Manapság már napi szinten kapunk különböző ügyfélelégedettség-felméréseket, hiszen a legkisebbektől a legnagobb cégekig mindenkinek elemi érdeke, hogy minél jobban megismerjék a termékeiket, szolgáltatásaikat igénybe vevő személyek véleményét annak érdekében, hogy az esetleges hibák kijavításra kerülhessenek és a jövőben még jobb produktummal legyenek képesek előállni. De hogy kell, vagy kellene ezt adatvédelmi szempontból jogszerűen, az ügyfelek magánszféráját legkevésbé érintve csinálni?
Mindenekelőtt fontos tisztázni, hogy mivel az online ügyfélelégedettség-felmérést általában az ügyfelek e-mail címére (vagy egyéb elérhetőségére) juttatják el, valamint a kitöltött kérdőívek az ügyfél válaszait tartalmazzák, ezért az online ügyfélelégedettség-felmérés a GDPR 4. cikk (1) bekezdése szerinti adatkezelésnek minősül, és mint ilyennek, meg kell felelni a GDPR rendelkezéseinek.
A tényleges adatkezelés megkezdése előtt – a GDPR 5. cikk (1) bekezdés c) pontjára, azaz az adattakarékosság elvére figyelemmel – érdemes úgy összeállítani a kérdőívet, hogy a lehetőleg a válaszokból minél kevesebb következtetést lehessen levonni az ügyfél magánéletére nézve, valamint ne tartalmazzon olyan kérdéseket, aminek megválaszolása nyomán a GDPR 9. cikk (1) bekezdése szerinti különleges személyes adat keletkezik pl. egészségügyi adat, politikai, vallási meggyőződésre vonatkozó adat. Utóbbi már csak azért is problémás lehet, mivel ha ilyen típusú adatot is kezelünk, akkor a jogalap választás során nem elég a GDPR 6. cikk (1) bekezdése szerinti jogalapot választanunk, hanem azt „meg kell támogatni” egy GDPR 9. cikk (2) bekezdés szerinti jogalappal is.
A jogalap kérdéskörére rákanyarodva általában két jogalap jöhet szóba online ügyfélelégedettség-felmérés esetén:
- GDPR 6. cikk (1) bekezdés a) pontja, azaz az érintett – jelen esetben a megkeresett ügyfél – hozzájárulása. Ennél a jogalapnál kiemelendő, hogy a marketing megkereséshez hozzájáruló ügyfelek nem egyenlők az online ügyfélelégedettség-felméréshez hozzájáruló ügyfelekkel, mivel a kettő két különböző adatkezelési cél, így ha van egy marketing hozzájáruló adatbázis, nem azt jelenti, hogy azt automatikusan fel lehet használni erre a célra is. Ugyanúgy meg kell felelni az online ügyfélelégedettség-felmérés esetén is a GDPR 7. cikkében vázolt feltételeknek, amennyiben az adatkezelés jogalapját hozzájárulásra alapozzuk.
- GDPR 6. cikk (1) bekezdés f) pontja, azaz az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ez a jogalap ugyan mindig hordoz némi rizikót magában, azonban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) NAIH-2857/2021. számú határozatában (a továbbiakban: határozat) megfelelő jogalapnak találta online ügyfélelégedettség-felmérés végzéséhez.
Függetlenül attól, milyen jogalapot választunk, kiemelten fontos a teljeskörű tájékoztatás, hiszen a GDPR 5. cikk (2) bekezdése értelmében az Adatkezelőnek kell tudnia bizonyítani, hogy az adatkezelése jogszerű, amibe természetesen beleértendő annak igazolása is, hogy előzetesen megadta a GDPR 12-14. cikkének megfelelő tájékoztatást. A határozat által tárgyalt ügyben az adatkezelő az ügyfélelégedettség-mérés jogalapját a GDPR 6. cikk (1) bekezdés f) pontjára alapította. A határozat 3.1. pontja szerint a 6. cikk (1) bekezdés f) pontjára alapított adatkezelés esetén az általános adatvédelmi rendelet (47) bekezdése alapján fokozott tájékoztatási elvárás érvényesül. Eszerint az általános adatvédelmi rendelet 13. cikkében említett speciális információkon túl többlet feltétel többek között, hogy az érintett ésszerű elvárása ki kell terjedjen az adott adatkezelésre, arra számítania kell, és valamilyen közvetlen ügyféli vagy egyéb kapcsolat kell fennálljon az érintett és az adatkezelő között. A GDPR (47) bekezdése ezt úgy fogalmazza meg, hogy releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között.
Tekintettel arra, hogy a kérdőívek összeállításához általában egy „külsős” beszállító által biztosított szoftver (jellemzően Microsoft Forms, Google Forms) segítségét vesszük igénybe, mint adatfeldolgozót, ezért
- egyrészt fontos, hogy legyen velük a GDPR 28. cikk (3) bekezdésének megfelelő adatfeldolgozói szerződés (ez a példaként említett szoftverek esetében a használatukhoz szükséges regisztráció során blanketta szerződés formájában elfogadásra kerül),
- másrészt be kell mutatni az adatkezelési tájékoztatóban, mint az online ügyfélelégedettség során igénybe vett adatfeldolgozót.
- Továbbá a megfelelő tájékoztatáson felül kiemelet szerepe van az a GDPR III. cikkében felsorolt érintetti jogok biztosításának. Itt van különbség a két jogalap között, mivel
- GDPR 6. cikk (1) bekezdés a) pontjára alapított adatkezelési esetén biztosítani kell a törléshez való jogot, ami gyakorlatban a GDPR 7. cikk (3) bekezdésében deklarált visszavonáshoz való jogot jelenti.
- GDPR 6. cikk (1) bekezdés f) pontjára alapított adatkezelés estén pedig az adatkezelés megkezdése előtt és az adatkezelés teljes élettartama alatt biztosítani kell a tiltakozáshoz való jogot.
Végül a megőrzési idő megállapítása során érdemes átgondolni azt, hogy az online ügyfélelégedettség-felmérés célja általában az, hogy egy bizonyos termék, szolgáltatás egy vagy több jellemzője kapcsán statisztikai adatok keletkezzenek (amik ugye már nem személyes adatok), így érdemes azt az időpillanatot a megőrzési idő végpontjaként meghatározni, amikor az ügyfelektől beérkező kérdőíveket véglegesen statisztikai adattá alakítjuk.
Mint azt láthatjuk, egy széles körben elterjedt, ránézésre egyszerűnek tűnő üzleti folyamat adatvédelmi szempontból igényel némi előkészületet és rejthet buktatókat. Azonban érdemes végiggondolni és a jogszerűség talajára helyezni eljárásunkat, hiszen az ügyfelekkel való kommunikáció – különösen, ha a véleményükre vagyunk kíváncsiak – nem csak az esetleges bírságok elkerülése miatt fontos (a határozattal érintett adatkezelőt például 5 millió forintra bírságolta a NAIH), hanem a bizalom kiépítése miatt is, hogy ügyfeleink tuják, nálunk jó kezekben vannak személyes adataik.
