Csomagküldő cég adatkezelése – fontos szempontok egy hatósági határozata alapján. Hogyan lehet jogszerűen személyes adatokat kezelni direkt marketing esetén? Milyen feltételeknek kell, hogy megfeleljen az adatkezelés? Milyen tartalmú adatkezelési tájékoztató fogadható el. Ezekre a kérdésekre keressük a választ. A Nemzeti Adatvédelmi és Információszabadság Hatóság egyik ez évben kiadott határozata fontos megállapításokat tartalmaz ebben a kérdéskörben.
Csomagküldő cég adatkezelése – a tényállás
Az adatkezelő postai, fizikai jellegű küldemények kézbesítésével foglalkozik, amely szolgáltatás részeként e-mailben és telefonon is értesítést küld a címzettek részére a csomagküldés állapotával kapcsolatban. A csomag átvételét igazoló e-mailben egy online szolgáltatás ügyfél-elégedettségi kérdőív kitöltésére vonatkozó kérés vagy felhívás volt. Ez az utolsó e-mail kedvezmény lehetőségéről is tájékoztatást nyújtotta az érintetteknek. A kérdőívet ki nem töltő személyeket sem érte semmilyen hátrány.
Az adatkezelő adatkezelési szabályzattal nem rendelkezett. Továbbá az adatkezelési tájékoztatója nem került módosításra a GDPR hatályba lépését követően, még azt megelőzően hatályos Info. törvény szerint rendelkezéseket tartalmazott. Az adatkezelő ÁSZF-je és az adatkezelési tájékoztatója sem különítette el megfelelően az egyes adatkezelési célokat. Az adatkezelő a csomagok címzettjei nevét és e-mail címét és telefonszámát kezelte.
A csomagküldő cég az eljárás megindításának hatására adatvédelmi jog területén szakértelemmel rendelkező ügyvédi iroda felülvizsgálatát kérte az adatvédelmi megfelelőség biztosítása érdekében. Ennek keretében módosította adatkezelését, adatkezelési tájékoztatóját, és ezt követően adatkezelési szabályzatot is alkotott. Minden akkor lehetséges lépést megtett annak érdekében, hogy az adatkezelési gyakorlatában felmerült jogsértő eljárásokat a jövőre nézve felszámolja, és a továbbiakban megfelelő jogalappal és jogcímenként elkülönítetten kezeljen személyes adatot.
Az eljárásban a Hatóság az adatkezelő adatkezelésének számos kérdését vizsgálta.
Csomagküldő cég adatkezelése – az adott esetben alkalmazandó jogszabályok
Az adott esetben a csomagküldő adatkezelőre és adatkezelésére nem csak a GDPR (általános adatvédelmi rendelet), az Info. törvény, hanem a tevékenységére vonatkozó ágazati jogszabályok is tartalmaznak rendelkezésére, így ezeket is vizsgálni kellett.
Az adatkezelő tevékenységére a Posta törvény alapján egyetemes postai szolgáltatást nem helyettesítő postai szolgáltatást végzett Ezen belül is hozzáadott értéket képviselő speciális szolgáltatásként a postai nyomkövetést. Ennek a szolgáltatásnak a biztosításához volt szükséges az érintettek személyes adatainak kezeléséhez, mint a név (a megszólításhoz) és az e-mail cím. A csomagküldő cég összesen 4 e-mailben tájékoztatta az érintetteket, a webáruházaktól érkező csomagok címzettjeit a csomagkövetés állapotáról. Az első e-mailben a csomagszámról és a kézbesítés folyamatáról. A második e-mailben arról, hogy a raktárba beérkezett a csomag. A harmadik e-mailben arról, hogy a csomag a kért automatából átvehető. A negyedik e-mail tartalmazta az átvétel megtörténtének a tényét és az ügyfél-elégedettségi kérdőív kitöltésének a lehetőségéről való tájékoztatást.
Az utóbbi esetében a Reklámtörvény szerint direkt marketing tevékenységnek minősült.
A Hatóság különösen az adatkezelőnek az ÁSZF-jében foglaltakat és adatkezelési tájékoztatójában foglaltakat vizsgálta adatkezelési célonként.
A Hatóság a vizsgált adatkezelésekkel kapcsolatos jogi kérdéseket elsősorban az általános adatvédelmi rendelet (GDPR) alapján vezette le. A határozat legfontosabb adatvédelmi jogi következtetéseit az alábbi részben foglaltuk össze.
Csomagküldő cég adatkezelése – Hatóság megállapításai, következtetések, jogkövetkezmény
A NAIH 5.000.000 Forintos adatvédelmi bírságot szabott ki az adatkezelőre. Megtiltotta cégnek az érintettek nevének és e-mail címének az általános adatvédelmi rendelet 6. cikk (1) bekezdés b) pontján alapuló kezelését, ahol más jogalap volt alkalmazandó az eltérő célra tekintettel.
A Hatóság utasította a céget arra, hogy az egyéb adatkezelési céllal összefüggő adatkezelését alapozza megfelelő jogalapra. Ilyen jogalap például az érintettek hozzájárulására. A céget kötelezte tovább arra, hogy ezen adatkezeléséről nyújtson megfelelő tájékoztatást az érintettek számára. A hozzájárulásukat meg nem adó érintettek személyes adatait ne használja fel erre a célra.
A Hatóság a határozat indoklásában megállapította, hogy az adatkezelő csomagküldő cég megsértette a GDPR 5. cikk (1) bekezdés a) pontját. Eszerint a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (jogszerűség, tisztességes eljárás és átláthatóság elve). Ezen felül a Hatóság állsáspontja szerint az adatkezelő a GDPR 13. cikk (1)-(2) bekezdésében foglaltakat is megsértette az érintettek vonatkozásában. Ez azt jelenti, hogy nem nyújtott megfelelő tájékoztatást az adatkezeléssel érintettek számára. Ennek oka az ügyben az volt, hogy még a 2016-os adatkezelési tájékoztatóját használta. A tájékoztató nem volt összhangban a 2018. május 25. napja óta hatályos és alkalmazandó GDPR rendelkezéseivel. Továbbá az egyes adatkezelési célonként vett jogalapok megjelölése sem volt maradéktalanul megfelelő.
Az adatkezelő intézkedései
Az eljárás kezdetén az adatkezelő csomagküldő cég az adatvédelmi jog területén szakértelemmel rendelkező ügyvédi iroda felülvizsgálatát kérte az adatvédelmi megfelelőség biztosítása érdekében. Ennek keretében módosította adatkezelését, adatkezelési tájékoztatóját, és e felülvizsgálat mentén nyilatkozott a Hatóság tényállás tisztázó végzéseire. Úgy nyilatkozott, hogy a szolgáltatásának középpontjában a címzettek állnak. Ezt juttatja kifejezésre az ÁSZF 4. pontja, amelyben a csomagküldő cég vállalja a címzett által megrendelt küldemények kiszállítását, a kézbesítés megszervezését és a csomagnak a címzett részére történő kézbesítését. Álláspontja szerint ezen adatkezelés jogalapja az általános adatvédelmi rendelet 6. cikk (1) bekezdés b) pontja volt, azaz a címzettel kötött szerződéses kötelezettség teljesítés volt a jogalap. Ezzel a jogalappal a nyomkövetést célzó e-mailekkel vonatkozásában a Hatóság egyetértett.
Célhoz kötött adatkezelés vizsgálata
A csomagküldő cég által a címzetteknek küldött 4. (a szolgáltatást lezáró) e-mail kétféle célt szolgált. Egyrészt a csomag átvétele és ennek dokumentálásáról szóló értesítést. Másrészt pedig az ügyfél-elégedettségi kérdőív kitöltésére és harmadrészt az egyéb kedvezményre vonatkozó tájékoztatást. Ez utóbbival kapcsolatban – mely direkt marketingnek minősül – az adatkezelő arra hivatkozott, hogy a csomag nyomkövetéssel és a szolgáltatással olyan szoros összefüggésben áll, mely nem indokolja eltérő cél, eltérő jogalap meghatározását.
Az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, és képesnek kell lennie e megfelelés igazolására. Ez alapján az adatkezelő köteles úgy dokumentálni és nyilvántartani az adatkezelést, hogy annak jogszerűsége utólag bizonyítható legyen.
A GDPR 5. cikk (1) bekezdés a) pontja szerinti jogszerűség, tisztességes eljárás és átláthatóság elve alapján az személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. Az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontja szerinti célhoz kötött adatkezelés elvéből következően személyes adatok kezelése csak meghatározott, egyértelmű és jogszerű célból történhet. Az adatkezelés jogszerűségének további követelménye, hogy az adatkezelésre a GDPR 6. cikk (1) bekezdése szerinti valamely jogalapra hivatkozással kerülhet sor.
Az adatkezelő az eljárás során többek között elvégezte annak vizsgálatát, hogy a kérdőív kitöltéséről és a kedvezményről szóló tájékoztatás, mint az e-mail küldésének másik célja összeegyeztethető az eredeti adatkezelési céllal. Így nincs eltérő, külön jogalapra.
Jogalap nem megfelelő
Csomagküldő cég adatkezelése során az adatkezelőnek összhangba kellett volna hoznia a vizsgált adatkezelést GDPR szabályaival, melyre azonban nem került sor teljes körűen. A korábbi 2016-os és a jogsértéskor még az adatkezelő által alkalmazott adatkezelési tájékoztató jogalapként még az érintett hozzájárulását jelölte meg. A tájékoztató e pontja tartalmazza továbbá adatkezelési célként a felhasználói elégedettség mérésére vonatkozó kérdőív küldését is, azonban nem mint a státuszüzenettel összeegyeztethető adatkezelési célt. A kedvezményekről ugyanakkor nem volt található információ a tájékoztatóban.
A kérdőív kiküldésére az adatkezelő tájékoztatásával ellentétben az adatkezelőnek nem volt törvényi kötelezettsége. Ez volt a jogsértés megállapításának alapjául szolgáló egyik legfontosabb tény az ügyben.
Az érintettek tájékoztatása nem megfelelő (GDPR 13. cikk)
Az adatkezelő nem nyújtott az általános adatvédelmi rendeletnek megfelelő tájékoztatást az adatkezelésről, melyet az adatkezelő megerősített azzal, hogy elismerte, az adatkezelési tájékoztató módosítása szükséges.
A tájékoztatás, hogy adott feltételekkel az érintett kedvezményesen is tud csomagot feladni az adatkezelő hálózatán keresztül, – olyan tájékoztatás, amely reklámnak minősül. Az ezen tartalmú üzenet közvetlenül nem kapcsolódik a szerződés teljesítéséhez és az azzal kapcsolatos státuszüzenetek küldéséhez, az adatkezelés eredeti céljához. Hanem az egy attól független, szorosan nem kapcsolódó további, direkt marketing tartalmú tájékoztatás és személyes adat-felhasználás. Az adatkezelő honlapján elérhető információk alapján kedvezményt nem (csak) az adott szolgáltatás teljesülésével kapcsolatban kaphat meg az érintett, hanem három másik úton: regisztrációval, már regisztrált tagként ismerősök meghívásával és szintén regisztrált tagként a Kérelmezett által szervezett különleges akciók során. A kézbesítésről szóló tájékoztatástól, mely egyben a szerződés teljesítését szolgálja, a kedvezmény kapcsán elkülönül a kezelt személyes adatok kezelésének célja. És az mint önálló direkt marketing célú adatkezelés nem egyeztethető össze a kézbesítésről szóló tájékoztatással összefüggő adatkezelési céllal. A szerződéses jogalap csak a szolgáltatás igénybevételére alkalmazható, reklám célú üzenetek küldésére nem.
Fentiekre tekintettel szükséges volt az adatkezelő adatkezelési tájékoztatójának módosítása.
Az ügy két legfontosabb tanulsága:
- a jogszerű adatkezeléshez adatkezelés céljának és jogalapjának pontos meghatározása elengedhetetlen
- szintén elengedhetetlen az érintettek megfelelő tájékoztatása a jogszerű adatkezeléshez adatkezelés
***
A GDPR gyakran ismételt kérdések témában e weboldalunkon szintén olvashat. Az a cikk tartalmazza az Általános Adatvédelmi Rendelet szerinti legfontosabb fogalmak tartalmának meghatározását.
***
Jelen cikk célja a tájékoztatás. Tartalma nem minősül jogi tanácsadásnak vagy ajánlattételnek. Amennyiben adatkezeléssel kapcsolatos jogi kérdése van, forduljon hozzánk bizalommal elérhetőségeinken!
Vállaljuk cégek (üzlethelyiség, webáruház, raktár, munkahely), társasházak, intézmények teljes körű adatkezelési dokumentációjának elkészítését és az adatkezeléssel kapcsolatos oktatást is. Amiben még segíteni tudunk: adatvédelmi audit, adatkezelési szabályzatok, adatkezelési tájékoztatók, adatvagyonleltár, adatkezelési nyilatkozatok, közös adatkezeléssel kapcsolatos kérdések, NAIH előtti képviselet, peres képviselet.
Készítve: 2024.09.15.