Véleményem szerint ez az a rész, ami a legtöbb hírlevélküldőt foglalkoztat. Mert ahogy a korábbi posztban is írtam, elég komoly szankcionálásokat hoz az új GDPR! (lásd >> ITT) Ezért nézzük át egy-két péda mentén milyen kérdések relevánsak...
Kezdjük az elejéről!
Miért is kell adatvédelem?
A 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról törvény kimondja, hogy a “...törvény célja az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon.”
Nézzünk egy-két rosszabb esetet: ellopják vagy eladják, bérbe adják az adatainkat (ez nem jogszerű, de hallottunk már ilyenről), barterban cserélnek gazdát az adataink (nem túl etikus, de jogszerű), az adatkezlőn keresztül közvetlen hirdetnek nálunk (jogszerű), különböző webanalitikai szolgáltatások igénybe vételével profiloznak, megismerik a szokásainkat és ez alapján kapunk számunkra érdekesnek tűnő ajánlatokat...
De mint egy hétköznapi természetes személynek milyen elvárása lehet egy adatkezelővel szemben? Természetesen, hogy az adatainkat csak azok kezeljék akiknek adtunk rá felhatalmazást. (Persze sok esetben azt sem tudjuk, hogy kiknek és mire adtunk, hiszen a legtöbben el sem olvassák az adatvédelmi nyilatkozatokat, csak jóváhagyják…)
Viszont ma mégis elmondható, hogy míg a vállalkozások egyre tudatosabbak, egyre inkább fel vannak készülve, hogy milyen módszerekkel lehet befolyásolni a kiszemelt szegmenst, addig az adatfelhasználók (mi userek, hétköznapi emberek) sajnos nem vagyunk még hozzászokva, hogy folyamatosan érkeznek, minden csatornán keresztül az inputok. Pl.: az e-mail fiókunkban olyan sok kéretlen levél (spam) jelentkezik napról-napra, ami már sok esetben zavaró. Továbbá, böngészés közben olyan hirdetések követik lépteinket, amiket esetleg megnéztem/ rákerestem, de (még) nem vásároltam meg, rosszabb esetben már igen és mégis “zaklat” folyamatosan. Vagy telefonon olyan hívásokat kapunk, akikről esetleg még sosem hallottunk korábban, mégis egy olyan “hihetetlen” ajánlattal keresnek meg, amiről azt állítják, hogy kihagyhatatlan...És még hosszasan lehetne sorolni!
Ki számít adatkezelőnek?
A 3. § 9. pont szerint adatkezelőnek számít: "az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;"
A 3. § 10. pont szerint adatkezelés: "az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása…”
Az adatkezelésnek 2 információs jogalapja lehet (Ezt majd egy későbbi posztban bővebben kifejtem):
- Adatvédelmi jog
- Információszabadság-jog
(Persze ezt a jogalkotók hosszasan tovább fejtik és részletezik, akit már most mélyebben érdekel a cikk végén a forrásoknál megtalálja :) .)
Miután ezeket az alapvető kérdéseket tisztáztuk, jöhetnek a feladatok, amiket az új adatvédelmi rendelet szerint az adatkezelőknek mindenképp el kell végezniük 2018 május 25-ig!
Profilalkotás
Minden esetben a userek felé a jövőben részletes tájékoztatás kell a profilalkotás módszeréről.
(Ilyen Pl. külső webanalitikai, hirdetés megjelenítő szolgáltatók: Google Analytics, webaudit, gemius, google adsense, youtube, facebook, cookie-k…)
(Tudtátok, hogy a mostani legtöbb cookie (süti) figyelmeztetés nem felel meg a jogszabályoknak? 2009/136/EK irányelve (66))
Továbbá az adatkezelési tájékoztatóban (régi nevén adatvédelmi nyilatkozat) külön hozzájárulást kell kérni a külső szolgáltatók bevonásához. Pl. hírlevélküldő rendszerek igénybe vételéhez, akik a userek adatait kezelik!
Adatvédelmi tisztségviselő kinevezése (DPO)
Minden olyan cégnek kell, ahol vállalkozásnak adatkezelés a tevékenységei között szerepel. (Vezető, adatvédelmi tisztséget nem tölthet be a cégnél! Ha külsős DPO-t keresel KATT IDE!)
Feladatai: Gazdasági reklám jogszabályait figyelembe véve nyilvántartásokat vezet, kontrollálja az adatvédelmi kérdéseket. (Nagyobb ágazati szereplőknek érdemes Magatartási kódexet készíteni, amiben a vonatkozó rendelkezések alapján, jól definiált, átlátható, értelmezhető, világos állásfoglalásokat lehet kérni.)
Adatvédelmi hatásvizsgálat
Az új adatvédelmi rendelet szerint az adatkezelőnek hatásvizsgálatot kell végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
Ezekben az esetekben kell elvégezni:
- természetes személyekre vonatkozó egyes személyes jellemzők automatizált gyűjtése és értékelése (pl.: webes profilok építése), valamint ezekre a természetes személyt jelentős mértékben érintő döntések épülése; vagy
- nyilvános helyek nagymértékű, módszeres megfigyelése.
Közös szabályok
- Céges e-mailcímre csak releváns tartalommal rendelkező hírlevelet lehet küldeni (Pl. kórházaknak orvos diagnosztikai eszközök reklámozása lehet, de Bahamai nyaralási ajánlat kiküldése nem)
- Csak természetes személyek részére
- Nem kérhető ismerősök ajánlása
- Egyértelműnek kell lennie, azonosítható kell, hogy legyen
- Hírlevélre feliratkozáshoz, nem elég csak az e-mailcím elkérése (minimum nevet is kell hozzá kérni)
- Biztosítani kell az indoklás nélküli leiratkozási lehetőséget. Nem lehet feltételhez szabni. Pl.: indokolja meg, hogy miért akar leiratkozni
- Nem lehet feliratkozást kedvezménnyel összevonni. Pl.: 1000 Ft kupon jár annak, aki feliratkozik. (Büntetendő, mert megkárosítjuk azokat, akik nem szeretnének feliratkozni)
Direkt marketing – edm
- Meglévő ügyfelek részére jelenleg (ha nem iratkozott fel hírlevélre), nem jogszerű emlékeztető/rendszerlevelet küldeni. DE! Jó hír, hogy májusra az a terv, hogy bekerül a jogszabályba, így alkalmazhatóvá és jogszerűvé válik!
- Robinson listán lévő usereket (ügyfeleket) nem inaktiválom és egy listán gyűjtöm, hanem minden esetben törölni kell!
- Feliratkozó checkbox mellé (hogy a hozzájárulás érvényes legyen) kell:
- Név
- Tájékoztató, hogy pontosan mire is iratkozott fel
- info@cégnév.hu emailek esetében nem kell előzetes hozzájárulás edm-ek küldéséhez (Viszont vigyázni kell, mert ha a cégnév magánszemély neve pl. info@gipszjakab.hu, akkor már nem jogszerű a hírlevelek küldése)
- Checkbox nem lehet bújtatott és előre bepipált! (Lead gyűjtés esetén! Minden résztvevő adatvédelmi nyilatkozatát mellé kell rakni, hogy érvényes legyen!)
Kifejezett hozzájárulás
Fontos, hogy a hozzájárulás egyértelmű legyen!
NEM SZABÁLYOS:
- Magyarázó szöveg nélkül csak: “Feliratkozom a hírlevélre!”
- Alapértelemezettként bejelölt checkbox
- Hírlevélre feliratkozást emailben kérni
- Más szolgáltatáshoz való hozzáférés feltételéhez kötés Pl. 1000 forintos kupont jár, ha most feliratkozik...
- Egy nyilatkozat alapján több adatkezelő részére való átadásra kerülnek a felhasználók adatai Pl. Hozzájárulok az adataim kezeléséhez, de még 5 cég megkapja amúgy...
SZABÁLYOS:
- Hírlevélre történő feliratkozásommal hozzájárulok, hogy a megadott e-mail címemre kiküldésre kerülő hírlevelekben mutatott aktivitásomat (pl. megnyitás, kattintás) az XYZ Kft. nyomon kövesse és harmadik fél reklámját is tartalmazó személyre szabott hirdetések saját vagy partner oldalon való megjelenítése érdekében használja.
Leiratkozás:
- Leiratkozási link nem elég, minden elérhető csatorna feltüntetése szükséges
- Érdemes tájékoztatni (de nem kötelező) hogy mikor és milyen körülmények között iratkozott fel.
- E-mail láblécében érdemes feltüntetni, azt, hogy milyen e-mailcímre szándékoztuk küldeni a hírlevelet (átirányított email esetén jól jön)
- Nem érdemes különböző méretű kis betűkkel trükközni! (nem szereti a hatóság!)
Kövess minket a facebookon is! KATT IDE!
Források:
https://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A1100112.TV
