Piackutatásnak álcázott marketing tevékenység miatt bírságolt az adatvédelmi hatóság

2022. 11. 08., 17:23

Az adatvédelmi hatóság (NAIH) egy nemrég hozott döntésében szokatlanul magas, 80 millió forint összegű bírságot szabott ki egy hallókészülékek értékesítésével foglalkozó vállalkozással szemben. Pontosan mi is történt, és hogyan lehet elkerülni a hasonló kellemetlen meglepetéseket? A tényeket és a tanulságokat Bartal Iván, az Oppenheim Ügyvédi Iroda adatvédelmi praxisának vezetője segített összefoglalni.

Piackutatás vagy direkt marketing?

Mint minden piaci körülmények között működő vállalkozás, az AMPLIFON Magyarország Kereskedelmi és Szolgáltató Kft. (a továbbiakban: Amplifon) is szerette volna bővíteni ügyfélkörét és bevételeit, és ennek megfelelően többször is adatszolgáltatási kérelemmel fordult a Belügyminisztériumhoz. Bizonyos feltételek teljesítése esetén ugyanis a Minisztérium kérelemre név és lakcím adatokat szolgáltat, amelyet a cégek többek között piackutatásra, vagy közvéleménykutatásra használhatnak fel.

A konkrét ügy szempontjából lényeges kiemelni, hogy korábban közvetlen üzletszerzés (marketing) céljára is lehetett igényelni ilyen adatokat, de ez a lehetőség 2019 áprilisában megszűnt. A probléma az volt, hogy Amplifon ezt a jogszabályváltozást – gondatlanságból, vagy figyelmetlenségből – nem követte le megfelelően sem tevékenységében, sem az azzal kapcsolatos dokumentációjában, és végül ez volt a fő ok, amely az adatvédelmi bírság kiszabását eredményezte.

Mint kiderült, az Amplifon a hatóság által vizsgált többéves időszakban több piackutatásnak nevezett kampányt is lefolytatott, amelynek témája elsősorban az idősebb lakosság körében jellemző halláscsökkenés vizsgálata volt. A minisztériumtól megszerzett többszázezer címzettnek kiküldött megkeresés ugyanakkor nem piackutatási témájú kérdéseket tartalmazott, hanem hallásvizsgálatra invitálta a potenciális ügyfeleket. A hallásvizsgálatok során piackutatási célú kérdéseket is feltettek az érintetteknek, de a tevékenység egyértelmű és elsődleges célja a hallókészülékek értékesítése volt, továbbá a „piackutatás” eredményeként előállt, és a vizsgálat során a hatóságnak prezentált dokumentumok is egyértelműen marketing célból készültek, és nem feleltek meg a piackutatással szemben támasztott követelményeknek.

Megtévesztő magatartás, elégtelen tájékoztatás

„Az adatvédelmi jogi megfelelés szempontjából alapvető követelmény, hogy a kampánnyal érintett természetes személyek egyértelmű és jól érthető tájékoztatást kapjanak arról, hogy milyen alapon, milyen célból és hogyan használják adataikat – magyarázza Bartal Iván ügyvéd. – Ezen felül az általános adatvédelmi rendelet (GDPR) további konkrét tartalmi követelményeket is meghatároz az adatvédelmi tájékoztatókkal kapcsolatban. Lényeges továbbá, hogy a kampányokat lebonyolító cégek tevékenysége is összhangban legyen a tájékoztatóban foglaltakkal, azaz ha például azt kommunikálják a címzettek felé, hogy a megkeresésük célja piackutatás, akkor az adataikat valóban erre, és ne más célra (marketing) használják.”

A jogsértő magatartás következménye: bírság

Mivel a hatóság szerint lényegében piackutatásnak álcázott marketing tevékenységet folytatott, az Amplifon az adatkezelés céljával kapcsolatban mind a Belügyminisztériumot, mind az érintett személyeket megtévesztette, az adatkezelés jogalapját nem megfelelően határozta meg, és a kampányok során használt tájékoztató anyagaik sem feleltek meg a GDPR rendelkezéseinek. Az adatvédelmi hatóság így ítélte meg, hogy az ügy körülményeire figyelemmel a figyelmeztetés nem elegendő szankció, ezért bírságot szabott ki.

A bírság kiszabása során a hatóság súlyosbító körülményként vette figyelembe, hogy az Amplifon a GDPR több alapvető fontosságú alapelvét is megszegte, az érintettek száma is többszázezerre rúgott, és az aktivitásokkal megcélzott érintetti kör többnyire az idősebb korosztályhoz tartozott, akik kevésbé tudják megítélni személyes adataik kezelésének jogszerűségét, és az egészségük érdekében könnyebben befolyásolhatóak. Az ügyben a GDPR alapján kiszabható bírság felső határa az érintett vállalkozások előző éves pénzügyi forgalmának 4%-a, vagy 20 millió euro volt, és a hatóság ennek figyelembevételével állapította meg a kiszabott bírság összegét.

Az ügy tanulságai

„A GDPR előtti korszakról általánosságban elmondható, hogy a szabályozás kevésbé részletes, az adatvédelmi hatóság tevékenységének intenzitása alacsonyabb volt, és a szabályok megszegése is lényegesen alacsonyabb kockázattal járt. Mindez a piaci szereplők körében alacsony adatvédelmi tudatosságot eredményezett, és ebben az adatvédelmi rendelet 2018-as hatályba lépése sem hozott érdemi változást” – véli az Oppenheim adatvédelmi szakértője.

A GDPR követelményeinek való megfelelést sokan elintézték azzal, hogy megvásároltak és egy dokumentumcsomagot, a korábbi anyagaikat frissítették fel a megfelelő jogszabályi hivatkozásokkal, ugyanakkor a jogszerűség biztosításához szükséges érdemi aktivitások a cégek többségénél elmaradtak. Ezek közé tartozhatott:

– az adattérképek elkészítése;

– adatkezelések átvilágítása, és a kapcsolódó tevékenység és dokumentáció GDPR- követelményekhez való igazítása;

– a jogszabályi szövegek ismétlésén túlmutató, az egyes tevékenységhez tartozó felelősöket, hatásköröket és felelősségi köröket megállapító belső adatkezelési szabályzat elkészítése, kihirdetése, oktatásokkal egybekötött bevezetése és kikényszerítése;

– az adatvédelmi megfelelés nem egyszeri tevékenységként, hanem rendszeres és folyamatos odafigyelést, interakciót és visszacsatolásokat igénylő projektként történő kezelése;

– a sok személyes adatot használó területeken – mint pl. HR, pénzügy, marketing – az adatvédelmi tudatosság kialakítása és elmélyítése.

Ahhoz, hogy egy cég valóban eleget tehessen a részletes, sok esetben többféleképpen értelmezhető technológiasemleges, általános és elvi szinten megfogalmazott követelményeknek, elengedhetetlen egy olyan belső keretrendszer, ami például biztosítja azt, hogy a cég által végzett adatkezelési tevékenységre – legyen az piackutatás vagy éppen marketing tevékenység – minden esetben a megfelelő, és aktuális jogi keretek között, a tevékenységhez megfelelően illeszkedő dokumentáció alkalmazása mellett kerülhessen sor.

„A fenti folyamatnak az egyik elengedhetetlen része az is, hogy az aktivitás megkezdését megelőzően megtörténjen a tevékenység és a dokumentáció jogszerűségének validációja és jóváhagyása a belső jogi osztály vagy a külsős jogi tanácsadó részéről. Bár nem tudjuk, hogy az Amplifon hogyan gondoskodott cégük GDPR-nak való megfeleléséről, meggyőződésem, hogy amennyiben erre a lépésre az Amplifonnál is sor került volna, akkor a végül a hatóság által feltárt hiányosságokat is megfelelően, időben orvosolhatták volna, és így elkerülhették volna a tetemes összegű bírságot” – foglalta össze Bartal Iván.

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2024-04-14 22:30:00
A Napenergia Plusz program folytatása mellett még az idén pályázatot írnak ki azok számára, akik a korábbi elszámolás mellett telepítettek napelemet, ám kiestek a tízéves szaldós időszakból – jelentette be az energiaügyi miniszter.
2024-04-13 13:10:00
Már nem az energia- vagy az alapanyagárak jelentik a fő nehézséget a hazai családi vállalatok számára. Az egyelőre még mérsékelten növekvő bevétel-várakozások mellett a magas infláció és a növekvő bérek kifizetése jelent egyre nagyobb kihívást – erről számoltak be a cégek a K&H családi vállalatok klub alkalmával.

  BIZNISZPLUSZ PODCAST

Az egészségpénztári befizetések ugyan nem a legelsők a fontossági sorrendben, amire félre akarunk tenni, de előkelő helyre kúsztak fel az utóbbi években Magyarországon. Annak ellenére, hogy milyen kedvező – és a közhiedelemmel ellentétben elérhető – megoldásokat nyújtanak a magáncélú megtakarítások, a magyar társadalom iszonyatos összeget fizet ki zsebből a magánegészségügyben. Dr. Kravalik Gábor, az Önkéntes Pénztárak Országos Szövetségének elnöke az ÖPOSZ legutóbbi közvélemény-kutatási eredményei nyomán vázolja honfitársaink hozzáállását a kérdéshez és egyértelmű választ ad rá, hogy hogyan járhatnánk jobban, ha tudatosabban tennénk félre. Fontos: akár havi párezer forintnak is van értelme, sőt!
A digitális technológiák kapcsán jelenleg két uniós rendelet is fontos: az egyik a digitális szolgáltatásokról, a másik a mesterséges intelligencia felhasználásának korlátozásáról szól. Sokáig azt hittük, az óriási tech vállalatok túl nagyra nőttek ahhoz, hogy meg lehessen regulázni a működésüket, Európában azonban – úgy tűnik – mégis sikerül rendeleti keretek közé szorítani, hogy mit tehet vagy épp' nem tehet meg a Facebook, a Snapchat, a TikTok és például a Google kereső. Dr. Baracsi Katalin internetjogász ebben az epizódban átfogó képed ad mind a digitális piacokat, mind pedig a mesterséges intelligencia felhasználását szabályozó uniós rendeletről.
2024. 03. 04., 13:25
epizód: 2024 / 5   |   hossz: 25:08
A home office elterjedésével és a munkához való viszonyunk változásával átalakult a hozzáállásunk az öltözködéshez, pedig a „business look” törvényei állandók, ahogy a kapcsolatépítésben betöltött szerepe is. Frank Patrícia stylist, stílus- és színtanácsadó szerint bár a formális öltözködés megőrizte a jelentőségét jó néhány – például pénzügyi és jogi – területen, a kreatívabb üzletágakban mostanra inkább egyfajta laza elegancia érvényesül. Ebben az esetben sem mindegy viszont, hogy milyen hatást váltunk ki a potenciális partnerünkből vagy munkáltatónkból a kritikusan fontos első hét másodpercben. Nagy üzletek és karrierek torpanhatnak meg, egyébként jól betartható, csak éppen nem túl közismert megjelenési szabályok figyelmen kívül hagyása miatt. Te ne kövesd el ugyanezt a hibát – Frank Patrícia itt segít!

  NÉPSZERŰ HÍREK

  Rovathírek: GUSTO

  Rovathírek: ATOMBUSINESS