olvasási idő: 5 perc
A társaságoknak a versenyképességük megőrzése érdekében már nem pusztán előny, hanem alapvető elvárás az online jelenlét biztosítása. A honlapok és hírlevelek megkönnyítik az ügyfelekkel való kapcsolattartást, miközben lehetőséget teremtenek arra, hogy a címzettek első kézből értesüljenek a legújabb szolgáltatásokról és ajánlatokról. Ugyanakkor fontos szem előtt tartani, hogy mindez személyes adatok kezelésével is együtt járhat, amely már a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) hatálya alá tartozik. Ennek értelmében a marketing célú adatkezelésre kizárólag az érintettek kifejezett hozzájárulása alapján van lehetőség, szigorúan a GDPR-ban rögzített követelmények betartásával. Jelen cikkünkben a hozzájáruláson alapuló adatkezeléssel kapcsolatos legfontosabb szabályokat foglaljuk össze.
Mikor kell alkalmazni a GDPR-t?
Ahogy a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) is kiemeli, egy, a honlapok adatvédelmi beállításairól és a sütikkel kapcsolatos anyagában, a GDPR hatálya alá tartozik a vállalatok nevében eljáró természetes személyek (pl.: munkavállalók, magánszemély ügyfelek) személyes adatainak kezelése. Így például egy ügyfél nevének, telefonszámának, címének, e-mail címének vagy bankszámlájának gyűjtése, rögzítése, tárolása és felhasználása adatkezelésnek minősül. Ebből az is következik, hogy amennyiben egy társaság kizárólag jogi személyekre vonatkozó adatokat kezel, tevékenysége nem esik az Általános Adatvédelmi Rendelet hatálya alá, így az előírásainak való megfelelés sem kötelező számára. Azonban sok esetben a jogi személy kapcsolattartójának adatai (pl. név, személyes e-mailcím, pozíció) nélkülözhetetlenek a kommunikációhoz, amely kapcsán már adatkezelés valósul meg.
Ugyanígy a hírlevélre történő feliratkozás, a célzott megkeresés (másnéven: visszahívás kérése), vagy a weboldalak hatékony működését támogató eszközök – mint a sütik alkalmazása vagy a látogatottság mérése – esetében elengedhetetlen, hogy a vállalat természetes személek adatait kezelje, ezért az ilyen típusú adatkezelések szintén a GDPR hatálya alá fognak esni.
Hozzájárulás mint a személyes adatok kezelésének lehetséges jogalapja
Az adatkezelés alapvető szabálya, hogy érvényes jogalap hiányában a személyes adatok kezelése nem minősül jogszerűnek. Az adatkezelési jogalapok egyik – a marketing célú adatkezelésben leggyakrabban szükséges – típusa az érintett személy hozzájárulása.
Hozzájárulás elemei
A GDPR értelmében a hozzájárulás akkor megfelelő, ha az önkéntes, konkrét, megfelelő tájékoztatáson alapul és egyértelmű kinyilvánítása annak, hogy az érintett a beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Önkéntesség
Hozzájárulás akkor adható szabadon, ha az egyének elutasíthatják és visszavonhatják hozzájárulásukat külső nyomás vagy negatív következmények kockázata nélkül. Így nem lehet önkéntességről beszélni, ha az érintettnek nincs valódi választási lehetősége, hozzájárulásra kényszerítve érzi magát, vagy a hozzájárulás megtagadását az adatkezelő negatív következményekkel sújtja. Ezt erősítette meg az Európai Adatvédelmi Testület („EDPB”) nemrég kiadott állásfoglalása, mely szerint az úgynevezett „pay or consent” (ford.: „fizess vagy hozzájárulsz”) modellek nem felelnek meg az önkéntes hozzájárulás követelményének. Ennek oka, hogy az ilyen modellek lényege abban áll, hogy az érintetteket választás elé állítja: vagy hozzájárulnak személyes adataik kezeléséhez, vagy ellenértéket fizetnek annak érdekében, hogy adataik kezelésére ne kerüljön sor.
Az önkéntességből fakad az a követelmény is, hogy az érintettnek joga van ahhoz is, hogy bármikor visszavonja a hozzájárulását.
Konkrét és megfelelő tájékoztatás
Ahhoz, hogy a hozzájárulás érvényes legyen, az adatkezelés céljának is konkrétnak kell lennie. Ez a feltétel szorosan kapcsolódik a tájékoztatáson alapuló hozzájárulás feltételéhez. Így az egyéneket egyszerű és könnyen érthető nyelvezettel kell tájékoztatni a konkrét célokról, hogy világos elképzelésük legyen arról, hogy milyen célból kezelik adataikat. Ez azt is jelenti, hogy ha az adatkezelési művelet céljai megváltoznak, vagy további adatkezelési műveleteket adnak hozzá, az egyénektől újra be kell szerezni a hozzájárulásukat. Hasonlóképpen, ha egy adatkezelési műveletnek több célja van, mindegyikhez külön-külön hozzájárulással kell rendelkezni az adatkezelés érdekében. A tájékoztatás során fel kell hívni a figyelmét az érintettnek arra is, hogy a hozzájárulását bármikor visszavonhatja.
Egyértelmű hozzájárulás
Az GDPR szerint szükség van az érintett nyilatkozatára vagy a megerősítést félreérthetetlenül kifejező cselekedetre annak érdekében, hogy a hozzájárulás egyértelmű legyen. Ez tulajdonképpen azt jelenti, hogy kizárólag aktív cselekedettel vagy nyilatkozattal lehet megadni a hozzájárulást. Az EDPB álláspontja szerint az általános szerződési feltételek mindenre kiterjedő elfogadása nem minősül megerősítést félreérthetetlenül kifejező cselekedetnek. A GDPR továbbá kifejezetten megtiltja, hogy az adatkezelők előre bejelölt négyzeteket vagy olyan kívülmaradási konstrukciókat ajánljanak, amelyek az érintett beavatkozását igénylik a beleegyezés megakadályozásához (ún. opt-out rendszerek).
A hozzájárulás időtartama, igazolhatósága
Az Általános Adatvédelmi Rendelet nem rendelkezik a hozzájárulás időbeli hatályának korlátozásáról. Ez ugyanakkor nem jelenti azt, hogy az érintett hozzájárulása estében korlátlan ideig van lehetőség a személyes adatok kezelésére. A hozzájárulás időtartama minden esetben az adott adatkezelés kontextusától függ. Az időtartam helyes meghatározása érdekében tehát szükség van az adatkezelés körülményeinek mérlegelésére.
A GDPR ezen kívül kimondja, hogy az adatkezelés során az adatkezelőnek minden esetben képesnek kell lennie arra, hogy a hozzájárulás megtörténtét megfelelően igazolni tudja.
A teljesség igénye nélkül, pusztán utalunk rá, hogy az Általános Adatvédelmi Rendelet a gyermekek hozzájárulásával, illetve a különleges adatokkal kapcsolatban további feltételeket határoz meg, így, ha ún. kitett csoport személyes adatának kezelését tervezi egy vállalat, különös körültekintéssel kell eljárnia.
Összegzés
A cégek online jelenléte – például honlapjaik és hírleveleik révén – elengedhetetlen a versenyképesség megőrzéséhez, ugyanakkor ezek személyes adatok kezelésével is együtt járhatnak, amely a GDPR hatálya esik. A személyes adatok kezelése kizárólag megfelelő jogalapon történhet, amelynek megléte minden esetben elengedhetetlen. A vállalatok számára kulcsfontosságú, hogy a marketingstratégia kidolgozása, bővítése során párhuzamosan kialakítsák és felülvizsgálják az adatkezelési keretrendszerüket, biztosítva ezzel adatkezelési gyakorlatuk GDPR-nak való megfelelőségét.
Fotó forrása: pexels.com, Tara Winstead