzés volt, amit az is alátámaszt, hogy egészen 2021 júliusáig a korábbi – közvetlen üzletszerzés célú – megkeresés-mintákkal fordult.

Ezzel a magatartással a hatóság szerint az AMPILFON az adatkezelés valós célja tekintetében az érintetteket, valamint a Belügyminisztériumot egyaránt megtévesztette. A megtévesztő gyakorlat és az adatkezelés valós céljának elfedése miatt a hatóság ezért a GDPR 5. cikk (1) bekezdés a) pontja szerinti tisztességes eljárás elvének megsértését is kimondta.

Az érintettek tájákoztatásával kapcsolatos jogsértés

A Hatóság az érintettek tájékoztatásával kapcsolatban is jogsértést állapított meg, a 2021 júliusa előtti és az azt követő gyakorlat alapján is:
 

  • A 2021. júliusáig postai úton küldött értesítőn elhelyezett tájékoztatás nem nyújtott az érintetteknek tájékoztatást az adatkezelés valamennyi lényeges körülményéről.
  • A hozzájárulás visszavonásához való jog feltüntetését követően sem volt jogszerű az AMPLIFON tájékoztatási gyakorlata. Nem nyújtott ugyanis az érintetteknek egyértelmű, megfelelő és valós tájékoztatást a postai megkeresésekkel összefüggésben történő adatkezelés valamennyi lényeges körülményéről.

A hatóság az értesítőn elhelyezett tájékoztatással kapcsolatban megállapította továbbá, hogy az a kis betűmérete miatt nem megfelelő. Az adatkezelés átláthatóságát ugyanis a szöveg olvashatóságát elősegítő megfelelő betűméret alkalmazásával is biztosítani kell.

A BÍRSÁG MÉRTÉKÉNEK MEGHATÁROZÁSA

A NAIH-nak kialakult joggyakorlata van a tekintetben, hogy az alapelvek sérelme esetén eleve magasabb bírságot szab ki. Márpedig itt két alapelv is sérült.

A Hatóság a bírság összegének meghatározása során mindenekelőtt figyelembe vette, hogy a jogsértések a magasabb összegű bírságkategóriába tartozó jogsértésnek minősülnek. Ez alapján a kiszabható bírság maximuma 20 000 000 EUR, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeg. Ennek figyelembevételével az AMPLIFON-nal szemben kiszabható bírság maximuma: 101 677 120,- Ft.

Enyyhítő körülmények

A NAIH enyhítő körülményként vette figyelembe, hogy

  • korábban nem állapított még meg jogsértést az AMPLIFON-nak szemben,
  • az AMPLIFON az eljárás alatt a tájékoztató szövegét megpróbálta összhangba hozni a GDPR előírásaival, és hogy
  • a hatóság túllépte az eljárási határidőket.

Súlyosító körülmény

Súlyosító körülmény volt viszont, hogy

  • több súlyos jogsértés követett el az adatkezelő és a tisztességes eljárás elve is sérült,
  • az adatkezeléssel érintett személyes adatok nagy volumene,
  • a célzotti kör az idős korosztály (érdekes párhuzamot vet fel, hogy ez a GVH gyakorlatában sérülékeny fogyasztói kör).

TANULSÁGOK

A jogesetnek jócskán vannak az önmagán túlmutató, valamennyi adatkezelő számára érdekes tanulságai:

  • Már marketing stratégia kialakítása előtt érdemes az adatvédelmi jogban és reklámjogban egyaránt jártas ügyvédet bevonni, hogy véletlenül se alapítsunk marketing és sales gyakorlatot (már) nem létező jogszabályi lehetőségre.
  • Amennyiben erre nem került sor, legkésőbb a hatósági eljárás érdemes az eljárásban történő védekezést szakértő segítségével kialakítani.
  • A hatósági eljárás alatt sem késő a GDPR-nek megfelelő gyakorlat és az Adatkezelési Tájékoztató kialakítása.
  • Édeskevés volt, hogy az AMPLIFON-nak volt adatkezelési tájékoztatója, ha az abban foglalt jogalap, és különösen az adatkezelési gyakorlatra nem volt jogszerű.
  • Az alapelvek sem csak díszítő sorok az adatkezelési tájékoztatóban. Az alapelveknek megfelelő gyakorlat kialakítása kardinális, ugyanis ezek megsértése eleve magasabb adatvédelmi bírságot von maga után.

A PREVENCIÓ FONTOSSÁGA

A megfelelelő adatkezelési gyakorlat kialakításával megelőzhető az, hogy az érintettek adatvédelmi jogsértés miatt a hatósághoz forduljanak. Nem csak az adatkezelési dokumentációt, de az adatkezelési és marketing gyakorlatát is a GDPR-nek megfelelően kell kialakítania a vállalkozásoknak. Az adatvédelemnek ugyanis elsődlegesen a gyakorlatban kell megvalósulnia, nem a dokumentumok szintjén.

A megfelelő szakértő bevonásának költségét mindig érdmes összevetni az ezzel elkerülhető bírság összegével. Jelen esetben a 80 milliós bírság töredékéért kialakítható lett volna a GDPR complient adatvédemi gyakorlat.

MIBEN TUD SEGÍTENI A SZALAI LEGAL?

A Szalai Legal specialitása, hogy a digitális vállalkozásokat érintő valamennyi jogterületet összefüggésében, holisztikusan alkalmaz. Így a vállalkozások egy helyen komplex jogi szakértői szolgáltatást kapnak. A jogi megfelelés több, mint a dokumentáció – igazi eredményeket tartós együttműködéssel és komplex jogi szakértelemmel, valamint az üzleti folyamatok alapos megismerésével lehet elérni. A szolgáltatásunk azoknak a vállalkozásoknak szól, akik elkötelezettek abban, hogy a teljes kereskedelmi gyakorlatukat ezzel a komplex megközelítéssel, szakértő igénybevételével alakítsák ki.

DR. SZALAI ANITA

ÜGYVÉD