"Nicsak, ki beszél?"
Az Európai Unió a tavaly májusban hatályba lépett GDPR (Általános Adatvédelmi Rendelet) kiegészítéseként külön adatvédelmi szabályokat tervez hatályba léptetni az elektronikus kommunikációra vonatkozóan.
A tervezett, úgynevezett ePrivacy rendelet valamennyi EU-s tagállamban alkalmazandó lesz 2 éves felkészülési idő után, várhatóan 2021-től. A rendelettervezet új előírásokat tartalmaz a telemarketingre vonatkozóan, és módosítja majd az elektronikus direkt marketing (eDM) üzenet szabályait is.
Telemarketing: eddig is voltak szabályok
Nem előzmény nélküli az EU jogszabálytervezete, a magyar elektronikus hírközlési törvény már 2008 óta tartalmaz alapvető rendelkezéseket a telefonos közvetlen üzletszerzési célú marketing hívásokkal kapcsolatban. A mostani előírások alapján a szolgáltatók által létrehozott előfizetői címtárakban, névjegyzékekben szereplő személyeket élőbeszédes telemarketing célú telefonhívással akkor kereshetik meg, ha az ellen korábban nem tiltakoztak, nem tiltották azt meg. Amennyiben azt megtiltották, a címjegyzékben szereplő személy ilyen hívással nem kereshető, és a névjegyzéknek tartalmaznia kell a tiltást az egyes előfizetőknél.
Az automata telemarketing célú hanghívások esetében azonban a magyar szabályozás szerint előzetes hozzájárulás szükséges a hívott féltől, amelyet bármikor vissza lehet vonni. Fontos szabály, hogy az előfizető kifejezett hozzájárulása ellenére sem lehetséges olyan közvetlen üzletszerzési, tájékoztatási, közvélemény- és piackutatási célú küldemény továbbítása, amelyből nem ismerhetők fel a feladó azonosító adatai.
A rendelettervezet a fenti szabályokat alapvetően nem módosítja, de többletkötelezettségeket állapít meg a telemarketing hívásokat alkalmazó szolgáltatókkal szemben. Ennek megfelelően a szolgáltató köteles lesz megjeleníteni a hívószámot az ilyen hívásoknál, amelyen elérhető. A rendelet továbbá lehetővé teszi, hogy a tagállamok kötelezzék a telemarketing hívást alkalmazó szolgáltatókat speciális kódok vagy előhívók alkalmazására is.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A rendelettervezet alapján alapvetően természetes személyek esetében marketing célú hanghíváshoz nem kell előzetes engedélyt kérni, de a tagállamok előírhatják, hogy ilyen célból csak olyan személy hívható fel, aki ez ellen nem tiltakozott korábban. A fenti magyar szabályozás már most tartalmaz ilyen előírást, így ez várhatóan nem fog módosulni a rendelettervezet miatt.
GDPR: eDM hozzájárulással vagy üzleti jogos érdek alapján
A GDPR alapján főszabály szerint csak annak lehet elektronikus direkt marketing üzenetet küldeni, aki ahhoz előzetesen, önkéntesen, megfelelő tájékoztatás birtokában hozzájárult. Ez a szabály vonatkozik mind az e-mailben vagy sms-ben küldött eDM üzenetre, de alkalmazandó a push notification-ben vagy in-app messages-ben küldött reklám tartalmú közlésekre is.
A GDPR szűk körben megengedte az ilyen közvetlen üzletszerzési célú üzenetek hozzájárulás nélkül történő küldését, amely esetben az adatkezelés jogalapját a szolgáltató jogos üzleti érdeke jelentette. Amennyiben az adatkezelő hozzájárulás nélkül kívánt ilyen üzenetet küldeni a GDPR alapján, fel kellett tudnia mutatni egy olyan jogos üzleti érdeket, amely egyensúlyban van a címzettek alapvető jogaival, nem korlátozza azokat aránytalanul – vagyis el kellett végeznie és dokumentálnia kellett a GDPR által megkövetelt érdekmérlegelési tesztet.
A GDPR akkor tette lehetővé az eDM üzenetek hozzájárulás nélküli, jogos üzleti érdek alapján történő küldését, ha a címzett észszerűen számíthatott arra, hogy kap ilyen tartalmú üzenetet és a címzett és a szolgáltató között megfelelő kapcsolat áll fenn – például a címzett a reklámüzenetet küldő ügyfele vagy vele szerződésben áll. Ilyen esetekben a címzettet tiltakozási jog illeti meg, vagyis bármikor leiratkozhat a hírlevélről, eDM-ről (opt-out jog).
A GDPR azonban ennél részletesebb szabályokat nem tartalmaz a hozzájárulás nélküli eDM üzenet küldésre vonatkozóan, amely a gyakorlatban bizonytalanságokat okoz, és számtalan vitatható üzleti döntést eredményez.
Magyar reklámtörvény: eDM csak hozzájárulással
A magyar reklámtörvény jelenleg is alkalmazandó előírása alapján közvetlen üzletszerzés céljából reklám tartalmú elektronikus üzenet csak a címzett előzetes külön kifejezett hozzájárulása alapján küldhető. A magyar jogalkotó nem vett tehát tudomást a GDPR fenti megengedő szabályáról, és a reklámtörvény fenti szabályát nem módosította a GDPR-nak megfelelően: a magyar jog szerint itthon tehát elvileg továbbra sem lehet üzleti jogos érdekre hivatkozással, hozzájárulás nélkül eDM-et küldeni.
Némi jogértelmezéssel az Uniós jog szupremáciájának alapelve alapján ugyan el lehet jutni ahhoz az értelmezéshez, hogy a GDPR felülírja a magyar reklámtörvényt, és Magyarországon is alkalmazható az üzleti jogos érdek mint az adatkezelés jogalapja a reklámcélú üzenetek küldéséhez, azonban egy esetleges NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) vizsgálat során lehetséges, hogy jogi és üzleti kockázatot jelenthet ez a megközelítés.
ePrivacy rendelet: új eDM kivétel a hozzájárulás alól
Az ePrivacy rendelet ezen a visszásságon és következetlenségen tud majd segíteni, hiszen szűk körben kifejezetten lehetővé teszi közvetlen üzletszerzési célból az adatkezelést. Nem kell hozzájárulást kérni az EU rendelet alapján tehát az eDM üzenet küldéséhez, ha az elektronikus kapcsolati adatokat (például e-mail címet, telefonszámot SMS küldéshez) termék vagy szolgáltatás vásárlásával kapcsolatban szerezték meg a magánszemélytől, és erre az elektronikus elérhetőségre csak a vásárolt termékhez, szolgáltatáshoz hasonló saját termékre és szolgáltatásra vonatkozó reklámot küldenek. Gyakorlati példával illusztrálva: ha például egy cipő webáruházban vásárolt cipőt a felhasználó, akkor külön hozzájárulása nélkül is küldhet a webshop üzemeltető neki reklámot a webshopban árult cipőkkel kapcsolatban, azonban másfajta termékre vonatkozóan nem.
Egy vegyes termékkörű webáruházban a kérdés már trükkösebb, hiszen eDM-et csak hasonló termékről lehet küldeni a vásárlónak a jövőben. Így ha valaki például egy televíziót vásárolt online, a webshop üzemeltetője nem küldhet neki reklámot vagy ajánlatot hajszárítóról. Ez a kivétel nem segít továbbá a plázáknak, bevásárlóközpontoknak sem, ők továbbra sem küldhetnek majd hírlevelet a náluk található boltokkal, ott árult termékekkel, szolgáltatásokkal kapcsolatban a vásárlóknak, mivel azok nem a pláza saját árui vagy szolgáltatásai. A hozzájárulás nélküli eDM üzenet küldése esetén is tiltakozási joga van a címzettnek, vagyis az eDM-ről a GDPR fenti szabályainak megfelelően bármikor leiratkozhat.
Ki kell azonban emelni, hogy a fenti új rendeleti szabály nem is annyira új, mert már a GDPR-t megelőző adatvédelmi irányelvben is szerepelt – a magyar jogalkotó azonban már annak átültetésekor sem vette át az EU-s szabályt. Az ePrivacy rendelet ezen változtat, hiszen az a nemzeti jogba történő átültetés nélkül is közvetlenül alkalmazható lesz várhatóan 2021-től valamennyi EU-s tagállamban.
A rendelet továbbá lehetővé teszi a tagállamoknak, hogy nemzeti jogukban meghatározzák, hogy a vásárlást követően legfeljebb mennyi idei használhatók a vásárló elérhetőségei eDM üzenet küldési célra.
Tiltakozási jog a jogi személyeknek
Az ePrivacy rendelet az eDM küldésre vonatkozóan tiltakozási jogot ad a jogi személy címzetteknek is, vagyis cégeknek, jogi személyeknek a rendelet alapján hozzájárulásuk nélkül is lehet marketing célú, reklám üzenetet küldeni, azonban arról a jogi személy címzettek is leiratkozhatnak, és akkor részükre a továbbiakban ilyen levél nem küldhető. Eddig marketing célú üzenetet nem természetes személyeknek, hanem cégeknek általános e-mail címre (például info/central/office/@company.hu) korlátlanul lehetett küldeni, tiltakozási jog ezen e-mail címek üzemeltetőit nem illette meg.
Az eDM levelek kötelező tartalma
Magyarországon az elektronikus kereskedelmi törvény eddig is meghatározta, hogy mely információkat kell feltüntetni mindenképpen egy direkt marketing üzenetben, az ePrivacy rendelet az egész EU-ra vonatkozóan, kötelező jelleggel megerősíti ezt. Kötelező lesz tehát feltüntetni a küldő nevét, amely nem lehet fiktív vagy kitalált név, valamint egy címet vagy telefonszámot, ahol a szolgáltató elérhető. Fel kell hívni a címzett figyelmét arra is, hogy a küldött üzenet marketing célú, és világosan és elkülönülten meg kell jelölni, hogy a természetes személy címzettnek tiltakozási és hozzájárulás visszavonási joga van. Ezek a szabályok eddig is szerepeltek a magyar elektronikus kereskedelmi törvényben, így a hazai vállalkozásoknak többlet terhet az ePrivacy rendelet e tekintetben nem jelent majd.
A cikk szerzője dr. Horváth Katalin, a CMS Hungary Ügyvédi Iroda adatvédelemmel foglalkozó szenior ügyvédje.