Többször gondolkodtam már azon, hogy vajon honnan kapok mindenféle reklámokkal teletűzdelt email-t, vagy honnan tudják a telefonszámomat, azok, akik napról napra „visszautasíthatatlan ajánlatokkal” bombáznak. Nemrég sikerült választ kapnom erre. A Nemzeti Adatvédelmi és Információszabadság Hatóság (Hatóság) ugyanis 10 millió forintos bírsággal sújtott egy elektronikus direkt marketing (eDM) tevékenységgel foglalkozó céget, az Optimusz Kft.-t (Kötelezett)[1]. A határozat több aspektusát is bemutatja annak, hogy bizonyos cégek hogyan élnek vissza a felhasználók személyes adataival. Erről nem állítom, hogy általános gyakorlat, pusztán szeretném felhívni a figyelmet arra, hogy ha egy honlap az elérhetőségünket kéri, az könnyen eredményezhet visszásságokat a személyes adatok védelme tekintetében.
Az eDM cég és tevékenysége
A Kötelezett tevékenységének alapja a www.nyeremenyjatekok.hu oldal, amely sorsolásokon való részvételre buzdítja a felhasználókat, akik regisztrációjuk során nagy mennyiségű személyes adat megadására kényszerülnek. A Kötelezett ezen adatokból egy adatbázist készít, amelyből megrendelőivel kötött szerződés szempontjai szerint a kiválasztott célcsoportnak küldi ki a megrendelő reklámait, vagy csak egy linket egy honlapról, ahol a megrendelő adatokat gyűjthet. Az adatbázis építés szintén fő tevékenysége a Kötelezettnek, emellett úgynevezett adatbérleti szerződéseket kötnek call-centerekkel. Ez utóbbi tevékenysége nagyon sok visszásságra ad lehetőséget. Adatkezelésének ezen aspektusának az az alapja, hogy a call-centerek megbízóik vagy saját céljaikra bérelnek a Kötelezettől személyes adatokat – általában több szempontból kiválogatott elérhetőségeket –, melyeket a Kötelezett szerződési gyakorlata szerint egyszer használhatnak fel, és csak meghatározott időre kapnak bérbe. Amennyiben több próbálkozásra sem érik el az érintettet, illetve ha az nem mutat érdeklődést a kínált termék iránt, akkor adatait törölni kell az adatbázisukból, jóllehet a Kötelezett állítása szerint is nehéz ennek ellenőrzése, és többször nem is tesznek eleget ezen kötelezettségeiknek, vagy nem tartják be az időkorlátokat.
Az Optimusz Kft. több esetben is megsértette az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (Infotv.) több rendelkezését. A honlapjának Szabályzata önmagában is rengeteg visszásságot rejt, ebbe foglalták ugyanis bele a Kötelezett adatkezelési szabályait is, melyek több esetben megsértik az Infotv-t.
Jogsértések a Szabályzatban
Ahhoz, hogy valaki személyes adatokat kezelhessen, két alternatív feltétel szükséges az Infotv. 5. § (1) bekezdése szerint. Az egyik eset az, amikor kötelező adatkezelésről beszélünk, ekkor törvény, vagy törvény felhatalmazása alapján önkormányzati rendelet rendelkezései szerint jogosult valaki személyes adatok kezelésére. A másik eset, és ez a gyakoribb, hogy az érintett belegyező nyilatkozatát adja, jelen esetben is ez történik. Igen kiterjedt dogmatika íródott már arról, hogy milyennek kell lennie egy hozzájáruló nyilatkozatnak, erre azért érdemes figyelni, mert bármelyik feltétel kihagyása jogellenessé teszi az adatok kezelését. Az Infotv. szerint a beleegyező nyilatkozatnak tájékozottnak, önkéntesnek és előzetesnek kell lennie. Az első eleme az, hogy az Infotv. 20. § (2) bekezdésében felsorolt szempontok szerinti tájékoztatást kötelezően meg kell adnia annak, aki személyes adatokat szeretne kezelni, így meg kell neveznie az adatkezelőt és, ha van az, adatfeldolgozót, az adatkezelés célját és jogalapját, az időtartamát, jogait és jogorvoslati lehetőségeit. Ezeken kívül az adatkezelő azt is köteles közölni, ha jogszabályból eredő kötelezettségei miatt szükséges az adatkezelés, vagy ha az adatkezelő illetve harmadik személy jogos érdekének érvényesítése érdekében kéri a személyes adatok kezeléséhez való beleegyező nyilatkozatot.
A Kötelezett ezen rendelkezést több szempontból is megsértette, céljaként marketing célokat jelölt meg, illetve hogy üzleti ajánlatokat küldhessen a regisztrálóknak, ami gyakorlatilag lefedi az eDM szolgáltatást és az adatbázis-építést, de az adatbérlésről, azaz adatok vagyoni előnyért cserébe történő továbbításáról nincsen szó, amivel súlyosan megsértik az érintettek információs önrendelkezési jogát, hiszen jelentős szempont, hogy egy felhasználó hozzájárul-e ahhoz, hogy valaki az ő személyes adatain gazdagodjék. Mindemellett a „marketing cél” egy nagyon általános, nagyon homályos megnevezés, ami visszaélésre ad lehetőséget.
Kifejezetten súlyos probléma a Kötelezett adatkezelésével kapcsolatban az adatkezelő személyének megnevezése. Egyrészt, csak áttételesen lehet következtetni arra, hogy a Kötelezett az elsődleges adatkezelő. A súlyosabb jogsértés a Szabályzat 5. pontjából következik. Itt ugyanis egy hosszú felsorolás található arról, hogy milyen cégeknek továbbíthatja a kötelezett a regisztrálók személyes adatait, emellett megjegyzi, hogy ezeken kívül más adatfeldolgozóknak is kerülhetnek adatok továbbításra. Ez több szempontból jogszerűtlen. Részint az érintettek csak egy hozzájáruló nyilatkozatot adtak, ami csak egy adatkezelésre jogosít fel. Így a partnerek adatkezelése csak abban az esetben lehet jogszerű, ha úgynevezett többes adatkezelés esete áll fent, amelynek létrejöttéhez egy közös cél és az adatkezelés megvalósulásában történő együttműködés szükséges. Ezek a feltételek itt kifejezetten nem teljesülnek, hiszen a Kötelezett sajátossága, hogy egymástól sok tekintetben eltérő cégnek továbbít adatot különböző célokkal. Így a fent említett reklám tevékenység és a call centerek mellett olyan is található, amelyik egy-egy reklámkampányának sikerességét akarja ellenőrizni, valamint a cégek profilja is nagyon eltér egymástól. Ezen kívül, ugyan minden szerződésbe belefoglalják az együttműködést az adatkezelés feltételeit illetőleg, de ezt a valóságban nem viszik végbe. Így végül sokkal többen férnek hozzá a felhasználók személyes adataihoz, mint amibe beleegyeztek, tehát nem többes adatkezelésről, hanem több adatkezelő önálló adatkezeléséről van szó.
A fentieken túl az sem átlátható, hogy aktuálisan kik és milyen jogalappal kezelik a regisztrálók adatait, ugyanis a Szabályzat mintegy 18 céget nevez meg. Ehhez képest az eljárás kezdetekor csak néhánnyal volt hatályos szerződésük, illetve az is kérdéses, hogy tovább küldik-e adatkezelőknek az adatokat, ami egyébként az Infotv. szerint lehetséges. Mégis az Adatvédelmi Munkacsoport által támasztott átláthatóság követelményét súlyosan sérti, hogy az érintettek nem tudják, hogy pontosak kik is kezelik az adataikat. Emellett, ugyan a Kötelezettnek jól működő rendszere van arra, hogy hogyan lehet az adatok törlését kérni (erre külön email címük van), de az egyáltalán nem tisztázott, hogy ekkor a partnerek rendszeréből is törlődik-e, vagy azt külön kell kérni. Így előfordulhat, annak ellenére, hogy valaki kérte a törlését, még más adatkezelőknél a szerződés alapján „benne van a rendszerükben”.
Jogellenesnek minősül az is, ha az adatkezelés időtartama nem meghatározott – mint ahogy a Kötelezettnél is – hiszen regisztrációkor nem határozza meg, hogy meddig fogja kezelni az adatokat. Ezen kívül a Szabályzatban a vonatkozó jogszabályok közül nem a hatályosakat tüntették fel az adatkezelés háttérszabályaiként, mindemellett az alkalmazásukra való utalás több esetben nem egyértelmű, nagyon általános és semmitmondó. Mindez azért sérti az érintettek információs önrendelkezési jogát, mivel a felhasználók számára jogérvényesítést sokkal nehezebbé teszi.
A beleegyező nyilatkozat másik fő kelléke az önkéntesség. Nem lehet senkit sem kényszeríteni személyes adatai megadására, és nem lehet olyan helyzetbe hozni, ami ilyet eredményez. A Hatóság szerint a Kötelezett ezen kritériumnak sem felelt meg, mivel a felhasználók csak abban a tekintetben választhattak, hogy regisztrálnak-e vagy sem, az adataikat mindenképp meg kell adniuk a regisztrációkor, és mindenképp hozzá kell járulniuk az összes partner adatkezeléséhez is. Ez azért kifejezetten jogellenes, mivel egy tulajdonképpeni kényszerről van szó. Ha van is ellenvetése a felhasználónak, akkor is meg kell adniuk beleegyező nyilatkozatukat a Kötelezettel kapcsolatban álló sokszínű cégek mindegyikének adatkezeléséhez, nem választhatja ki egyesével, hogy melyek adatkezelésébe egyezik bele. A Hatóság azt is kiemeli, hogy jogellenesnek számít, és sérti a felhasználó információs önrendelkezési jogát, hogy ha ugyan van is lehetőség arra, hogy egyesével jelölje ki, hogy mely cégek adatkezeléséhez járul hozzá, de mindet be kell jelölnie a regisztrációhoz. Mindezek a fentiek alapján természetesen csak akkor számítanak jogellenesnek, ha nincs többes adatkezelés, ha megjelenik a fent említett bizonytalanság az adatkezelők személye tekintetében, tehát nem feltétlenül jogszerűtlen, ha egy honlap több adatkezelő tevékenységéhez kér hozzájárulást.
A call centerek és az eDM szolgáltatás
Már a Szabályzat tartalma is több személyiségi jogsérelmet okoz, de maga a gyakorlat is tartogat még visszásságokat. Így a call centerekkel kötött adatbérlési szerződésekkel kapcsolatban is jelentős jogellenességeket követett el a Kötelezett. Ahogy azt már említettem, a Szabályzat 5. pontja utal arra, hogy más adatfeldolgozóknak is továbbíthatják az adatokat. Mint az eset teljes dokumentációjából kiderül, itt a Kötelezett alapvetően a call centerekre gondol. E tekintetben adatkezelési gyakorlata teljes mértékben jogellenes, mivel a call centerek csak legritkább esetben kapják a megbízást a Kötelezettől. Emellett, amennyiben önálló tevékenységükhöz szükségesek az adatok, saját adatkezelési céljaik szerint használják fel azokat, míg ha megbízást teljesítenek, szerződő partnereik céljai szerint járnak el. A jogellenességet az adatfeldolgozó és az adatkezelő fogalma közti különbség okozza. Az Infotv. 3. § 9. pontja szerint az az adatkezelő, aki az adatok kezelésének érdemi megvalósulására kihatással van és döntéseket hozhat az adatokról. Az adatfeldolgozó ezzel szemben a szakasz 17. pontja szerin csak technikai feladatokat végez, érdemben nem dönthet az adatok kezeléséről, és tevékenységét az adatkezelő irányítása alatt végzi. Így összeáll a kép. A call centerek, amennyiben saját céljaikra használják fel az adatokat, adatkezelők, amennyiben pedig megbízóik utasításait követik, ugyan adatfeldolgozók, de utóbbiak számítanak adatkezelőnek a Kötelezett mellett, de, mint említettem, jogellenesen, hiszen a belegyező nyilatkozat jogszerűen nem terjed ki erre az adatkezelési szintre. Azaz a Kötelezett súlyosan megsértette az információs önrendelkezési jogot azáltal, hogy az adatfeldolgozó fogalma mögé bújva adatokat továbbított más adatkezelőknek az érintettek belegyezése nélkül. Így újfent olyanok férnek hozzá a felhasználók személyes adataihoz, akikről nem is sejthettek a regisztrálók.
A Hatóság nagyon sokat foglalkozott azzal a kérdéssel, hogy hogyan figyelik az eDM szolgáltatás nyújtása közben azok email címét, akik az adott kampány során emailt kapnak. E tekintetben a Hatóság ugyan nem talált jogellenességet, azonban érdekes lehet tudni, hogy azok a bizonyos emailek, amiket reklám címen küldenek mire is jók, és milyen adatokat kapnak meg az adatkezelők. A Kötelezett állítása szerint két szempontból figyelik az egyes felhasználókat, így rögzítik azt, ha megnyitják az emailt, illetve ha rákattintanak a küldött linkre. Erről a megrendelők csak statisztikai mérőkódokat kapnak, tehát kifejezetten személyes adatokat nem. A rögzítés módja tekintetében a Kötelezett biztosította a Hatóságot, hogy az egyes felhasználókat nem figyelik külön-külön, rendszerük összesítve értékeli a küldött emailekkel kapcsolatos aktivitást. Így egyébként azt is, hogy a felhasználó az emailt spam listára tette-e, vagy esetleg az emailcím inaktív, innentől a regisztrált érintett nem vesz részt eDM kampányokban, de ez adatai törlését nem jelenti, a telefonszámát és egyéb adatait a Kötelezett ugyan úgy kezeli és továbbítja, mint addig. A válasz ugyan nemleges volt, mégis sokat elárul az ilyenkor megnyilvánuló esetleges visszaélésekről, hogy a Hatóság megkérdezte, az emailek esetleg telepítenek-e valamilyen programot a felhasználók számítógépére vagy egyéb elektronikai eszközére, de a Kötelezett biztosította a Hatóságot, hogy erről nincs szó.
Tóth Péter
[1] ügyszám: NAIH-542-41/2014/H.
A szerző az ELTE ÁJK harmadéves hallgatója.
A képek forrása:
http://cdn.onextrapixel.com/wp-content/uploads/2012/01/spam.jpg http://podkedd.hu/assets/uploads/files/42547-spam-image.jpg http://www.logway.ch/images/spion.jpg
***
Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.
