A tavaly májusi hatálybalépése óta eltelt több mint fél évben életünk szerves részévé vált a GDPR, akár felhasználóként tapasztalva a tömeges hozzájárulási kérelmeket, párbeszédpaneleket és e-maileket, akár a piacon tevékenykedő szolgáltatóként, a sokszor átjárhatatlanul szövevényesnek tűnő adatvédelmi szabályozásnak való megfelelésre törekedve. Dr. Beraczkai Dávid, a Hennelné dr. Komor Ildikó Ügyvédi Iroda munkatársának írása.

Az esetleges kezdeti nehézségeken, illetve az alapvető GDPR-compliance megvalósításán már számos vállalkozás túl van, azonban általános tapasztalatként láthatjuk, hogy több, a korábban hatályos adatvédelmi szabályozás által lehetővé tett – vagy éppen csak megtűrt –, összetettebb adatkezeléssel járó tevékenységi forma vált a GDPR hatályba lépése óta jóval nehezebben kivitelezhetővé, vagy akár egyes esetekben jogszerűen egyáltalán nem megvalósíthatóvá.

A jelen cikkünkben egy efféle, az átlagosnál némileg összetettebb adatkezelési megfontolásokat igénylő, mindazonáltal igen magas gazdasági értékű és gyakorlati hasznú tevékenység, a lokációadat-alapú reklámozás kivitelezhetőségében segítünk eligazodni.

Mit értünk lokációalapú reklámozás alatt?

Olyan direkt marketingnek minősülő gazdasági reklámtevékenységet, amelynek körében a reklámüzenet által megszólított személy részére közvetített üzenet vagy ajánlat a célzott személy mobileszközének földrajzi helyzete (vagyis lokációadatai) alapján kerül meghatározásra és közvetítésre.

Ilyen reklámtevékenység például, ha egy lokációalapú direkt marketinget folytató üzlet előtt elsétál egy, a lokációs adatait az üzlettel – vagy az üzlet marketingjét végző céggel – megosztó személy, akinek a figyelmét így push-üzenet által, valós időben és azonnal felhívhatja a direkt marketinget végző vállalkozás az üzletben éppen zajló promócióra vagy akcióra.

Amint az a fenti példából is látszik, ennek a reklámtevékenység-fajtának a központi és meghatározó eleme a megszólítandó személy lokációs adata, illetve az azon a reklámozás érdekében végzett adatkezelés, amely a GDPR és az amellett irányadó jogi szabályozás vonatkozásában személyes adatnak, illetve személyes adat kezelésének minősül, és egyúttal maga után vonja a GDPR adatkezelési szabályainak alkalmazandóságát.

A szerteágazó szabályozás (lasd keretes írásunkat) ellenére a lokációalapú reklámok témakörének középpontjában alapvetően egy személyes adatkategória, a lokációs adat áll, ezt az ePrivacy rendelet a következőképpen definiálja: „bármilyen adat, amelyet elektronikus hírközlési hálózaton vagy elektronikus hírközlési szolgáltatásban kezelnek annak érdekében, hogy egy nyilvánosan elérhető elektronikus hírközlési szolgáltatás felhasználója terminál berendezésének a földrajzi helyzetét megjelöljék”.

A lokációs adatokat pedig a GDPR értelmében természetesen személyes adatnak kell tekintenünk, így ahhoz, hogy ne csak eredményesen, hanem jogszerűen is felhasználhassa egy vállalkozás ezt az adatot, a GDPR-nak megfelelő módon kell kezelnie azokat.

Milyen szabályok vonatkoznak a lokációalapú reklámokra?

A lokációalapú reklámozás jogi szabályozása többszörösen összetett.

1. A gazdasági reklámtevékenységről szóló 2008. évi XLVIII. törvény (Grt.) általános és direkt marketingre vonatkozó rendelkezései egyaránt alkalmazandóak rájuk, mivel olyan gazdasági reklámoknak tekintendőek, amelyek meghatározott személynek címzettek.

2. Az elektronikus kereskedelmi szolgáltatásokról szóló 2001. évi CVIII. törvény (Elkertv.) rendelkezései is vonatkoznak rájuk, mivel elektronikus úton közölt hirdetéseknek minősülnek.

3. Alkalmazandó rájuk az ePrivacy irányelv (2002/58/EC irányelv), illetve az azt hamarosan felváltó ePrivacy rendelet.

4. Mivel a lokációalapú reklámozás személyes adatok kezelésével jár, így a GDPR szabályozása is irányadó e körben – ráadásul a megoldandó jogi feladatok oroszlánrészét ez utóbbi jogszabály adja.

Hogyan végezhető mindez jogszerűen?

A lokációalapú reklámozáshoz elengedhetetlenül szükséges földrajzi adatok kezelésének jogszerűsége érdekében több, a GDPR által előírt intézkedést is teljesítenie kell az effajta direkt marketinget végezni kívánó vállalkozásoknak, ezek pedig a következőek: hozzájárulás kérése, a profilalkotás kérdése, adatvédelmi nyilvántartás vezetése, adatvédelmi hatásvizsgálat elvégzése. Nézzük részletesen!

Hozzájárulás kérése: a GDPR adatkezelési jogalapokról szóló 6. cikke határozza meg, hogy melyek azok a körülmények, amelyek mentén a személyes adatok jogszerűen kezelhetőek. Hamar arra a megállapításra juthatunk, hogy a direkt marketing, kiváltképp annak lokációadaton alapuló változata esetében az érintett személy hozzájárulásán kívül egyéb jogalap jogszerűen nem hívható fel – így a lokációalapú reklámozást végezni kívánó vállalkozásoknak az efféle direkt marketinggel megkeresni kívánt személyek hozzájárulását be kell szerezniük a GDPR szabályai szerint.

A profilalkotás kérdése: a GDPR vonatkozásában profilalkotásról akkor beszélhetünk, ha egy érintett adatait az adatkezelő oly módon kapcsolja össze, hogy az összekapcsolás által egy átfogóbb képet kap az érintett személy preferenciáiról, illetve azok által előjelezni, megbecsülni tudja az érintett esetleges döntéseit (predikció). Ez egy marketingcélú adatkezelés körében vezetett adatbázis kapcsán könnyűszerrel előfordulhat, azonban ez esetben a profilalkotásról – illetve amennyiben automatizált döntéshozatal kiterjed ezáltal az érintettre, például akciós ajánlatok kapcsán, úgy erről is – tájékoztatni kell az érintetteket a megfelelő módon és formában.

Adatvédelmi nyilvántartás vezetése: mivel a földrajzi adatok kezelése az EU Adatvédelmi Munkacsoportjának (WP29) állásfoglalása értelmében „valószínűsíthetően magas kockázattal” járó tevékenység, továbbá mivel az e célból vezetett nyilvántartások jellemzően nem alkalmi jellegűek, a lokációs adatok kezelőinek kötelező adatvédelmi nyilvántartást vezetniük tevékenységük kapcsán. Ezzel összhangban teljesíteniük kell minden, ezzel járó adminisztratív kötelezettséget, amelyet a rendelet előír, valamint egy hatósági ellenőrzés esetén a megfelelően vezetett nyilvántartást az ellenőrző hatóság munkatársainak be kell mutatniuk.

Adatvédelmi hatásvizsgálat elvégzése: az előző pontban hivatkozott, „valószínűsíthetően magas kockázattal” járó kategória értelmében kötelező továbbá az adatkezelők számára földrajzi adatok kezelése esetében az adatvédelmi hatásvizsgálat elvégzése is – e körben pedig külön hangsúlyozzuk, hogy nem elég pusztán a hatásvizsgálatot elvégezni, hanem annak eredményeit, illetve az esetleges maradványkockázatait is a GDPR előírásai szerint kell kezelni.

Összefoglalásképpen elmondhatjuk, hogy korántsem lehetetlen a fentiekben levezetett lokációalapú reklámozáshoz hasonló, modern, technológia-intenzív, illetve összetett adatkezeléssel járó üzleti tevékenységek végzése a GDPR világában sem, ezek kellő körültekintéssel és a jogi kockázatok megfelelő és szakszerű kezelésével a jövőben is könnyen sikerre vihetőek.

A cikk szerzője: dr. Beraczkai Dávid, ügyvédjelölt