Az adatvédelmi hatóság (NAIH) egy nemrég hozott döntésében szokatlanul magas, 80 millió forint összegű bírságot szabott ki egy hallókészülékek értékesítésével foglalkozó vállalkozással szemben. Mivel az ügynek számos, a konkrét eseten túlmutató tanulsága van, érdemes áttekinteni, hogy pontosan mi is történt, és hogyan lehet elkerülni a hasonló kellemetlen meglepetéseket. Ebben segít nekünk Bartal Iván, az Oppenheim Ügyvédi Iroda adatvédelmi praxisának vezetője.
Piackutatás vagy direkt marketing?
Mint minden piaci körülmények között működő vállalkozás, az AMPLIFON Magyarország Kereskedelmi és Szolgáltató Kft. (Amplifon) is szerette volna bővíteni ügyfélkörét és bevételeit, és ennek megfelelően többször is adatszolgáltatási kérelemmel fordult a Belügyminisztériumhoz.
Bizonyos feltételek teljesítése esetén ugyanis a Minisztérium kérelemre név és lakcím adatokat szolgáltat, amelyet a cégek többek között piackutatásra vagy közvéleménykutatásra használhatnak fel.
A konkrét ügy szempontjából lényeges kiemelni, hogy korábban közvetlen üzletszerzés (marketing) céljára is lehetett igényelni ilyen adatokat, de ez a lehetőség 2019 áprilisában megszűnt. A probléma az volt, hogy Amplifon ezt a jogszabályváltozást – gondatlanságból, vagy figyelmetlenségből – nem követte le megfelelően sem tevékenységében, sem az azzal kapcsolatos dokumentációjában, és végül ez volt a fő ok, amely az adatvédelmi bírság kiszabását eredményezte.
Mint kiderült ugyanis, az Amplifon a hatóság által vizsgált többéves időszakban több piackutatásnak nevezett kampányt is lefolytatott, amelynek témája elsősorban az idősebb lakosság körében jellemző halláscsökkenés vizsgálata volt.
A minisztériumtól megszerzett többszázezer címzettnek kiküldött megkeresés ugyanakkor nem piackutatási témájú kérdéseket tartalmazott, hanem hallásvizsgálatra invitálta a potenciális ügyfeleket.
A hallásvizsgálatok során piackutatási célú kérdéseket is feltettek az érintetteknek, de a tevékenység egyértelmű és elsődleges célja a hallókészülékek értékesítése volt, továbbá a „piackutatás” eredményeként előállt, és a vizsgálat során a hatóságnak prezentált dokumentumok is egyértelműen marketing célból készültek, és nem feleltek meg a piackutatással szemben támasztott követelményeknek.
Megtévesztő magatartás, elégtelen tájékoztatás
„Az adatvédelmi jogi megfelelés szempontjából alapvető követelmény, hogy a kampánnyal érintett természetes személyek egyértelmű és jól érthető tájékoztatást kapjanak arról, hogy milyen alapon, milyen célból és hogyan használják adataikat”
– magyarázza Bartal Iván ügyvéd. ”Ezen felül az általános adatvédelmi rendelet (GDPR) további konkrét tartalmi követelményeket is meghatároz az adatvédelmi tájékoztatókkal kapcsolatban. Lényeges továbbá, hogy a kampányokat lebonyolító cégek tevékenysége is összhangban legyen a tájékoztatóban foglaltakkal, azaz ha például azt kommunikálják a címzettek felé, hogy a megkeresésük célja piackutatás, akkor az adataikat valóban erre, és ne más célra (marketing) használják.”
A jogsértő magatartás következménye: bírság
Mivel a hatóság szerint lényegében piackutatásnak álcázott marketing tevékenységet folytatott, az Amplifon az adatkezelés céljával kapcsolatban mind a Belügyminisztériumot, mind az érintett személyeket megtévesztette, az adatkezelés jogalapját nem megfelelően határozta meg, és a kampányok során használt tájékoztató anyagaik sem feleltek meg a GDPR rendelkezéseinek. Az adatvédelmi hatóság így ítélte meg, hogy az ügy körülményeire figyelemmel a figyelmeztetés nem elegendő szankció, ezért bírságot szabott ki.
A bírság kiszabása során a hatóság súlyosbító körülményként vette figyelembe, hogy az Amplifon a GDPR több alapvető fontosságú alapelvét is megszegte, az érintettek száma is többszázezerre rúgott, és az aktivitásokkal megcélzott érintetti kör többnyire az idősebb korosztályhoz tartozott, akik kevésbé tudják megítélni személyes adataik kezelésének jogszerűségét, és az egészségük érdekében könnyebben befolyásolhatóak. Az ügyben a GDPR alapján kiszabható bírság felső határa az érintett vállalkozások előző éves pénzügyi forgalmának 4%-a, vagy 20 millió euro volt, és a hatóság ennek figyelembevételével állapította meg a kiszabott bírság összegét.
Az ügy tanulságai
„A GDPR előtti korszakról általánosságban elmondható, hogy a szabályozás kevésbé részletes, az adatvédelmi hatóság tevékenységének intenzitása alacsonyabb volt, és a szabályok megszegése is lényegesen alacsonyabb kockázattal járt. Mindez a piaci szereplők körében alacsony adatvédelmi tudatosságot eredményezett, és ebben az adatvédelmi rendelet 2018-as hatályba lépése sem hozott érdemi változást” – véli az Oppenheim adatvédelmi szakértője.
A GDPR követelményeinek való megfelelést sokan elintézték azzal, hogy megvásároltak és egy dokumentumcsomagot, a korábbi anyagaikat frissítették fel a megfelelő jogszabályi hivatkozásokkal, ugyanakkor a jogszerűség biztosításához szükséges érdemi aktivitások a cégek többségénél elmaradtak. Ezek közé tartozhatott:
- az adattérképek elkészítése;
- adatkezelések átvilágítása, és a kapcsolódó tevékenység és dokumentáció GDPR- követelményekhez való igazítása;
- a jogszabályi szövegek ismétlésén túlmutató, az egyes tevékenységhez tartozó felelősöket, hatásköröket és felelősségi köröket megállapító belső adatkezelési szabályzat elkészítése, kihirdetése, oktatásokkal egybekötött bevezetése és kikényszerítése;
- az adatvédelmi megfelelés nem egyszeri tevékenységként, hanem rendszeres és folyamatos odafigyelést, interakciót és visszacsatolásokat igénylő projektként történő kezelése;
- a sok személyes adatot használó területeken – mint pl. HR, pénzügy, marketing – az adatvédelmi tudatosság kialakítása és elmélyítése.
Ahhoz, hogy egy cég valóban eleget tehessen a részletes, sok esetben többféleképpen értelmezhető technológiasemleges, általános és elvi szinten megfogalmazott követelményeknek, elengedhetetlen egy olyan belső keretrendszer, ami például biztosítja azt, hogy a cég által végzett adatkezelési tevékenységre – legyen az piackutatás vagy éppen marketing tevékenység – minden esetben a megfelelő, és aktuális jogi keretek között, a tevékenységhez megfelelően illeszkedő dokumentáció alkalmazása mellett kerülhessen sor.
„A fenti folyamatnak az egyik elengedhetetlen része az is, hogy az aktivitás megkezdését megelőzően megtörténjen a tevékenység és a dokumentáció jogszerűségének validációja és jóváhagyása a belső jogi osztály vagy a külsős jogi tanácsadó részéről. Bár nem tudjuk, hogy az Amplifon hogyan gondoskodott cégük GDPR-nak való megfeleléséről, meggyőződésem, hogy amennyiben erre a lépésre az Amplifon-nál is sor került volna, akkor a végül a hatóság által feltárt hiányosságokat is megfelelően, időben orvosolhatták volna, és így elkerülhették volna a tetemes összegű bírságot” – foglalja össze Bartal Iván.
Bartal Iván ügyvéd, az Oppenheim adatvédelmi szakértője: