35M forint direkt marketingért és semmi elmaradt adatvédelmi hatásvizsgálatért
Az angol adatvédelmi hatóság (ICO) július 2-án 90.000 GBP összegű bírsággal sújtotta a Decision Technologies Limited nevű céget jogellenes direkt marketingért, mivel a cég kéretlen kereskedelmi tartalmú elektronikus üzeneteket küldött az érintetteknek. 2017 júliusa és 2018 májusa között.
Ebben az időszakban a Decision Technologies körülbelül 15 millió ilyen üzenetet küldött a feliratkozott felhasználóknak, ezek mellett még további 1,1 millió olyan email került elküldésre, melyek esetében nem volt a GDPR szabályai szerint a hozzájárulás beszerezve. A GDPR elvárja, hogy a hozzájárulás minden esetben konkrét, megfelelő tájékoztatás alapuljon, legyen önkéntes, és egy egyértelmű tevőleges magatartásban fejeződjön ki. A 7. cikk szerint továbbá az adatkezelőnek a későbbiekben képesnek kell lennie arra, hogy bármikor igazolja a hozzájárulás jogszerűségét. Az ICO megállapította, hogy a szabályszegés oka mulasztás volt, amely arra vezethető vissza, hogy a cég nem tette meg a szükséges szervezési és technikai intézkedéseket.
Néhány héttel később, július 15-én szintén az Egyesült Királyságban történt, hogy a kormány beismerte a Szabad Jogok Csoportjának (’ORG’) küldött levélben, hogy a Covid-19 járvánnyal kapcsolatos tesztelési és nyomkövetési program keretében nem végzett előzetes adatvédelmi hatásvizsgálatot, annak ellenére, hogy az a GDPR 35. cikke szerint szükséges lett volna.
A kormánya ugyanakkor kiemelte, hogy az elmaradt hatásvizsgálat azóta már a véglegesítési fázisban van, köszönhetően a Hatósággal való közreműködésnek. A levél kitér rá, hogy valóban szükség lett volna a hatásvizsgálatot előzetesen elvégezni, azonban rámutat, hogy a nyomkövetési programnak a lehető legnagyobb sürgősséggel kellett elindulnia, hogy segítse a védekezést az elmúlt évszázad legsúlyosabb közegészségügyi válsága közepette. A Kormány kijelentette, hogy célja a programot olyan módon üzemeltetni, hogy az minden szükséges adatvédelmi szabálynak megfeleljen és csökkentse a személyes adatokkal való visszaélések lehetőségét.
Roppant érdekes látni, hogy a hatóságok, illetve az egyéb illetékes állami szervek mennyire empatikusak és megbocsátók, amikor valamit a saját kötelezettségeik közül „felejtenek el” teljesíteni, hiszen az appra gyorsan volt szükség. Ezzel szemben, ha valamelyik halandó adatkezelő mulasztja el véletlenül valamely jogszabályi kötelezettségét teljesíteni, akkor nincs kecmec, büntetnek.