Tisztelt Igazságügyi Szakértők!
A napokban több esetben is tudomásomra jutott, hogy egyes jelöltséget vállaló, illetve jelöltet támogató kamarai tagok tömeges elektronikus levelek megküldésével kampányolnak.
Szeretném felhívni a figyelmet ezzel kapcsolatban az alábbiakra:
Az igazságügyi minisztérium által vezetett nyilvános és közhiteles nyilvántartásban megtalálható személyes adatok, mint pl.: az igazságügyi szakértő e-mail címe bárki számára megismerhetőek, de ez nem jelenti azt, hogy azok direkt marketing célra szabadon felhasználhatók lennének. Amennyiben ezek az email címek - akár választási eljáráshoz kapcsolódó céllal – felhasználásra kerülnek, úgy az azokat felhasználó adatkezelővé válik és a GDPR szabályai szerint kell eljárnia.
A fenti magatartás egyrészt személyes adatkezelésnek, másrészt természetes személynek, mint reklám címzettje közvetlen megkeresésének minősül.
Az adatkezelés célja tekintetében az adatkezelőnek meg kell határozni az adatkezelés jogalapját, ami lehet:
1. Hozzájárulás: A magyar jog és az uniós közvetlenül alkalmazandó jog között van némi ellentmondás, de a Nemzeti Adatvédelmi és Információbiztonság Hatóság (NAIH) gyakorlata alapján megállapítható, hogy ilyen közvetlen marketingre alapvetően a címzett természetes személy előzetes és kifejezett, tájékoztatáson alapuló hozzájárulása alapján van lehetőség. A hozzájárulás visszavonását folyamatosan biztosítani kell.
2. Jogos érdek: Van olyan (a NAIH által meg nem erősített) értelmezés, amely alapján - különösen, ha a címzettel a küldő korábban üzleti, vagy egyéb kapcsolatban állt - úgynevezett jogos érdek alapján is van lehetőség ilyen közvetlen e-mail küldésére. Jogos érdek esetében: Az adatkezelőnek úgynevezett érdekmérlegelést kell végeznie és érdekmérlegelési teszt formájában dokumentálnia, amelyben többek között az adat kezeléséhez fűződő és a címzett privát szférájának a tiszteletben tartásához fűződő érdekeket kell mérlegre tennie.
3. A címzettet mindkét jogalap esetében alábbi tájékoztatással minden esetben el kell látni különösen:
- a kezelésre kerülő személyes adat forrását,
- az adatkezelő adatkezelési célját
- az adatkezelés jogalapját (ami ebben az esetben vagy hozzájárulás vagy jogos érdek, de ez utóbbi esetben érdekmérlegelési teszttel alátámasztásról is tájékoztatni kellett volna az érintettet)
- a tervezett adatkezelés időtartamát
- az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségeiről;
- adott esetben a személyes adatok címzettjeiről, illetve a címzettek kategóriáiról;
- az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való
- hozzáférést,
- azok helyesbítését,
- törlését
- az adatok kezelésének korlátozását,
- jogos érdek jogalap esetében tiltakozhat a személyes adatok kezelése ellen,
- a felügyeleti hatósághoz címzett panasz benyújtásának jogáról.
4. Az adatkezelőnek a következő nyilvántartásokat kell vezetnie
4.1. Nyilvántartást kell vezetnie az adatkezelőnek az adatkezelési folyamatairól.
4.2. Nyilvántartást kell vezetnie az adatkezelőnek az esetleges incidensektől
Incidenskezelés: Az adatkezelőnek az adatkezeléssel kapcsolatos incidensekről (így például arról a jogellenes megoldásról, hogy az e-mail címzettjei egymás e-mail címeit megismerhetik, mivel nem titkos másolatban lettek feltüntetve) nyilvántartást kell vezetni, illetve a NAIH-nak és az érintetteknek is be kell jelenteni, ha azok a címzettek jogaira és szabadságaira nézve kockázattal járnak (megjegyezzük, hogy ilyen magas kockázatú lehet, ha olyan információ derül ki ezáltal a címzettről akaratán kívül, hogy például mely jelöltekkel szimpatizál és mely jelöltekkel nem).
5. Minden direkt marketingnek számító e-mail, hírlevél, esetében a megkeresésnek tartalmaznia kell a leiratkozás lehetőségét és a leiratkozás tekintetében nem elegendő a leiratkozási link, hanem azt a postai címet is meg kell jelölni, ahova az érintett a papír alapú leiratkozást megküldheti.
Felhívom a figyelmet arra, hogy az adatkezelési és a direktmarketing szabályok megsértése, az okozott károk megtérítésének a kötelezettségén túl - az okozott érdeksérelemtől és a jogsértés súlyától, ismétlődésétől függően - akár több millió forintos nagyságrendű bírságfizetési kötelezettséggel is járhat.
Budapest, 2020. szeptember 04.
Üdvözlettel:
Dr. Borka Zoltán
főtitkár