GDPR sértő direkt marketing célú adatkezelés miatt nyolcvanmillió forintos adatvédelmi bírságot szabott ki a NAIH az AMPLIFON Magyarország Kft.-vel szemben. Az AMPLIFON a Belügyminisztérium személyi adat- és lakcímnyilvántartásából piackutatási célra igényelt adatokat a valóságban direkt marketing célra használta. A jogeset valamennyi adatkezelő számára számos tanulsággal szolgál a GDPR-nek megfelelő adatkezelés és direkt marketing gyakorlat kialakításához.
PIACKUTATÁS, AMELY DIREKT MARKETING ÉS SALES STRATÉGIÁT IS MEGALAPOZ
Piackutatás helyett ingyenes hallásszűrés népszerűsítése
Az AMPLIFON a 2020. január 1-től 2021. október 5-ig terjedő időszakban átlagosan havonta 300.000-400.000 halláskárosodással érintett, 55+ korosztályba tartozó személy nevét és lakcímét igényelte a BM-től. Az adatigénylés céljaként a „piackutató kapcsolatfelvétel és kapcsolattartást” jelölte meg. Az így szerzett adatok felhasználásával postai úton kereste fel a lehetséges pácienseket egy ingyenes hallásszűrés-szolgáltatás helyszínének és időpontjának megjelölésével. Az adatkezelés valódi célja azonban – az eredeti kérelmének és az érintettek kezdeti tájékoztatásának is megfelelően – a közvetlen üzletszerzés volt.
Hogyan értesült a Hatóság az AMPLIFON GDPR sértő gyakorlatáról?
A Hatóság – mint ahogy sok más esetben is – bejelentésekből értesült a jogsértő direkt marketing gyakorlatról. A bejelentők azt kifogásolták, hogy az AMPLIFON annak ellenére küldött postai úton szűrővizsgálatról értesítést számukra, hogy ahhoz korábban nem járultak hozzá. A NAIH a bejelentések alapján hivatalból eljárást indított annak vizsgálatára, hogy az AMPLIFON betartja -e a GDPR-ben foglalt előírásokat.
A jogsértő adatkezeléssel érintett értékesítés volumene
Az AMPLIFON ún. „mini DM” nyilvántartása szerint 2020. június 1. után összesen 1045 db hallókészüléket értékesített a postai direkt marketing tevékenység eredményeképpen. Ebből 599 ügyfél volt az, akik a BM adatszolgáltatások felhasználásával érkeztek hallásvizsgálatra.
LEHET -E EGYÁLTALÁN DIREKT MARKETING CÉLRA IGÉNYELNI SZEMÉLYES ADATOKAT A BM SZEMÉLYIADAT- ÉS LAKCÍMNYILVÁNTARTÁSÁBÓL?
A kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló törvény (Kktv.) 2019. április 25-ig lehetővé tette a BM nyilvántartásából igényelt adatok közvetlen üzletszerzésre (direkt marketingre) történő felhasználását. Ez a lehetőség lehetett az eredeti terve az AMPLIFON-nak is, amikor az eredeti kérelmét direkt marketing céllal adta be.
A Kktv. azonban 2019. április 26-étől már a direkt marketing célból történő felhasználásra nem terjed ki, a BM adatbázisából csak
- tudományos kutatás,
- közvélemény-kutatás és
- piackutatás céljából lehet adatot igényelni.
Feltehetően a jogszabály tüzetesebb tanulmányozása (és a módosítás későbbi észlelése) miatt vontta vissza az AMPLIFON a direkt marketing céllal történő adatigénylését, és tért át 2021 márciusától a piackutatási célra.
A Kktv. korábbi fogalommeghatározásában foglaltak szerint a közvetlen üzletszerzés (direkt marketing) azoknak a közvetlen megkeresés módszerével végzett, tájékoztató tevékenységeknek és kiegészítő szolgáltatásoknak az összessége, amelyeknek célja termékek vagy szolgáltatások értékesítésével, szolgáltatásával vagy eladásösztönzésével közvetlen kapcsolatban álló, a Reklámtörvény szerinti gazdasági reklám továbbítása a fogyasztók vagy kereskedelmi partnerek részére.
Az AMPLIFON ÖNGÓLJA
Az adatvédelmi hatósági eljárásban az AMPLIFON azzal védekezett, hogy Magyarország piacvezető halláspecialistájaként feladatául tűzte ki az ország lakosságának egészségmegőrzését. A piackutatás célja, hogy megállapítsa Magyarország idősödő lakosságának halláshoz való viszonyát, hallás minőségének szintjét, azok régiós megosztását, illetve a nem szerinti különbözőségeket.
Az AMPLIFON azonban a NAIH felhívására piackutatási tervént csak egy dátum nélküli, két oldalas dokumentumot tudott felmutatni. A piackutatási terven készítőként a marketing osztályt volt feltüntetve.
Az igazi öngól azonban az AMPLIFON válasza volt a hatóság azon kérdésére, hogy milyen üzleti, illetve egyéb döntéseket alapozott meg a piackutatás eredménye:
„a tanulmány eredménye alapján került sor piaci analízisen alapuló stratégia kialakítására, célközönség meghatározására, a célközönség personalzálására, legfőbb touchpointok alakítására, sales stratégiai tervezésre: új hallásszalonok tervezése, bezárása, plusz erőforrások betervezése vagy leépítése.”
Az adatkezelő tehát magát buktatta le a nyilatkozatában azzal, hogy elismerte: a piackutatás marketing és sales döntésének megalapozását is szolgálta.
AZ AMPLIFON ADATKEZELÉSI TÁJÁKOZTATÓJA
Az AMPLIFON az adatkezelése – azaz a postai megkeresés útján történő kapcsolatfelvétel – jogalapjaként az érintettek önkéntes hozzájárulását jelölte meg. Szerinte az érintetti joggyakorlás biztosított és az érintettek a hozzájárulásukat bármikor visszavonhatják a BM felé intézett nyilatkozatban.
Az érintettek hozzájárulása automatikusan megadottnak tekinthető álláspontja szerint, kivéve, ha a személyiadat- és lakcímnyilvántartásban az adataik kiadását megtiltották.
Az AMPLIFON eredeti Adatkezelési Tájékoztatója az adatkezelés jogalapjaként az érintett hozzájárulását nevezte meg. A tájékoztatása azonban nem tartalmazott további információt arról, hogy az érintettek miként gyakorolhatják a hozzájárulás visszavonásához való jogukat. A hatósági eljárás alatt javították ezt a hibát, és 2021 júliusától az adatkezelési tájékoztatója már tartalmazta ezt a kiegészítést.
A HATÓSÁG ÁLTAL MEGÁLLAPÍTOTT JOGSÉRTÉSEK
A jogalap hibája
A Hatóság határozatában megállapította, hogy az AMPLIFON adatkezelését jogellenesen alapította a hozzájárulás jogalapra, és érvényes jogalap fennálltát nem igazolta a Hatóság felé.
A GDPR kimondja, hogy az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása.
A NAIH álláspontja szerint a postai megkeresés útján történő kapcsolatfelvételnek nem lehet jogszerű jogalapja a GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulás, mivel annak valamennyi fogalmi eleme hiányzik.
A NAIH szerint a megfelelő gyakorlat az lett volna, ha az AMPLIFON ún. kapcsolatfelvételi eljárást kezdeményez, amelynek során a nyilvántartás szerve keresi meg a megjelölt személyi kört, eljuttatva a kezdeményező üzenetét a címzetteknek.
Alapelvek sérelme
A határozat szerint az AMPLIFON megsértette a célhoz kötöttség elvét azzal, hogy az adatkezelését úgy próbálta meg piackutatássá átalakítani, hogy ezen megnevezés alatt folytassa a direkt marketing célú adatkezelését.
Az adatkezelés elsődleges célja változatlanul a közvetlen üzletszerzés volt, amit az is alátámaszt, hogy egészen 2021 júliusáig a korábbi – közvetlen üzletszerzés célú – megkeresés-mintákkal fordult.
Ezzel a magatartással a hatóság szerint az AMPILFON az adatkezelés valós célja tekintetében az érintetteket, valamint a Belügyminisztériumot egyaránt megtévesztette. A megtévesztő gyakorlat és az adatkezelés valós céljának elfedése miatt a hatóság ezért a GDPR 5. cikk (1) bekezdés a) pontja szerinti tisztességes eljárás elvének megsértését is kimondta.
Az érintettek tájákoztatásával kapcsolatos jogsértés
A Hatóság az érintettek tájékoztatásával kapcsolatban is jogsértést állapított meg, a 2021 júliusa előtti és az azt követő gyakorlat alapján is:
- A 2021. júliusáig postai úton küldött értesítőn elhelyezett tájékoztatás nem nyújtott az érintetteknek tájékoztatást az adatkezelés valamennyi lényeges körülményéről.
- A hozzájárulás visszavonásához való jog feltüntetését követően sem volt jogszerű az AMPLIFON tájékoztatási gyakorlata. Nem nyújtott ugyanis az érintetteknek egyértelmű, megfelelő és valós tájékoztatást a postai megkeresésekkel összefüggésben történő adatkezelés valamennyi lényeges körülményéről.
A hatóság az értesítőn elhelyezett tájékoztatással kapcsolatban megállapította továbbá, hogy az a kis betűmérete miatt nem megfelelő. Az adatkezelés átláthatóságát ugyanis a szöveg olvashatóságát elősegítő megfelelő betűméret alkalmazásával is biztosítani kell.
A BÍRSÁG MÉRTÉKÉNEK MEGHATÁROZÁSA
A NAIH-nak kialakult joggyakorlata van a tekintetben, hogy az alapelvek sérelme esetén eleve magasabb bírságot szab ki. Márpedig itt két alapelv is sérült.
A Hatóság a bírság összegének meghatározása során mindenekelőtt figyelembe vette, hogy a jogsértések a magasabb összegű bírságkategóriába tartozó jogsértésnek minősülnek. Ez alapján a kiszabható bírság maximuma 20 000 000 EUR, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeg. Ennek figyelembevételével az AMPLIFON-nal szemben kiszabható bírság maximuma: 101 677 120,- Ft.
Enyyhítő körülmények
A NAIH enyhítő körülményként vette figyelembe, hogy
- korábban nem állapított még meg jogsértést az AMPLIFON-nak szemben,
- az AMPLIFON az eljárás alatt a tájékoztató szövegét megpróbálta összhangba hozni a GDPR előírásaival, és hogy
- a hatóság túllépte az eljárási határidőket.
Súlyosító körülmény
Súlyosító körülmény volt viszont, hogy
- több súlyos jogsértés követett el az adatkezelő és a tisztességes eljárás elve is sérült,
- az adatkezeléssel érintett személyes adatok nagy volumene,
- a célzotti kör az idős korosztály (érdekes párhuzamot vet fel, hogy ez a GVH gyakorlatában sérülékeny fogyasztói kör).
TANULSÁGOK
A jogesetnek jócskán vannak az önmagán túlmutató, valamennyi adatkezelő számára érdekes tanulságai:
- Már marketing stratégia kialakítása előtt érdemes az adatvédelmi jogban és reklámjogban egyaránt jártas ügyvédet bevonni, hogy véletlenül se alapítsunk marketing és sales gyakorlatot (már) nem létező jogszabályi lehetőségre.
- Amennyiben erre nem került sor, legkésőbb a hatósági eljárás érdemes az eljárásban történő védekezést szakértő segítségével kialakítani.
- A hatósági eljárás alatt sem késő a GDPR-nek megfelelő gyakorlat és az Adatkezelési Tájékoztató kialakítása.
- Édeskevés volt, hogy az AMPLIFON-nak volt adatkezelési tájékoztatója, ha az abban foglalt jogalap, és különösen az adatkezelési gyakorlatra nem volt jogszerű.
- Az alapelvek sem csak díszítő sorok az adatkezelési tájékoztatóban. Az alapelveknek megfelelő gyakorlat kialakítása kardinális, ugyanis ezek megsértése eleve magasabb adatvédelmi bírságot von maga után.
A PREVENCIÓ FONTOSSÁGA
A megfelelelő adatkezelési gyakorlat kialakításával megelőzhető az, hogy az érintettek adatvédelmi jogsértés miatt a hatósághoz forduljanak. Nem csak az adatkezelési dokumentációt, de az adatkezelési és marketing gyakorlatát is a GDPR-nek megfelelően kell kialakítania a vállalkozásoknak. Az adatvédelemnek ugyanis elsődlegesen a gyakorlatban kell megvalósulnia, nem a dokumentumok szintjén.
A megfelelő szakértő bevonásának költségét mindig érdmes összevetni az ezzel elkerülhető bírság összegével. Jelen esetben a 80 milliós bírság töredékéért kialakítható lett volna a GDPR complient adatvédemi gyakorlat.