Lehet-e hozzájárulást szerezni egy mozzanattal, direkt marketing célból?

A direkt marketing, a közvetlen üzletszerzés a GDPR-nak való megfelelés egyik lényegi kérdése, hiszen az ezzel kapcsolatos üzleti gyakorlat egy ügyfelekkel (üzletfelekkel, fogyasztókkal) rendelkező vállalkozás adatvédelmi gyakorlatának kifelé, érintettek irányába nyilvánosan megjelenő része, ami az adatvédelmi hatóság mellett a fogyasztóvédelmi szervek és az Nemzeti Média és Hírközlési Hatóság jogérvényesítő tevékenységének is egyik, jelentős fókuszpontja. A kapcsolódó magyar joggyakorlatot a francia (Commission nationale de l'informatique et des libertés - CNIL) és az angol (Information Commissioner’s Office – ICO) adatvédelmi hatóságok közelmúltban kiadott állásfoglalásai alapján értékeljük. Az elektronikus direkt marketing üzenetekkel kapcsolatos hozzájárulás követelményeit az Európai Unióban az elektronikus hírközlési adatvédelmi irányelv (ePrivacy irányelv) 13. cikk (1) bekezdése rögzíti, amelynek értelmében elektronikus hirdetés főszabály szerint csak a felhasználó hozzájárulásával közölhető. A magyar reklámtörvény 6. § (1) bekezdése ezt a követelményt általános jelleggel és gyakorlatilag kivétel nélkül minden marketing célú kommunikációra (ideértve a postai kommunikációkat) is kiterjeszti, függetlenül attól, hogy üzletfél vagy fogyasztó a kommunikáció címzettje. A közvetlen üzletszerzési célú üzenetek küldése és az ehhez szükséges hozzájárulás megszerzése a 29. cikk szerinti adatvédelmi munkacsoportnak az európai adatvédelmi rendelet (GDPR) alkalmazására való felkészüléssel kapcsolatos állásfoglalásaiban is megjelent. Ezen állásfoglalások a hozzájárulás követelményeinek kifejtése mellett különösen azon kérdés megítélése tekintetében próbálták eloszlatni a bizonytalanságot, hogy egy vállalkozás milyen feltételekkel szerezhet hozzájárulást üzleti partnerek, társvállalatok részére, hogy azok direkt marketing üzeneteket küldhessenek, illetve hogyan továbbíthatóak egy ügyfél személyes adatai harmadik félnek minősülő üzleti partnerek, társvállalatok részére direkt marketing célból. A 29. cikk szerinti adatvédelmi munkacsoport a GDPR-ra felkészülés elég kései időpontjában, 2017. november 28. napján bocsátotta ki a hozzájárulásról szóló iránymutatását (WP259), amelynek egyik vitatott és a 2018. április 10. napján felülvizsgált iránymutatása által pontosított kérdése a hozzájárulás "részletessége": tehát amikor közvetlen üzletszerzés folytatásához szerez hozzájárulást egy vállalkozás, úgy a vállalatcsoport többi tagja részére (illetve harmadik félnek minősülő üzleti partnerek részére) szükséges-e újabb hozzájárulás az adatokat direkt marketing célból történő továbbításához. Ezzel kapcsolatosan a WP259 iránymutatás eredeti 7. sz. példája arra utalt, hogy külön-külön hozzájárulás szükséges az ilyen adatkezeléshez, ideértve a saját célú üzenetküldéshez történő hozzájárulást, illetve a vállalatcsoport többi tagja, üzleti partner részére való adattovábbítást is. Az állásfoglalásban rögzített példa szerint: "Ugyanabban a hozzájárulás iránti kérelemben egy kiskereskedő a vevőitől hozzájárulást kér ahhoz, hogy az adataikat felhasználhassa e-mailben továbbított marketingüzenetek küldéséhez, valamint az adataiknak a vállalatcsoport más vállalataival történő megosztásához is. Ez a hozzájárulás nem részletes, mivel nincs külön hozzájárulás ehhez a két különböző célhoz, ezért a hozzájárulás nem lesz érvényes. " A fent hivatkozott iránymutatás mindazonáltal nem volt egyértelmű abban a tekintetben, hogy milyen módon szükséges a hozzájárulást megszerezni ahhoz, hogy az üzleti partnerek részére direkt marketing célból megszerzett hozzájárulás valóban érvényes is legyen. A WP259 iránymutatás felülvizsgált rev. 01 verziója ezért az alábbiak szerint tovább pontosította a fenti példát és kimondta, hogy "Ebben az esetben külön hozzájárulást kell szerezni az elérhetőségek kereskedelmi partnereknek történő megküldéséhez. Ez a konkrét hozzájárulás minden olyan partner esetében érvényesnek minősül (lásd még a 3.3.1. szakaszt), amelynek a kilétét közölték az érintettel a Baker & McKenzie International is a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a "partner" means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an "office" means an office of any such law firm. hozzájárulása megszerzésekor, amennyiben azt ugyanazzal a céllal (ebben a példában: marketing céllal) megküldik a részükre." A WP29 fenti iránymutatása a magyar adatvédelmi hatóság eddigi direkt marketingre vonatkozó gyakorlata fényében érdekes, mivel a magyar hatóság GDPR alkalmazandóvá válása előtti gyakorlata (lásd különösen az Optimusz ügyet) a WP29 fenti állásfoglalásánál részben szigorúbbnak, részben pedig enyhébbnek tűnik ebben a kérdésben. Az érintett hozzájárulása ugyanis a NAIH szerint csak akkor önkéntes, ha tényleges választási lehetőséget biztosítanak neki abban a tekintetben, hogy melyik (önálló) adatkezelő üzleti partner részére történő adattovábbításhoz adja meg a hozzájárulást. A NAIH szerint az érintettek egy hozzájárulási mozzanattal több adatkezelő adatkezeléséhez csak akkor járulhatnak hozzá, ha valamennyi fél (ideértve a személyes adatokat gyűjtő adatkezelőt is) közös adatkezelőnek minősül, azaz amikor a felek az adatkezelés kereteit együttesen határozzák meg. Ennek indoka, hogy a NAIH Infotv. alatti gyakorlata a közös adatkezelők közötti "adatátadást" nem tekintette adattovábbításnak, hanem privilegizáltan kezelte a közös adatkezeléssel kapcsolatos helyzetet (vö. Optimusz döntés 1.2 pontját), azaz lehetővé tette, hogy a saját és az üzleti partnerek direkt marketing tevékenységéhez egy mozzanattal lehessen hozzájárulást szerezni. Ezzel szemben azonban a WP29 hozzájárulással kapcsolatos iránymutatása nem privilegizál, azaz minden esetben külön hozzájárulást követel meg a saját direkt marketing üzenetek küldéséhez, és egy további külön hozzájárulást a partnerek részére történő marketing célú adattovábbításhoz. A munkacsoport állásfoglalása azonban nyitva hagyja azokat a kérdéseket, amelyre a magyar hatóság eddigi gyakorlata már választ adott, hogy a hozzájárulás részletezettsége szempontjából • releváns-e az egyes üzleti partnerek gazdasági profilja; • az üzleti partnereknek mennyiben kell együttműködniük a direkt marketing területén, illetve • mennyiben releváns, ha közös adatkezelés áll fenn. Míg a magyar adatvédelmi hatóság kifejezetten óvatos a GDPR-ral kapcsolatos jogértelmezések területén, a nagyobb érdekérvényesítési képességel rendelkező adatvédelmi hatóságok (CNIL, ICO) ezen a területen nem fogják vissza magukat, mivel továbbra is rutinszerűen adnak ki iránymutatásokat ezen a területen, adott esetben az európai gyakorlat befolyásolása céljából, illetve, hogy pontosítsák és útmutatást adjanak a WP29 által kiadott állásfoglalások gyakorlati átültetéséhez. A francia CNIL direkt marketing állásfoglalása A francia adatvédelmi hatóság 2018. december 27-án tette közzé a honlapján az érintettekről gyűjtött személyes adatoknak reklámozási célból történő üzleti partnerek felé történő továbbítással kapcsolatos követelményeit, valamint az elektronikus üzenetek útján történő reklámozás szabályait. A francia adatvédelmi hatóság megállapítja, hogy főszabály szerint tilos reklám üzenetet küldeni az érintett címzett hozzájárulása nélkül. A CNIL hangsúlyozza, hogy a GDPR szabályai nincsenek hatással a reklámozási célú email kommunikációra, mivel elsősorban az ePrivacy Irányelv francia jogba átültetett szabályait szükséges erre alkalmazni (lásd erről a francia Postai és Elektronikus Kommunikációról szóló törvény L34-5 szakaszát). A CNIL szerint minden email útján történő reklám célú kommunikációra vonatkozó közös szabály, hogy: • Transzparens módon meg kell jelölni a reklám küldőjét. • Lehetőséget kell biztosítani arra, hogy a további emailen útján történő reklám célú kommunikációról bármikor leiratkozhasson a címzett fél. Baker & McKenzie International is a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a "partner" means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an "office" means an office of any such law firm. • Külön elektronikus felületen (pl. web vagy mobil app), külön check-box megjelölésével történjen a reklám célú elektronikus kommunikációhoz történő hozzájárulás megadása; hangsúlyozandó, hogy ezen check-box - a GDPR szabályaira figyelemmel – nem lehet előre bejelölve. A CNIL a vállalkozás - fogyasztó közötti kommunikációk tekintetében főszabályként azt rögzíti, hogy email útján történő reklámozási célú kommunikáció az email cím gyűjtésekor felvett kifejezett hozzájárulás alapján lehetséges, kivéve, ha a címzett már eleve a reklám küldőjének a meglévő ügyfele és a kommunikáció is hasonló termékek vagy szolgáltatások reklámozását célozza (ún. "softopt-in"), vagy ha az email kommunikáció nem kereskedelmi célú, azaz Baker & McKenzie International is a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a "partner" means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an "office" means an office of any such law firm. érintettek részére, különösen arról, hogy miként gyakorolhatják a jogaikat, a tiltakozási jogukról és a személyes adatok forrásáról, honnan gyűjtötték azokat. A tiltakozási jogát az érintett akár közvetlenül az adatkezelő üzleti partnernél, akár a személyes adatokat gyűjtő (pl. adatbróker) félnél is gyakorolhatja azzal, hogy utóbbinak továbbítania kell ezen tiltakozást az adattovábbítások címzettjei felé. Az ICO frissített direkt marketing checklist-je Az angol adatvédelmi hatóság a GDPR-ra történő felkészülés jegyében 2018. március 6. napján frissítette a direkt marketing iránymutatását. Szintén azt fogalmazta meg főszabályként az ICO, hogy előzetes hozzájárulás szükséges a címzettől a direkt marketing kommunikációval kapcsolatban. Az emailen keresztül történő direkt marketing üzenetküldés esetében kivétel, hogy a meglévő ügyfelek részére a hozzájárulásuk nélkül is küldhető üzenet ("soft opt-in"), azzal, hogy a címzetteknek tiltakozási, illetőleg opt-out joga van. Üzletfeleknek címzett (B2B) kommunikációk esetében viszont nem alkalmazandók a hozzájárulással, soft opt-innel és az opt-outhoz való joggal kapcsolatos előírások, így az ICO szerint kizárólag a küldő fél azonosítása és kapcsolattartási adatainak megadása szükséges azzal, hogy az egyes munkavállalóknak még így is joguk van a marketing célú kapcsolattartást megtiltani. Az ICO is kiemeli, hogy különös tekintettel kell eljárni a harmadik felek részére gyűjtött hozzájárulások esetében, azonban a CNIL-lel szemben az ICO puhábban fogalmaz, mivel az iránymutatásuk szerint az indirekt hozzájárulás "nagy valószínűséggel" nem érvényes telefonhívásokhoz, SMS vagy email küldéshez (tehát a francia hatóság rigorózusabb és a GDPR szabályaival összhangban, egyértelműen kimondja, hogy a hozzájárulás továbbítása (consent passzolás) nem érvényes). Kifejti az ICO, hogy ennek a hozzájárulásnak a GDPR-ban megkívánt általános hozzájáruláson túlmenő attribútumokkal kell bírnia, így különösen (i) a címzett fél megfelelő módon értesítse a küldő felet, azaz az elektronikus reklámozási célú kommunikáció feladója rendelkezzen a megfelelő hozzájárulással az üzenet küldéshez, (ii) a hozzájárulás megléte folyamatos (azaz, amíg azonos feltételekkel történik a kommunikáció, mint amihez előzetesen a fogadó fél hozzájárult; az egyszeri vagy meghatározott időre szóló hozzájárulást nem lehet kiterjesztően értelmezni), (iii) a kommunikációs csatornához, a kommunikáció módjához is egyedi hozzájárulás szükséges (azaz külön az automatizált telefonhívásokhoz vagy az emailen történő megkereséshez), (iv) a a címzett fél számára a kommunikációt küldő fél ismert, azonosított. Az ICO javaslata, hogy a hozzájárulás legyen kifejezett, azonban elismeri, hogy a nem kifejezett hozzájárulás is elfogadható (amennyiben az természetesen aktív, cselekvő elfogadást jelent az egyéb körülményektől függően, azaz a hallgatólagos hozzájárulás esetén is informált, önkéntes és specifikusnak kell lennie a hozzájárulásnak). A francia adatvédelmi hatóság álláspontjához hasonlóan az ICO szerint az indirekt hozzájárulás alkalmazása esetén tájékoztatást szükséges adni az érintettnek arról, hogy ténylegesen, specifikusan ki lesz az adatkezelő fél („Indirect consent may therefore be valid if that organisation was specifically named.”). Az ICO is jelzi, hogy a pusztán címzetti kategóriákat megjelölő hozzájárulás nem érvényes. („Consent is not likely to be valid where an individual is presented with a long, seemingly exhaustive list, of general categories of organisations.”), azaz a konkrét adatkezelő szervezeteket szükséges kellően specifikusan megadni ehhez. Több helyen kiemeli az ICO, hogy az adatkezelőnek a harmadik fél útján szerzett hozzájárulás esetén is képesnek kell lennie a hozzájárulás érvényességével kapcsolatos körülményeket igazolnia, ezért különös körültekintéssel szükséges eljárnia. Baker & McKenzie International is a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a "partner" means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an "office" means an office of any such law firm. 2019. január 9. napján frissített direkt marketing ellenőrző listája a fentieknek megfelelően külön tételként szerepelteti a harmadik felek részére történő adattovábbítással kapcsolatos hozzájárulás kérést, illetve a hozzájárulás kérés körülményeinek és a hozzájárulás terjedelmének rögzítését. Szintén külön tételként szerepel az adatok forrásának a megjelölése harmadik feles adattovábbítás esetén, illetve a kifejezett hozzájárulás a harmadik fél részéről történő megkereséssel kapcsolatban (azaz nem az említett adattovábbításról, hanem kifejezetten ahhoz való hozzájárulás, hogy a megjelölt harmadik fél a kapcsolatot felvehesse az érintettel.) Továbbá az ICO-nál kifejezetten megjelenik a hozzájárulással kapcsolatos időelem is (meddig tekinthető érvényesnek a hozzájárulás). Ez a francia és a magyar iránymutatásokban nem hangsúlyos. Adattovábbítás üzleti partnereknek, direkt marketing célból A WP29, a CNIL és az ICO állásfoglalása alapján is kimondható tehát, hogy az európai gyakorlat szerint nem lehet egy mozzanattal hozzájárulást adni az adatkezelő saját direkt marketing célú adatkezeléséhez és az üzleti partnerek direkt marketing célú egyidejű adatkezeléséhez. Ezzel kapcsolatosan megállapítható tehát, hogy a GDPR hatálya alatt nem látszik fenntarthatónak a magyar adatvédelmi hatóság Optimusz ügyben meghozott azon megállapítása, amely "közös adatkezelés", a direkt marketing tevékenységek felek közötti koordinálása esetében lehetővé tette azt, hogy egy vállalkozás egyetlen mozzanattal szerezhessen hozzájárulást a saját és a hasonló üzleti profillal rendelkező üzleti partnerei részére való közvetlen üzletszerzési kommunikációkhoz, mivel a részletesség követelménye miatt ezekhez az adatkezelésekhez külön-külön hozzájárulást követel meg az európai adatvédelmi rendelet. Megjegyzendő az is, hogy közös adatkezelés fennállása esetén is abba az irányba mutat az európai adatvédelmi joggyakorlat, hogy a közös adatkezelő felek mindegyikének önállóan szükséges megfelelő, jogszerű és érvényes adatkezelési céllal és jogalappal rendelkeznie, melyet 2018. márciusában a Düsseldorfer Kreis (DSK), a német adatvédelmi hatóságok grémiuma által kibocsátott állásfoglalás is megerősít. A WP29, az ICO és a CNIL állásfoglalása és a magyar hatóság gyakorlata továbbá azt is megerősíti, hogy konkrétan és név szerint meg kell jelölni a hozzájárulás címzettjét. A GDPR hatálya alatt sem fogadható el az a gyakorlat, mikor a hozzájárulással kapcsolatosan nincs megjelölve, hogy kik az adattovábbítás címzettjei, hanem csak annyit jelöl a hozzájárulás, hogy "üzleti partnereknek" vagy "társvállalatok felé" történik adattovábbítás. A WP29 és a CNIL állásfoglalása hallgat tehát arról, hogy releváns-e az egyes üzleti partnerek gazdasági profilja, amikor számukra személyes adatokat továbbítanak direkt marketing célból. Az adatkezelő üzleti partnerek profilja a NAIH Optimusz döntésében bírt különös jelentőséggel, mivel az adatvédelmi hatóság szerint ez a körülmény jelzi, hogy a partnereknek nem azonosak az adatkezelési céljai, amikor az adatokat a saját direkt marketing céljaikra használják fel. Ez a körülmény a gyakorlatban azt jelenti, hogy valamiféle kapcsolatnak (pl. egy vállalatcsoport vagy hasonló gazdasági profilnak) kell fennállnia a felek között, akiknek egy hozzájárulási mozzanattal továbbításra kerül a személyes adat. Ha nem áll fenn ilyen kapcsolat és az üzleti partnerek gazdasági profilja eltér, illetve az egyes partnerek nagy önállósággal kezelhetik a továbbított személyes adatokat, az adatvédelmi hatóság megállapíthatja azt, hogy különbözőek az adatkezelési célok, ezért partnerenként is különkülön hozzájárulásra lett volna szükség az adattovábbításhoz. A WP29 egyáltalán nem tárgyalja ezt a kérdést, míg a CNIL állásfoglalás csupán utal a felek együttműködésére a hozzájárulással és a tiltakozással kapcsolatosan, azaz a felek között Baker & McKenzie International is a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a "partner" means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an "office" means an office of any such law firm. szükségszerűen kell lennie valamely együttműködésnek a hozzájárulások és tiltakozások kezelése és a tájékoztatások megadása vonatkozásában. Az ICO iránymutatása pedig részletesen foglalkozik a vásárolt, illetve eladott marketing listák kezelésével kapcsolatban. A GDPR szerint a hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. Azaz ha valamelyik, adattovábbítás címzettjének minősülő üzleti partner irányában visszavonják a hozzájárulást, a GDPR alapján a visszavonásnak valamennyi partner irányában hatályosnak kell lennie. A NAIH eddigi gyakorlata alapján kézenfekvőnek tűnik a megállapítása, hogy a hasonló esetekben minden érintett fél közös adatkezelőnek minősül az üzleti partnereknek való adattovábbítással kapcsolatosan és a GDPR 26. cikkével összhangban, a felek közötti megállapodás útján szükséges rendezni a továbbított személyes adatok kezelésével, a tiltakozással, tájékoztatással és a hozzájárulás visszavonásával kapcsolatos kérdéseket. A közös adatkezelés ténye sem befolyásolja azonban azt a WP 29 által megfogalmazott követelményt, hogy a GDPR hatálya alatt mind az adatot gyűjtő fél, mind pedig az ügyfél kontakt adatok adattovábbítási címzettjének minősülő üzleti partnernek részére történő