Te vajon tudod, hogy merre, melyik országban futnak az email marketingeddel gyűjtött adataid? Jó ha figyelsz rá, mert akaratodon kívül is törvénysértést követsz el, ha a feliratkozók tudta nélkül külföldre továbbítod személyes adataikat, például email címüket.
Népszerű szolgáltatások, jó bejutási arány, nagy tömegű levélküldésnél is kedvező ár – ezek miatt kedvelik nálunk is a világ legnépszerűbb email marketing programjait, például a MaliChimp, vagy Aweber szolgáltatásait. Egy a gond velük: Ahogy azt ma Magyarországon a legtöbben csinálják, úgy nem törvényes a használatuk.
Az átjárható határok és a felhőalapú szolgáltatások világában a felhasználók többségének esze ágában sincs azon gondolkodni, hogy hova kerülnek az internetre töltött adatai. Hol működik a Facebook sok ezer számítógépe? Hol vannak a Google adatparkjai? A napi működés szempontjából abszolút mindegy.
Ha például a Zoho CRM szoftvert használjuk online formában, akkor feltehetően egy indiai szerverparkkal állunk kapcsolatban. Ha a világ egyik legnagyobb diszkont tárhelyszolgáltatójánál (GoDaddy) bérlünk osztott tárhelyet, akkor egy amerikai szervert hozunk működésbe. A Google eleve évekig titkolta, hol működnek szerverei. Aztán valamikor 2012 őszén jelentette meg az első nyilvános fotósorozatait szervertermeiről, melyeket az Egyesült Államok különböző területein, vagy éppen Belgiumban és Finnországban létesített. Valószínű, hogy az európai adatforgalmat a finn központból irányítják, de pontosan soha nem tudhatod, hogy hol is tárolódnak a Google Drive-ban őrzött anyagaid.
Tudnod kell tehát, hogy akaratodon kívül is számos esetben megvalósítod a külföldre történő adattovábbítást a következő esetekben:
- külföldi email marketing szoftvert, crm rendszert, vagy bármi olyan programot használsz, melyben a gyűjtött személyes adatok (címek) a szolgáltató szerverén tárolódnak (pl. MailChimp, Aweber, Zoho);
- saját szoftveredet futtatod, de a tárhelyed külföldi szolgáltatónál működik külföldi szerveren (pl. GoDaddy);
- külföldön élő személy interneten keresztül hozzáférést kap a Magyarországon tárolt adatokhoz.
A magyar törvényhozás ehhez képest egy olyan adatvédelmi jogszabályt alkotott, melyek miatt ezeknek a programoknak a használatával könnyen törvénysértést követhetsz el.
A hatályos adatvédelmi törvény az Európai Unió területén történő adatkezelést minden további feltétele nélkül engedélyezi, azt úgy kell tekinteni, mintha belföldről lenne szó. Az EU-n kívüli térség azonban több figyelmet kíván.
A külföldre, harmadik országba történő adattovábbítás két esetben lehetséges:
- az érintett kifejezett hozzájárulásával
- ha az adatkezelés feltételei maradéktalanul teljesülnek, s biztosított a külföldre kerülő adatok védelme.
A kifejezett hozzájárulás azt jelenti, hogy az érintettnek teljes egészében tudatában kell lennie annak, hogy mi történik az adataival, s ennek elfogadásához egy tudatos és határozott lépésre van szüksége. Például egy hírlevél-feliratkozó boxban ott van egy kérdés, hogy „hozzájárulok adataim külföldre történő továbbításához”. Ez a box nem lehet előre kitöltött, a pipát a feliratkozónak kell beletennie. Ellenkező esetben ugyanis elkerülheti a figyelmét, s egyáltalán nem biztos, hogy tudatosan adja a hozzájárulását.
A másik feltétel az adatok megfelelő szintű védelme. Ezt egyenként ellenőrizni szinte lehetetlen. Az Európai Bizottság állít össze listát azokról az országokról, melyek adatkezelését biztonságosnak ítéli. Ilyen döntés született a következő országokról: Feröer-szigetek, Jersey, Argentína, Svájc, Guernsey, Man-sziget. Egyik sem tartozik a legnépszerűbb marketingszoftvereket működtető cégek otthonai közé. Például nincs rajta a listán az USA.
Az Egyesült Államok területén az EU Bizottság szerint két esetben lehet megfelelő az adatvédelem:
- ha az adattovábbítás olyan cég számára történik, amelyik szerepel az u.n. Safe Harbor (Biztonságos Kikötő) listán. Az ezen a listán szereplő cégek vállalták, hogy teljesítik az USA kormánya által kiadott adatvédelmi irányelveket;
- ha az adattovábbítás olyan cégek számára történik, melyek utas-nyilvántartási adatokat továbbítanak az USA vámügyi és határvédelmi szerveinek (elsősorban tehát a légi- vagy hajózási forgalommal kapcsolatos vállalkozások);
- továbbá megfelelő lehet, ha az adattovábbításban részt vevő vállalatok kötnek egymással olyan megállapodásokat, melyek az adatkezelés minden részletét megfelelő módon szabályozzák.
Aki előfizet egy népszerű email marketing szoftver publikus csomagjára, feltehetően nem köt egyedi szerződést a szolgáltatóval, s nem tájékozódik különösképpen a nemzetközi egyezményekről sem. Eligazítást nyújthat a szolgáltató adatkezelési tájékoztatója – ha fellelhető az oldalán. Jó tudni azonban, hogy egy amerikai szolgáltató kiválasztásával a magyar marketinges szürke sávban lavírozik. Ha nincs kifejezett hozzájárulásod a külföldre történő adattovábbításra, akkor egy esetleges hatósági vizsgálódás esetén meglehetősen nehezen tudod igazolni az adatkezelés jogszerűségét.
A témában részletes cikket közölt az atlatszo.hu.
Forrás: 2011. évi CXII. tv. 8.§