Adatvédelem a hatékony online értékesítés gátja? Dr. Kulcsár Zoltán
Marketing ABC kontra adatvédelem Analitika Big data Cookie Direkt marketing E-dm Facebook Google Adatvédelmi szabályok?! 2
Hozzájárulás az adatkezeléshez Érintett hozzájárul önkéntesen, megfelelő tájékoztatást követően, határozottan, félreérthetetlenül - szóban, írásban, ráutaló magatartással, különleges adat: írásban - 16 év. életév betöltése után önállóan is! 3
Előzetes tájékoztatási kötelezettség Tájékoztatási kötelezettség: Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a 6. (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. Ezen felül az érintett jogairól és a jogorvoslati lehetőségeiről. 4
Gazdasági reklám fogalma olyan közlés, tájékoztatás, illetve megjelenítési mód, amely valamely birtokba vehető forgalomképes ingó dolog - ideértve a pénzt, az értékpapírt és a pénzügyi eszközt, valamint a dolog módjára hasznosítható természeti erőket - (a továbbiakban együtt: termék), szolgáltatás, ingatlan, vagyoni értékű jog (a továbbiakban mindezek együtt: áru) értékesítésének vagy más módon történő igénybevételének előmozdítására, vagy e céllal összefüggésben a vállalkozás neve, megjelölése, tevékenysége népszerűsítésére vagy áru, árujelző ismertségének növelésére irányul 5
Direkt marketing közös szabályok Csak természetes személy címzettek esetén Előzetes, kifejezett, egyértelmű hozzájárulás név, korhatáros reklám: +szül. hely és idő Visszavonási lehetőség: tájékoztatás, korlátozás és indok nélkül ingyenesen (cím és e-mail cím) Azonosítható feladó, azonosítható reklám Egyetemlegesen felel a reklámozó, a reklámszolgáltató és a közzétevő Eljáró hatóság: NFH, NMHH Kiszabható max. bírságok: 100 millió Ft, 500 ezer Ft 6
A kifejezett hozzájárulás Hozzájárulok ahhoz, hogy xxx Kft. a megadott elérhetőségeimen reklám ajánlataival felkeressen. Nem lesz érvényes: Alapértelmezettként bejelölt check box Összekapcsolva más nyilatkozattal Hozzájárulás kérő e-mailben elkérve Részletes feltételekben Név elkérése nélkül Más szolgáltatáshoz való hozzáférés feltételeként (!!!) Egy nyilatkozat több adatkezelő részére való adatátadásra is felhatalmazást ad (!!!) 7
Megoldás (?) az új NAIH elvárásokra Egy check box vezérli az összes check box-ot (több adattovábbítás egy klikkel) Nem azt mondjuk: A nyereményjátékban való részvétel feltétele a dm hozzájárulás megadása, hanem: Iratkozz fel hírlevelünkre és nyerhetsz! Vagy: Dupla nyerési esély, ha feliratkozol! És/vagy: felugró ablakban tájékoztatás az előnyökről (esetleg árkedvezmény felajánlása?), ha nem adta meg a hozzájárulását, és megnyomta a regisztrál gombot. 8
Küldd tovább ismerősödnek Főszabály: címzett (!) előzetes hozzájárulása Kivétel: vállalkozástól független személytől érkező üzenet Ajánlásunk: - maximalizálni kell a lehetséges címzettek számát, mindössze 1-2 ember részére legyen továbbküldhető az adott tartalom - semmilyen ellenszolgáltatást (pl. nyereményjátékban való részvételi jog) nem nyújthat a továbbküldő részére a szolgáltató, - a küldés előtt a feladónak legyen lehetősége szerkeszteni vagy legalább megismerni az üzenetet, - ne a szolgáltató, hanem ténylegesen a magánszemély feladó nevében legyen kiküldve az e-mail, - a kiküldött e-mail ne tartalmazzon további reklámot, tárgya szorítkozzon kizárólag az ajánlott tartalomra. 9
Direkt marketing cégek gyakorlata Kötelezett: Webvízió Kft. Kötelezés: 750.000 Ft bírság és törlésre, tájékoztatásra, adatkezelési gyakorlat megváltoztatására kötelezés Ügyszám: NAIH-2298-23/2013/H 10
Direkt marketing cégek gyakorlata Kötelezett: Optimusz Direkt Marketing Kft. Kötelezés: 10.000.000 Ft bírság és törlésre, tájékoztatásra, adatkezelési gyakorlat megváltoztatására kötelezés Ügyszám: NAIH-542-41/2014/H 11
Direkt marketing cégek gyakorlata Kötelezett: Jaguár Média Kft. Kötelezés: 10.000.000 Ft bírság és törlésre, tájékoztatásra, adatkezelési gyakorlat megváltoztatására kötelezés Ügyszám: NAIH-505/2014/H 12
Direkt marketing cégek gyakorlata Kötelezett: CID-Céginfo Direkt Marketing Kft. Kötelezés: 1.000.000 Ft bírság adatkezelés megtiltása, tájékoztatás küldése Ügyszám: NAIH-1116/2014/H 13
Direkt marketing cégek gyakorlata Kötelezett: M.C. Direct Kft. Kötelezés: 1.000.000 Ft bírság Ügyszám: NAIH-1436/2014/H 14
Direkt marketing cégek gyakorlata Mulasztások: - nincs megfelelő tájékoztatás az adatkezelés feltételeiről ( marketing cél kevés, és tájékoztatni az adat értékesítési célról) - adattovábbítás során nem kértek külön hozzájárulást minden címzett tekintetében és nem tájékoztatták az adatátvevő adatkezelési rendjéről - adatbérlés címszó alatt jogalap nélkül adatott át telefonszámokat direkt marketing célra call centerek mint adatfeldolgozók részére, akik valójában adatkezelők 15
Direkt marketing cégek gyakorlata Mulasztások: - nem vezettek megfelelően adattovábbítási nyilvántartást - adatbiztonsági intézkedések mellőzésével továbbítottak személyes adatokat - nem aktualizálták az adatvédelmi nyilvántartásban az adatkezelések változásait - színtiszta adatbáziskereskedelem 16
Direkt marketing cégek gyakorlata Megsértett jogszabályok: Infotv. 4. - célhoz kötöttség elve, tisztességes adatkezelés Infotv. 20. - előzetes tájékoztatási kötelezettség Infotv. 10. - adatfeldolgozás Grt. 6. - reklám küldésére vonatkozó szabályok 17
Direkt marketing cégek gyakorlata Javaslat: az adatkezelési célt egyértelműen kell megfogalmazni, pl. reklám ajánlatot küldjön a megadott elérhetőségeken ; más adatkezelő részére csak úgy lehet személyes adatot továbbítani, ha minden adatkezelő tekintetében részletes tájékoztatást adunk, és beszerezzük külön-külön a hozzájárulást 18
Direkt marketing cégek gyakorlata Javaslat: nincs akadálya annak, hogy a megrendelő (hirdető) adatfeldolgozóját bízza meg a listatulajdonosa a call center feladatokkal, azonban akkor a szerződéseknek, a tájékoztatónak és a NAIH bejelentésnek erről, a valós üzleti szándékról kell szólnia 19
Külső webanalitikai, hirdetés megjelenítő szolgáltatók Google Analytics, Webaudit, Gemius Adverticum, Google AdSense YouTube videó, időjárás modul, hírek ha az beágyazott tartalom Probléma: a külső szolgáltató is adatot kezel, a mi felhasználóink adatait, cookie-t kezel, de nem tud tájékoztatást adni Adjuk meg mi a tájékoztatást! 20
Ajánló, megosztó funkciók Küldd tovább ismerősnek probléma Ezen felül pl. AddThis, ShareThis szolgáltatók Facebook like box/button Ha csak linket tartalmaz az oldal, az nem adatkezelési probléma Probléma: mint a külső szolgáltatóknál Adjunk tájékoztatást! 21
Facebook, Google Plus belépés Hozzájárulást ad a felhasználó a FB-nak, hogy az FB profil adatokat átadja a weblapnak Csak olyan adatokat vehetünk át, amit fel is használunk (pl. általában nincs szükség az ismerős listára) Az adatkezelési tájékoztatóban erről tájékoztatást kell adni Hírlevél küldés csak külön hozzájárulással 22
Külső hírlevél küldő modulok vagy helyettük külső adatbázisok A szoftvert telepítettük nincs adatvédelmi kérdés Külső szolgáltató alkalmazását vesszük igénybe távolról tájékoztatás Technikai feladatokat (pl. kiküldés, leválogatás) is ellátó külső szolgáltatóval szerződünk adatfeldolgozó lesz Adatokat nem kapunk, a szolgáltató küldi ki listájára a reklámot Pl. ReachMedia MAXIMA rendszere felelősség 23
Affiliate, ár-összehasonlító portál, kuponok, drop shopping Cost Per Click: elszámolási viták során sem cserélhető az IP lista Analytics Kupon: világos kell, hogy legyen a felhasználó számára, merre áramlanak az adatai Drop ship: tisztázandó, ki adatkezelő, kinek mi a feladata az adatokon, és erről tájékoztatás 24
Viselkedésalapú reklámok Azonosított internet felhasználó korábbi viselkedése egyedi profil Mit és mennyi ideig, milyen gyakorisággal, keresőszó, kattintás, vásárlás Cookie, flash cookie, IP azonosítás (+földrajzi hely), ha van, regisztrációs azonosítóhoz kötve Honlap vagy 3. fél cookie 25
Cookie szabályozás Eht. 155. (4) bekezdés: Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű az adatkezelés céljára is kiterjedő tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni. 26
Cookie a gyakorlat http://ec.europa.eu/justice/data- protection/article- 29/documentation/opinionrecommendation/files/2011/wp188_hu.pdf Tájékoztatást kell adni: milyen cookie, milyen célból, mennyi ideig, milyen adatokkal, egyáltalán mi a cookie, letiltás mikéntje Hozzájárulás kell: viselkedésalapú reklámok Új gyakorlat kialakulóban: pl. Google, Budapest Bank, HP, Lexus, Electrolux 27
Ajánló rendszerek Pl. Gravity, Scarab Felhasználói azonosító jön-megy Ez szükséges-e? Ha igen, tájékoztatás+hozzájárulás De alapvetően preferált megoldás: nem a szolgáltató ad adatot az ajánló szoftvernek, hanem maga gyűjti azokat 28
Remarketing Megtekintette a weboldalt Megnyitotta a hírlevelet Más, mérhető tevékenysége volt Ezek alapján megjelenik a Google vagy más szolgáltatók hálózatában Előzetes és részletes hozzájárulás kérésre van szükség! Adatbázis építés más forrásokból (fontos, hogy ugyanolyan hozzájárulást kérjünk el, bárhol is megadja az adatokat) 29
Hozzájárulás az őskorban Feliratkozom a hírlevélre. 30
Remarketing hozzájárulás Hírlevélre történő regisztrációmmal hozzájárulok, hogy a megadott e-mail címemre kiküldésre kerülő hírlevelekben mutatott aktivitásomat (pl. megnyitás, kattintás) a Hirdető XY Kft. nyomon kövesse és harmadik fél reklámját is tartalmazó személyre szabott hirdetések saját vagy partner oldalon való megjelenítése érdekében felhasználja. 31
AdSense Kontextusban (AdSense for content) Kontextus szerint célzott hirdetések Gmail leveleinkben lévő szöveg Csak a gépek nézik a levelek tartalmát Kikapcsolhatja a felhasználó Adatvédelmi kritikák 32
NAIH állásfoglalás webáruház adásvétele témakörében Az adatok az érintettek hozzájárulása nélkül, az Infotv. 6. (5) bekezdésének b) pontja ill. az Adatvédelmi irányelv 7. cikk f) pontja alapján is átadhatók Érdekmérlegelési tesztet kell elvégezni, az eredményéről tájékoztatni kell az érintetteket Az eladó tájékoztatni köteles az érintetteket az adattovábbítást megelőző törlési, tiltakozási lehetőségekről A vevő nem terjeszkedhet túl a korábbi adatkezelési feltételeken 33
Adatbiztonsági kérdések Optimusz Kft. marketing kampányoknál egyszerű e-mailben, csatolt fájlként küldték meg a személyes adatokat, titkosítás nélkül. Pl. téves de létező e-mail címre küldés során illetéktelen kézbe kerülhetnek az adatok 34
Ügyek a Nemzeti Fogyasztóvédelmi Hatóságnál KMF-00341/0006/2010. sz. határozat A reklámozó postai úton nem biztosította a reklámanyag küldés megtiltásának lehetőségét és válaszlevelet nem tartalmazott http://www.adatvedelmiszakerto.hu/?p=394 A bírság: 600.000 Ft. A cég: Reader s Digest Kft. 35
A PSZÁF is bírságolt jogellenes DM miatt A Citibank mobiltelefonon sorozatosan felkereste a panaszost Kérésre sem törölte az adatbázisból A határozat elérhető a http://www.adatvedelmiszakerto.hu/?p=441 címen A PSZÁF 700.000 Ft bírságot szabott ki 36
De még a GVH is szóba jöhet a jogellenes DM miatt A Capital Partners befektetési szolgáltató ügynökei több alkalommal ugyanazt az ügyfelet keresték fel, tiltakozást követően is A határozat elérhető a http://www.gvh.hu/gvh/alpha?null&m5_doc= 7279&pg=72 címen A GVH 20.000.000 Ft bírságot szabott ki 37
Új európai adatvédelmi rendelet www.adatvedelmirendelet.hu 38
Várom kérdéseiket! Dr. Kulcsár Zoltán Privacy Policy Online Services 2120 Dunakeszi, Szabadka u. 26. Honlap: http://ppos.hu Blog: http://www.adatvedelmiszakerto.hu Közösség: www.facebook.com/adatvedelem E-mail: kulcsar.zoltan@ppos.hu Mobil: 06.20.444.3999 Telefon: 06.27.633.147 39