Piackutatásnak álcázott marketing tevékenység miatt bírságolt az adatvédelmi hatóság

2022. 11. 08., 17:23

Az adatvédelmi hatóság (NAIH) egy nemrég hozott döntésében szokatlanul magas, 80 millió forint összegű bírságot szabott ki egy hallókészülékek értékesítésével foglalkozó vállalkozással szemben. Pontosan mi is történt, és hogyan lehet elkerülni a hasonló kellemetlen meglepetéseket? A tényeket és a tanulságokat Bartal Iván, az Oppenheim Ügyvédi Iroda adatvédelmi praxisának vezetője segített összefoglalni.

Piackutatás vagy direkt marketing?

Mint minden piaci körülmények között működő vállalkozás, az AMPLIFON Magyarország Kereskedelmi és Szolgáltató Kft. (a továbbiakban: Amplifon) is szerette volna bővíteni ügyfélkörét és bevételeit, és ennek megfelelően többször is adatszolgáltatási kérelemmel fordult a Belügyminisztériumhoz. Bizonyos feltételek teljesítése esetén ugyanis a Minisztérium kérelemre név és lakcím adatokat szolgáltat, amelyet a cégek többek között piackutatásra, vagy közvéleménykutatásra használhatnak fel.

A konkrét ügy szempontjából lényeges kiemelni, hogy korábban közvetlen üzletszerzés (marketing) céljára is lehetett igényelni ilyen adatokat, de ez a lehetőség 2019 áprilisában megszűnt. A probléma az volt, hogy Amplifon ezt a jogszabályváltozást – gondatlanságból, vagy figyelmetlenségből – nem követte le megfelelően sem tevékenységében, sem az azzal kapcsolatos dokumentációjában, és végül ez volt a fő ok, amely az adatvédelmi bírság kiszabását eredményezte.

Mint kiderült, az Amplifon a hatóság által vizsgált többéves időszakban több piackutatásnak nevezett kampányt is lefolytatott, amelynek témája elsősorban az idősebb lakosság körében jellemző halláscsökkenés vizsgálata volt. A minisztériumtól megszerzett többszázezer címzettnek kiküldött megkeresés ugyanakkor nem piackutatási témájú kérdéseket tartalmazott, hanem hallásvizsgálatra invitálta a potenciális ügyfeleket. A hallásvizsgálatok során piackutatási célú kérdéseket is feltettek az érintetteknek, de a tevékenység egyértelmű és elsődleges célja a hallókészülékek értékesítése volt, továbbá a „piackutatás” eredményeként előállt, és a vizsgálat során a hatóságnak prezentált dokumentumok is egyértelműen marketing célból készültek, és nem feleltek meg a piackutatással szemben támasztott követelményeknek.

Megtévesztő magatartás, elégtelen tájékoztatás

„Az adatvédelmi jogi megfelelés szempontjából alapvető követelmény, hogy a kampánnyal érintett természetes személyek egyértelmű és jól érthető tájékoztatást kapjanak arról, hogy milyen alapon, milyen célból és hogyan használják adataikat – magyarázza Bartal Iván ügyvéd. – Ezen felül az általános adatvédelmi rendelet (GDPR) további konkrét tartalmi követelményeket is meghatároz az adatvédelmi tájékoztatókkal kapcsolatban. Lényeges továbbá, hogy a kampányokat lebonyolító cégek tevékenysége is összhangban legyen a tájékoztatóban foglaltakkal, azaz ha például azt kommunikálják a címzettek felé, hogy a megkeresésük célja piackutatás, akkor az adataikat valóban erre, és ne más célra (marketing) használják.”

A jogsértő magatartás következménye: bírság

Mivel a hatóság szerint lényegében piackutatásnak álcázott marketing tevékenységet folytatott, az Amplifon az adatkezelés céljával kapcsolatban mind a Belügyminisztériumot, mind az érintett személyeket megtévesztette, az adatkezelés jogalapját nem megfelelően határozta meg, és a kampányok során használt tájékoztató anyagaik sem feleltek meg a GDPR rendelkezéseinek. Az adatvédelmi hatóság így ítélte meg, hogy az ügy körülményeire figyelemmel a figyelmeztetés nem elegendő szankció, ezért bírságot szabott ki.

A bírság kiszabása során a hatóság súlyosbító körülményként vette figyelembe, hogy az Amplifon a GDPR több alapvető fontosságú alapelvét is megszegte, az érintettek száma is többszázezerre rúgott, és az aktivitásokkal megcélzott érintetti kör többnyire az idősebb korosztályhoz tartozott, akik kevésbé tudják megítélni személyes adataik kezelésének jogszerűségét, és az egészségük érdekében könnyebben befolyásolhatóak. Az ügyben a GDPR alapján kiszabható bírság felső határa az érintett vállalkozások előző éves pénzügyi forgalmának 4%-a, vagy 20 millió euro volt, és a hatóság ennek figyelembevételével állapította meg a kiszabott bírság összegét.

Az ügy tanulságai

„A GDPR előtti korszakról általánosságban elmondható, hogy a szabályozás kevésbé részletes, az adatvédelmi hatóság tevékenységének intenzitása alacsonyabb volt, és a szabályok megszegése is lényegesen alacsonyabb kockázattal járt. Mindez a piaci szereplők körében alacsony adatvédelmi tudatosságot eredményezett, és ebben az adatvédelmi rendelet 2018-as hatályba lépése sem hozott érdemi változást” – véli az Oppenheim adatvédelmi szakértője.

A GDPR követelményeinek való megfelelést sokan elintézték azzal, hogy megvásároltak és egy dokumentumcsomagot, a korábbi anyagaikat frissítették fel a megfelelő jogszabályi hivatkozásokkal, ugyanakkor a jogszerűség biztosításához szükséges érdemi aktivitások a cégek többségénél elmaradtak. Ezek közé tartozhatott:

– az adattérképek elkészítése;

– adatkezelések átvilágítása, és a kapcsolódó tevékenység és dokumentáció GDPR- követelményekhez való igazítása;

– a jogszabályi szövegek ismétlésén túlmutató, az egyes tevékenységhez tartozó felelősöket, hatásköröket és felelősségi köröket megállapító belső adatkezelési szabályzat elkészítése, kihirdetése, oktatásokkal egybekötött bevezetése és kikényszerítése;

– az adatvédelmi megfelelés nem egyszeri tevékenységként, hanem rendszeres és folyamatos odafigyelést, interakciót és visszacsatolásokat igénylő projektként történő kezelése;

– a sok személyes adatot használó területeken – mint pl. HR, pénzügy, marketing – az adatvédelmi tudatosság kialakítása és elmélyítése.

Ahhoz, hogy egy cég valóban eleget tehessen a részletes, sok esetben többféleképpen értelmezhető technológiasemleges, általános és elvi szinten megfogalmazott követelményeknek, elengedhetetlen egy olyan belső keretrendszer, ami például biztosítja azt, hogy a cég által végzett adatkezelési tevékenységre – legyen az piackutatás vagy éppen marketing tevékenység – minden esetben a megfelelő, és aktuális jogi keretek között, a tevékenységhez megfelelően illeszkedő dokumentáció alkalmazása mellett kerülhessen sor.

„A fenti folyamatnak az egyik elengedhetetlen része az is, hogy az aktivitás megkezdését megelőzően megtörténjen a tevékenység és a dokumentáció jogszerűségének validációja és jóváhagyása a belső jogi osztály vagy a külsős jogi tanácsadó részéről. Bár nem tudjuk, hogy az Amplifon hogyan gondoskodott cégük GDPR-nak való megfeleléséről, meggyőződésem, hogy amennyiben erre a lépésre az Amplifonnál is sor került volna, akkor a végül a hatóság által feltárt hiányosságokat is megfelelően, időben orvosolhatták volna, és így elkerülhették volna a tetemes összegű bírságot” – foglalta össze Bartal Iván.

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

  BIZNISZPLUSZ PODCAST

Bár a neobankok és a nemzetközi trendek azt erősítik, hogy a mikro-, kis- és középvállalkozások vezetői ne pénzügyi operatív teendőkbe öljék a drága idejüket ahelyett, amihez igazán értenek, az ehhez szükség digitális megoldások hazánkban még nem vagy csak ritkán hozzáférhetőek. Lemák Gábor, a FinTechShow-t szervező FinTech Group társalapítója ezért tartja fontosnak, hogy a rendezvényükön megvizsgálhatják: ki, hogyan és mit tehet azért, hogy a mikrovállalkozások és kkv-k pénzügyei sokkal egyszerűbben intézhetőek legyenek. Rá is mutatott néhány olyan digitális gyakorlatra, ami kellően jövőbe mutató ahhoz, hogy a hazai vállalkozások is alkalmazzák végre.
A vendéglátóipari vezetők részéről a feladatok delegálásának hiánya az egyik legsúlyosabb probléma, ami miatt nehezen áll talpra az ágazat a COVID utáni években. Továbbra is érezteti hatását, hogy a pandémia szétverte a jól kialakult szakmai közösségeket, a vendéglátósok már nem vagy alig járnak össze eszmecserére és a tudás átadására, amiből pedig kölcsönösen, mindenki profitálhatna. Persze erre a helyzetre is van megoldás: hozzá kell látni a céges mikroközösségek, aztán a nagyobb együttműködések felépítéséhez – osztotta meg a BizniszPlusz csatornával Gréczi Szilárd, a Skill Trade operatív és projektmenedzsere.
A legtöbb munkavállaló nem díjazná, ha a home office határait szűkebbre szabná a munkahelyük, de a felük csak emiatt azért nem mondana fel – legalábbis rögtön. A cégek nem kapkodnak a keretek módosításával, amit valószínűleg jól tesznek, pedig az alkalmazottakat aligha érné váratlanul. Milyen arányban morzsolódnának le a dolgozók a távmunka elvételével? Milyen előnyeit és hátrányait érzik a pandémiából örökölt gyakorlatnak napjainkban? A Profession.hu felmérte, Dencső Blanka piackutatási és üzletfejlesztési szakértő pedig összefoglalta, mire érdemes számítani home office fronton a közeljövőben.

  Rovathírek: GUSTO

  Rovathírek: ATOMBUSINESS