A kulcsszó: jogos érdek - GDPR

Adópraxis Dátum Legutoljára frissítve: 2018.05.17

Olvasási idő: 4 perc


Ez a tartalom 2380 napja jelent meg, lehetséges, hogy az itt szereplő információk már nem aktuálisak. Legfrissebb tartalmainkat itt érheti el.

Dr. Amigya Andrea ügyvéd, adatvédelmi szakértő instrukciói alapján igyekeztünk összeszedni mindazokat a taktikákat és praktikákat, melyeket ismernie kell egy direkt marketinggel, vagy csupán a hírlevél-küldés valamely változatával foglalkozó cég vezetőjének, menedzsmentjének ahhoz, hogy a GDPR által kialakult jogi helyzetben képes legyen eligazodni és a szabályrendszereket alkalmazva megfelelően boldogulni.

A direkt marketinggel (DM) foglalkozó cégek életében is nagy változásokat eredményez a GDPR május 25-étől történő hatályba lépése. A személyes jogok védelmére vonatkozó szabályok eddig is léteztek már, viszont a rendelet által most módosultak vagy megváltoztak. Viszont amelyik cég felkészült és célja a jogkövető magatartás megvalósítása, annak semmiféle félnivalója nem lesz.
Elsősorban a cég adatkezelésének feltételrendszerét és gyakorlati megvalósítását kell felülvizsgálnunk, és ha szükséges, módosítanunk. Elsőként az adatvagyont kell felmérnünk, amit kezelünk és a személyes adatkezelést feltérképeznünk (utóbbinál ügyeljünk arra, hogy új típusok keletkeztek, mint például a biometrikus adatok). Az adatvagyon felmérése egy kkv esetében manuálisan történik (kérdőív, konzultáció és felkért szakértő). 
A data mapping ide vonatkozó kérdése: kötelező-e? Fontos megjegyezni, hogy át kell nézni egy adott elem kötelezőségét minden esetben, mert lehet, hogy korábban nem volt az, de most igen, illetve esetleg nem kötelező, de ajánlott végrehajtani. Mindenképpen el kell készíteni egy egyedi adatvédelmi szabályzatot (kisebb cégek viszonylatában az adatkezelési szabályzat is elégséges), melyet nyilvánossá kell tenni, mondjuk a céges honlapon megjelentetni. Továbbá a GAP-elemzést, másnéven rés-elemzést is el kell végezni (a módszer lényegében a jövőbeli célokat és a várható teljesítményt hasonlítja össze, és az eltérés kiküszöbölésére próbál megoldásokkal szolgálni), össze kell vetni a régivel és az esetleg szükséges változtatásokat a már említett lépések mentén (állapot – észrevétel – javaslat) rögzíteni kell. Az akcióterv vagy feladatterv megszerkesztésénél és megvalósításánál fontos elem, hogy nevezünk-e ki adatvédelmi tisztviselőt (DPO - data protection officer). Itt két dologra kell figyelnünk: egyfelől arra, hogy ha a cég nagysága miatt nem lenne kötelező, akkor is azzá válhat, ha például százezres nagyságrendű adatbázist kezelünk, másfelől egy adminisztrációs dolog is fontos, az elszámoltathatósági mappában szerepelnie kell annak is, ha nem neveztünk ki DPO-t. 
Meg kell alkotni a belső eljárásrendet és folyamatos önellenőrzéssel kell élnünk (monitoringozás). Adatvédelmi incidens esetén a 72 órán belüli bejelentési kötelezettségre ügyeljünk, valamint a folyamatos kárfelmérésre és -elhárításra (ha a bejelentés a hatóság részére megtörtént, a fő kötelezettség megvolt, lehet a többire koncentrálni). Ezek betartása és megvalósítása azzal a fontos alaptétellel, miszerint az érintetteket mindig tájékoztatjuk (vagyis a feltételrendszert hiány nélkül megismerhették), minimálisra fogja redukálni a hibázás lehetőségét és azzal párhuzamosan a retorziók felbukkanását. Összegezve azt mondhatjuk, a GDPR két fő, egymással szorosan összefüggő alapelvének kell megfelelni, ezek pedig az átláthatóság (transzparencia) és az elszámoltathatóság. 

 
 


A GDPR három fő pillért is meghatároz, de ezek nem okozhatnak meglepetést: a védelem szintje nem csökkenhet (fejlesztések preferálása), a gyermekek kiemelt védelme (16 év a korhatár uniós relációban) és az eljárásjogi kérdések (utóbbiak változhatnak, de ez a nemzeti hatóságok működésével kapcsolatos). A törvények „rangsorolásánál” az első a GDPR lesz (maga határozza meg a kivételeket is), a második az Infotörvény, mely viszont teljes átalakulásra vár első viszonylatában, míg a harmadik szabályozó az ágazati jogszabályok sora, ezeknél szintúgy ügyelni kell arra, hogy még a régi a hatályos vagy már sikerült az újat megalkotni. 
A GDPR tekintetében a direkt marketinggel foglalkozó cégek több könnyítéssel találkozhatnak. Akinek van egy adott ügyfélbázisa, az május 25-e után az ebben tárolt címekre hírlevelet küldhet ki. Mégpedig az érdekmérlegelés elve alapján, a cég jogos érdekére való hivatkozással. Az ügyfél az eddigi témakörökben és az eddigi vásárlási tendenciái nyomán kaphatja meg az elektronikus üzenetet, azonban megjegyzendő, hogy más célra felhasználni az adatait már nem lehet, csak a kifejezett hozzájárulása után. 
A harmadik személynek történő küldés esete másként ítélendő meg. (Jó példa a rossz eljárásra: egy ételszállítással foglalkozó cég egy részleges átfedés apropóján, de objektíven nézve kéretlenül egy ismert fitneszguru termékeinek reklámozását is megvalósította.) A jogos érdeken alapuló adatkezelés esetén fontos megjegyeznünk, hogy az adatkezelési tájékoztató mellékletében elhelyezünk egy ún. érdekmérlegelési tesztet, mely négy részből áll: mi az a jogos érdek, amire hivatkozunk, mi az az érintetti érdek, amit emiatt mégis korlátoznunk kell, ezt követi az összevetés és a súlyozás (amiben az üzleti érdek előnye domborodik ki), végül a garanciák biztosítása következik, mely során jelezzük, hogy az ügyfél érintetti jogaival továbbra is élhet természetesen (leiratkozás, tájékozódás joga, stb.). Leiratkozás után semmiképpen nem küldhető dm-levél, onnantól fogva egy külön, ún. Robinson-listában kell tárolni az egykori ügyfél adatait, ezt jól el kell különíteni a küldési listától, küldés esetén szigorú összevetést kell végezni, hogy ne kaphasson reklámot a leiratkozott fél. Ezeket majd később a bevezetendő E-privacy rendelet fogja egzaktul szabályozni. Ezt jelenleg még az NMHH (Médiahatóság) felügyeli és szankcionálja, de a gyakorlat azt mutatja, hogy kevésbé bírságolja (500 ezer forint a büntetési plafon kéretlen hírlevelek kiküldése esetén, mely az E-privacy hatályba lépése után nyilván emelkedni fog.). Az új szabályozás alapja sem lesz más, mint a GDPR, aki annak a követelményeit konzekvensen betartja, nem kell számonkéréstől tartania.