2,94 milliárd bírság a Vodafone-nak
A közelmúltban számoltunk be a spanyol adatvédelmi hatóság (AEPD) új gyakorlatáról, mely szerint a tőlük megszokott sok kisebb bírság mellett néhány különösen nagy cégnek is a körmére néznek adatvédelmi ügyekben. Ennek első állomása a 2021. januári 6 millió euró összegű bírság volt a Caixabank ellen, ami az AEPD addig kiszabott legmagasabb bírsága volt.
Csak volt, mivel alig két hónapot kellett várni, hogy megdöntsék a saját rekordjukat. 2021. március 11-én jelentették be, hogy 8.15 millió euró (2.94 milliárd Ft) bírsággal sújtják a Vodafone spanyolországi ágazatát az adatvédelmi rendelkezések rendszeres és súlyos megsértése miatt.
A rekordösszegű bírság négy részből tevődik össze, ezek:
- 4 millió euró a GDPR 28. cikkének megsértése miatt, mivel a Vodafone által igénybe vett adatfeldolgozók nem biztosították a megfelelő és kötelező garanciákat, illetve technikai és szervezeti intézkedéseket az általuk kezelt adatok megfelelő védelmére. A hatóság kiemelte, hogy az adatfeldolgozók többek között nem rendelkeztek írásos engedéllyel vagy utasítással a Vodafone-tól az alkalmazandó intézkedések tekintetében,
- 2 millió euró a GDPR 44. cikkének megsértéséért, mivel a Vodafone olyan harmadik országokba is engedélyezett adattovábbításokat, melyekben nem volt biztosított a kérdéses adatok európai szintű védelme,
- 150 000 euró a spanyol információs törvény (34/2002, of 2002.07.11) megsértése miatt, mivel a Vodafone úgy folytatott marketing tevékenységet, hogy azt véletlenszerűen kiválasztott telefonszámokra és e-mail címekre célozta, anélkül, hogy ezeket összevetette volna azon személyek listájával, akik korábban tiltakoztak személyes adataik marketing célú felhasználása ellen (Robinson lista), végül
- 2 millió euró a spanyol telekommunikációs törvény megsértése miatt, mivel marketing tevékenységét azután is folytatta, hogy az érintettek az ellen kifejezetten tiltakoztak.
Az AEPD nem titkolta, hogy mi motiválta a rekordbírság kiszabásában: a Vodafone folyamatos, következetesen jogszegő magatartása. A vizsgálat során a cég nem tudott rá megfelelő magyarázatot adni, hogyan fordulhat elő, hogy az érintettek folyamatosan megkereséseket kapnak tőle, holott korábban (sok esetben nem egyszer) jelezték, hogy arra nem tartanak igényt. Korábban már a Hatóság is több ízben utasította a Vodafone-t ezek felfüggesztésére.
Szintén kiemelte a Hatóság, hogy a Vodafone 2018 januárja óta több, mint 50 adatvédelmi bírságot kapott az ellenük folyamatban levő 162 adatvédelmi ügyben, melyeknek jelentős része a cég telefonos marketing csoportjával kapcsolatos. Az elmúlt években Spanyolországban a telekommunikációs szektor jelentős növekedésen ment keresztül, ezért is kiemelten fontos, hogy ennek az ágazatnak a vezető szereplője betartsa a hatályos adatvédelmi szabályokat. Ennek teljesítésére a Hatóság 6 hónapot adott.
A Vodafone még nem döntött a válaszlépésről, de várhatóan meg fogják támadni a döntést, melyet aránytalannak neveztek, egyben kijelentették, hogy a Vodafone elkötelezett aziránt, hogy ügyfelei személyes adatait a lehető legbizalmasabban, biztonságosan kezelje – egy állítás, mellyel a Hatóság egyértelműen nem értett egyet.
Érdekes egyébként megnézni, hogy a bírságokat összefoglaló weboldalon a Vodafone összesen 42 alkalommal kapott bírságot a GDPR alkalmazása óta, melyből 4 kivételével valamennyi Spanyolországban született, valamint mindenképp említendő, hogy egy több mint 12 millió eurós bírságot Olaszországban is begyűjtött már a multi.