A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2022. szeptember 12-i, NAIH-2501-10/2022 számú határozatában 30 millió forint adatvédelmi bírságot szabott ki a Magyar Éremkibocsátó Kft.-re.
A bírság kiszabásának oka, hogy a társaság megfelelő előzetes tájékoztatás, konkrétan meghatározott cél, és érvényes jogalap hiányában kezelt kapcsolattartási adatokat több ezres nagyságrendű érintett vonatkozásában.
A NAIH utasította továbbá a társaságot, hogy törölje azokat a direkt marketing célra használt kapcsolattartási adatokat, amelyek kezelésére nem tud új, megfelelő hozzájárulást beszerezni, vagy nem rendelkezik a nem direkt marketing célú kezelésükre más, a GDPR szerint érvényes jogalappal (pl. szerződéses kapcsolattartás).
A döntés azért kiemelten fontos, mert
a NAIH most először foglalkozott azzal, hogy hány hozzájárulás szükséges ahhoz, ha egy cég különböző csatornákon keresztül végez direkt marketing tevékenységet.
A NAIH megállapításai nyomán
a direkt marketing tevékenységet végző társaságoknak haladéktalanul meg kell vizsgálniuk, hogy adatkezelési tájékoztatóik, adatkezelési hozzájárulásaik, valamin telefonos script-jeik megfelelnek a hatóság elvárásainak.
A NAIH legfontosabb megállapításai és a társaságok feladatai:
- Külön hozzájárulás kell célonként és marketing csatornánként. Egy adatkezelési hozzájárulás szövegében az „elektronikus úton” (kapott direkt marketinghez való hozzájárulás) túl tág fogalom. Az érintett számára biztosítani kell annak megválasztását, ha csak egyes módokon kíván a direkt megkereséshez hozzájárulni. Például: csak postán, csak telefonon vagy csak e-mailen, vagy ezek bármely kombinációjának megjelölésével. Ez nem zárja ki egy olyan opció nyújtását amely segítségével minden megjelölt célhoz egyszerre lehet hozzájárulni, de ezen kívül lennie kell lehetőségnek csak egyes célok tekintetében külön hozzájárulás megadására. A társaságoknak ennek megfelelően felül kell vizsgálniuk adatkezelési hozzájárulásaik kialakítását – elsősorban a checkbox-ok számát és megfogalmazásuk módját.
- Külön hozzájárulás kell Google és Facebook célzott hirdetésekhez. A megadott e-mail címen kívüli egyéb úton pl. Google és Facebook hirdetési rendszeren történő célzott hirdetéses közvetlen megkereséshez is külön hozzájárulás szükséges, és külön tájékoztatást kell adni a hasonló tömeges automatizált hirdetésrendszerek használatáról. A társaságoknak ennek megfelelően szintén felül kell vizsgálniuk adatkezelési hozzájárulásaik kialakítását és adatkezelési tájékoztatóik tartalmát.
- Konkrét információ kell a direkt marketing jellegéről. A kapcsolattartási adatok kezelésének célja nem lehet egy olyan megfoghatatlan cél, mint a „további kedvező ajánlatok fogadása”. A közvetlen üzletszerzés egy ernyőfogalom, amelynek konkrét megvalósítását szükséges megjelölni célként, például saját vagy harmadik személy termékekről szóló hirdetések küldése adott csatornán vagy meghatározott csatornákon. Külön ki kell emelni a szokásostól eltérő, az érintettek által észszerűen nem várt lényeges körülményeket, például a külföldi adatfeldolgozót és annak világos, tömör, könnyen érthető szerepét az adatkezelés során. A társaságoknak ennek megfelelően felül kell vizsgálniuk adatkezelési hozzájárulásaik szövegét és adatkezelési tájékoztatóik tartalmát.
- Az adatkezelési tájékoztatót olyan módon kell az érintett rendelkezésére bocsátani, amely igazodik az éppen használt kommunikációs csatornához. Offline kommunikáció esetén nem elegendő csak az online adatkezelési tájékoztató elérhetőségére utalni, mert számos érintett lehet, aki nem rendelkezik internet hozzáféréssel, vagy nem eléggé könnyen tud a postai vagy telefonos rendelés közben vagy előtt az interneten a tájékoztatásra rákeresni. A társaságoknak ennek megfelelően felül kell vizsgálniuk, hogy milyen tájékoztatást adnak adatkezelési tájékoztatóik elérhetőségéről.