Törzsvásárlói kártyád, applikációd van? Egyre több helyen hangzik el ez a kérdés a kasszánál fizetés során, hiszen vitathatatlanul a bónusz, hűség, törzsvásárlói kártyák, clubcardok és applikációk korát éljük, ahol már szinte minden nagyobb cég kibocsát a felsoroltak közül legalább egyet. De miért jó a cégeknek, hogy kártyák és applikációk formájában kedvezményekhez juttatják vásárlóikat? És hogy jön ehhez az adatvédelmi jogi szabályozás? Ezeket a kérdéseket járjuk most körül.

Szeretünk kedvezményeket kapni, akciókban részt venni, így könnyű belátani, hogy az átlag vásárló – aki gyakran vásárol egy adott cég üzleteiben – miért jár jól a különböző kártyákkal, applikációkkal. Viszont most nézzük meg a másik oldalt! Elcsépelt mondás, de a XXI. század olaja az adat, márpedig ezek a cégek a kártyákon, applikációkon keresztül számukra nagyon is értékes adatokat gyűjtenek.

A regisztráció során „megismerik a vásárlót személyesen”, hiszen a regisztráció során meg kell adni a nevet és néhány alapvető azonosító adatot (pl. születési hely, idő) és elérhetőséget, jellemzően e-mail címet, de például, ha az applikáció rendelkezik belső üzenő felülettel, az is már önmagában egy elérhetőség.

A kártya, applikáció használata során folyamatosan adatok keletkeznek. Mit vásároltunk, milyen értékben, mikor, mennyi idő telt el két vásárlás között, átlagosan mennyi idő telik el két vásárlás között, átlagosan mennyit költünk és milyen megoszlásban, melyik üzletekben vásároltunk és még hosszasan lehetne folytatni a sort. Természetesen nem csak egy adott vásárló vásárlási szokásai lehetnek érdekesek, hanem nagy számosságú vásárló adataiból már nagyon értékes következtetések vonhatók le, jól hasznosítható statisztikák keletkeznek – sőt adott esetben még előrejelzésekbe is lehet bocsátkozni ezen adatok alapján – arra vonatkozóan, hogy egy cégnél hogyan lehet javítani az értékesítési és marketing folyamatokat, azokat minél ügyfélbarátabbá és személyre szabottabbá tenni.

Továbbá a kártyák és applikációk regisztrációs folyamataiba szinte minden esetben be van építve a direkt marketingre való feliratkozás is.

A fenti, üzleti alapú megközelítést azonban le tudjuk – és kell is – fordítani a GDPR[1] nyelvére, hiszen a fent felsorolt adatok egy adott természetes személyhez köthetőek, ezért azok a GDPR 4. cikk 1. pontja[2] értelmében személyes adatnak minősülnek.

A GDPR 5. cikk (1) bekezdésének a) pontja mondja ki a célhozkötöttség elvét[3], márpedig jelen esetben több adatkezelési cél is azonosítható. 

A regisztráció során azért kell megadni személyes adatokat, hogy a vásárló és az adott cég között polgári jogi értelemben szerződés jöjjön létre, így ezen adatkezelési cél jogalapja a GDPR 6. cikk (1) bekezdés b) pontja lesz, azaz

az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

Mint említésre került az szinte mindig be van építve a regisztrációs folyamatba a direkt marketingre való feliratkozás lehetősége, aminek jogalapja a GDPR 6. cikk (1) bekezdés a) pontja, azaz az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Ezen a ponton mindenképpen érdemes figyelmet fordítani arra, hogy

  • a feliratkozási lehetőség nem lehet megtévesztő, tehát nem keltheti azt a látszatot, hogy a regisztráció véglegesítéséhez kötelező a feliratkozás, hanem egyértelműnek kell lennie, hogy az egy külön adatkezelési cél, mint ahogy azt a GDPR 7. cikk (2) bekezdése is előírja.[4]
  • A feliratkozásokhoz csatornánként kell lehetőséget biztosítani, külön checkboxokkal. Például elképzelhető, hogy valaki szeretne e-mailben reklámokat kapni, de a telefonszámát már nem szívesen adná meg ilyen célból.
  • Ha az appikációban található belső postaláda, ahol a cég és a vásárló kommunikálni tud egymással, akkor az is egy külön csatornának minősül direkt marketing célú feliratkozás szempontjából. Teljesen más a cél, ha az applikáció várható karbantartásának idejéről küldenek üzenetet, és más, ha reklámot küldenek.

Amikor a kártya, applikáció használata közben változatos és nagy számosságú személyes adat keletkezik, ezeket – azon felül, hogy a legkülönfélébb statisztikák és modellek alapjait fogja képezni, amikből következtetéseket vonnak le – természetesen fel fogják használni arra, hogy profilt alkossanak az egyes vásárlóról, ami alapján nagy pontossággal meg lehet állapítani, hogy milyen tartalmú direkt marketing üzeneteket érdemes számára küldeni.

Profilalkotást végezni nem csak a kereskedelmi és marketing előnyök érdekében lehet. Előfordulhat, hogy a csalások, visszaélések megelőzése és kiszűrése érdekében is felhasználják a vásárlóról keletkezett adatokat.

A profilalkotás fogalmát a GDPR 4. cikk 4. pontja határozza meg: “személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.”

Jogalap tekintetében a legtöbb esetben a GDPR 6. cikk (1) bekezdés f) pontja, azaz az adatkezelő jogos érdeke[5] szokott lenni a leggyakoribb megoldás, de jó megoldás lehet az érintett – aki jelen esetben a vásárló – hozzájárulása is. Továbbá a profilalkotás jár némi többlet megfelelési követelménnyel is:

  • Az adatkezelés részleteiről szóló tájékoztatás során szükséges kitérni arra, hogy a profilalkotást milyen logika alapján végzik és milyen jelentőséggel és várható következménnyel jár az érintettre nézve. (GDPR 13. cikk (2) bekezdés f) pont)
  • Az érintett minden esetben jogosult tiltakozni a profilalkotás ellen, amely joghatással jár rá nézve. (GDPR 22. cikk (1) bekezdés)
  • Bármikor lehetséges emberi beavatkozást kérni. (GDPR 22. cikk (3) bekezdés)

Végezetül elmondhatjuk, hogy a fent tárgyalt tevékenység amellett, hogy kétségtelenül a vásárlók részére is jár előnyökkel, rendkívül hatékony fegyvert ad az ezt kihasználó cégek kezébe, hiszen ezáltal jobban megismerhetik vásárlóikat, főleg azok vásárlási szokásait. Aki pedig jól forgatja a legkülönfélébb statisztikákat, elemzéseket és vásárlói profilokat, könnyedén növelheti értékesítési volumenét, valamint alkalmazkodóképes lesz, ha változik a piac és a vásárlók szokásai.

__________________________________________________________________________________

[1] AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE(2016. április 27.)a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)

[2] „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

[3] személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”)

[4] Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.

[5] Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.