Avagy hány hozzájárulás kell egy marketing e-mail listára való feliratkozáshoz
Gyakori kérdés, hogy milyen módon kell beszerezni a hozzájárulást egy marketing hírlevél-listára való feliratkozáshoz. Németországban és egyes európai országokban elvárás, hogy a felhasználó a feliratkozását egy további lépésben megerősítse (ez az ún. dupla opt-in). Mivel Európai Uniós szintű szabályozás nincs ebben a kérdésben, így egységes EU-s gyakorlatról sem lehet beszélni. Jelen írás célja, hogy bemutassa mi a magyar joggyakorlat ebben a kérdésben.
A dupla opt-in hatása és jelentősége
A dupla opt-in legegyszerűbb példája az, amikor egy felhasználó feliratkozik egy e-mail marketinglistára, és automatikusan kap egy e-mailt egy linkkel, amelyre kattintva megerősítheti a feliratkozást. Ha ezt bizonyos időn belül nem teszi meg, akkor a feliratkozása nem véglegeseik, és az e-mail címe is törlése kerül, konkrét hírlevelet pedig értelemszerűen nem kap.
A dupla opt-in hozzájárulás-beszerzési módszer alkalmazásával elkerülhető, hogy valaki – akár szándékosan, akár véletlenül – egy másik személy e-mail címével iratkozzon fel az adott hírlevélre. A módszerrel nagymértékben csökken a spamcímek előfordulása a marketinglistákon. Felhasználói élmény szempontjából a dupla opt-in több odafigyelést kíván, azonban a feliratkozás megerősítésére vonatkozó aktív magatartás az érintett felhasználó fokozottabb érdeklődését is jelentheti a vállalkozás vagy az e-mail témája iránt, ami nagyobb elköteleződéshez és végső soron jobb eredményekhez vezethet az e-mail marketing tevékenység során.
Kitekintés: EU-s adatvédelmi jogi megfontolások
EU-s szinten nem jogszabályi elvárás a dupla opt-in, de ennek használatát üdvözlő ajánlások már korábban is születtek. Az Európai Adatvédelmi Testület (EDPB) elődjeként a GDPR és azt megelőzően az adatvédelmi irányelv egységes értelmezését és alkalmazását segítő WP29 hozzájárulásokkal kapcsolatos iránymutatásában is hasonló legjobb gyakorlatot nevezett meg. A WP29 a dupla opt-in használatának szükségességét a „kifejezett” hozzájárulás ellenőrizhetősége körében látta alkalmazandónak:
„A hozzájárulás kétlépcsős ellenőrzésével is meg lehet győződni a kifejezett hozzájárulás érvényességéről. Az érintett például elektronikus levelet kap, amely értesíti arról, hogy az adatkezelő egészségügyi adatokat tartalmazó nyilvántartást szándékozik kezelni. Az adatkezelő az elektronikus levélben kifejti, hogy egy konkrét adatkészlet konkrét célra történő felhasználásához való hozzájárulást kér. Ha az érintett beleegyezik ezeknek az adatoknak a felhasználásába, az adatkezelő a „Hozzájárulok” nyilatkozatot tartalmazó elektronikus válaszlevelet kér. A válasz elküldését követően az érintett egy ellenőrző linket kap, amelyre rá kell kattintani, vagy ellenőrző kódot tartalmazó sms-üzenetet kap a beleegyezés megerősítéséhez.”
A fent idézett WP29 iránymutatásában foglaltakat szó szerint átvette az Európai Adatvédelmi Testület hozzájárulásról szóló iránymutatásában is. Ez ugyan nem jelent kifejezett kötelezést a dupla opt-in (vagy ahogyan a WP29, illetve az Európai Adatvédelmi Testület fogalmaz „hozzájárulás kétlépcsős ellenőrzése”) használatára, de erősen ajánlott lehet a GDPR kifejezett hozzájárulás beszerzésének későbbi bizonyíthatósága körében.
Németországban az EU-s adatvédelmi iránymutatásoktól függetlenül, egy helyi jogszabályra (a német versenytörvényre) hivatkozva alakult ki az a bírósági gyakorlat, hogy szükséges a dupla opt-in marketing e-mailek esetén.
A német adatvédelmi hatóságok egyeztető fóruma a „Datenschutzkonferenz” 2022 februárjában kiadott marketingtevékenységekkel kapcsolatos iránymutatása tovább taglalja a dupla opt-in kérdését is. A Datenschutzkonferenz fenntartja a korábbi bírósági gyakorlatot és továbbra is úgy látja, hogy amennyiben digitális térben kér egy adatkezelő hozzájárulást, akkor szükséges egy további aktív magatartás a felhasználótól (például egy visszaigazoló e-mailben egy linkre kattintással), hogy megfelelően dokumentált legyen a kifejezett hozzájárulás.
Ugyanígy Ausztria is a dupla opt-in mellett foglalt állást egy adatvédelmi hatósági döntésében, azonban a német és WP29-es érveléssel ellentétben a GDPR 32. cikkéből vezette el ezt a lehetőséget. Az osztrák adatvédelmi hatóság határozata szerint ugyanis megfelelő biztonsági intézkedés az, ha a véletlenszerű vagy más személy általi (esetlegesen rosszhiszemű) feliratkozás elkerülése érdekében a felhasználó egy külön e-mailben megerősíti a feliratkozást.
Magyar gyakorlat a dupla opt-in kérdésében
Magyarországon nincs kikristályosodott gyakorlat a dupla opt-in szükségességével kapcsolatban.
A magyar adatvédelmi hatóság (NAIH) 2021-ben egy alapvetően érintetti joggyakorlással kapcsolatos határozatában taglalta a dupla opt-in kérdését. A határozat tényállása szerint egy távközlési szolgáltató nem megfelelően biztosította az érintett számára a marketing e-mailekről való leiratkozás lehetőségét. Ebben a kontextusban a hatóság azonban a hozzájárulás beszerzésének a problémáját is érintette:
„A feltárt tényállás szerint a Kérelmezett a kapcsolati adatok (telefonszám, email cím) rögzítése esetén semmilyen módon nem ellenőrzi az adott kapcsolati adat feletti ellenőrzési jogosultságot, illetve ha a – személyes adatnak minősülő – kapcsolati adatot nem az arra jogosult adja meg, nem kér semmilyen igazolást arról, hogy a kapcsolati adat (telefonszám, email) jogosultja ahhoz hozzájárult-e. Az általános adatvédelmi rendelet 6. cikk (1) szerinti jogalap meglétét az adatkezelő az adatkezelés minden szakaszában köteles biztosítani. Például egy egyszeri kód megadásának megkövetelése, melyet SMS-ben vagy emailen az adott telefonszámra illetve email címre küld, az összes Kérelmezőhöz hasonló esetet megelőzheti, és egy nagy hírközlési szolgáltató esetén ez semmiképpen nem aránytalan kötelezettség.
A Kérelmezett minősül adatkezelőnek és köteles eleget tenni az általános adatvédelmi rendelet szerinti adatkezelői kötelezettségeknek, ezen kötelezettséget részben sem háríthatja át egyes ügyintézőire, és azok egyéni hibáira, vagy más harmadik személyekre akik a személyes adat forrásai. Az adatkezelő csak olyan személyes adatot kezelhet, amelynek forrása jogszerű, ha erről semmilyen észszerű módon nem győződik meg, akkor a felelősség alól nem mentesülhet.”
A NAIH határozata érdekes abból a szempontból, hogy a marketing e-mail listára való feliratkozás során adott hozzájárulás bizonyíthatósága körében példaként megfelelő intézkedésnek tartja a hozzájárulás kétlépcsős ellenőrzését. Ugyancsak érdekes, hogy a NAIH ezt az opciót csak egy „nagy hírközlési szolgáltató esetén” látja arányos kötelezettségnek.
A fentiek további kérdéseket vetnek fel: a dupla opt-in-t a NAIH csak példaként említi, ebből következik-e az, hogy más megoldások is jogszerűek lehetnek? Ha igen, akkor milyen más hasonló intézkedést tehet egy adatkezelő? Továbbá kérdéses, hogy csak nagy hírközlési szolgáltató esetén arányos egy ilyen kötelezettség vagy általánosan nagyobb adatkezelők esetén rendelné ezt alkalmazni a NAIH? Kérdés az is, hogy hogyan lehetne megállapítani, hogy egy adatkezelő elég nagy ahhoz, hogy ilyen kötelezettségek alanyává váljon.
A jövő
Tény, hogy a felhasználók a lehető legegyszerűbb megoldásokat preferálják, így amíg a dupla opt-in nem lesz általánosan bevett gyakorlat, addig könnyen előfordulhat lemorzsolódás a feliratkozásnál. Az elmúlt néhány évben azonban a felhasználók számos újdonsággal találkoztak, elég csak a cookie-hozzájárulásokra gondolni. Könnyen lehet, hogy a dupla opt-in, ami ma még ritkán fordul elő, néhány év múlva már bevett iparági gyakorlat lesz, hasonlóképpen Ausztriához és Németországhoz. Várható, hogy hamarosan Magyarországon is több hatósági döntés vagy ajánlás lát napvilágot ebben a témában.
Szerzők:
| dr. Halász Bálint | dr. Sziládi Péter |
| partner, ügyvéd | ügyvédjelölt |
Categories: Adatvédelem
