5,5 milliárd forint adatvédelmi bírság többszöri jogsértésért
Az olasz Adatvédelmi Hatóság (Garante) július 9-én kiadott döntéseiben adatvédelmi bírságot szabott ki két olasz telekommunikációs cégre: 16,7 millió euró bírságot kapott a WindTre, Olaszország legnagyobb mobilcége, illetve 800.000 eurót az Iliad Italia, amely a negyedik legnagyobb olasz telekommunikációs vállalat.
A WindTre esetében a bírság hozzájárulás nélküli marketingtevékenység miatti panaszból indult, melyet több ügyfél is jelentett, azonban végül több jogsértést is megállapított a Hatóság. Számos esetben a hozzájárulás megszerzése nem felelt meg a jelenlegi szabályoknak, melyek sokszor harmadik fél által promóciós tevékenység során került beszerzésre, a hozzájárulás visszavonása nem vagy csak nehézkesen volt lehetséges, valamint a tiltakozást, illetve a hozzájárulás visszavonását követően is kapták a kéretlen üzeneteket az érintettek.
A fentieken túl a vizsgálat során az is bebizonyosodott, hogy a cég harmadik felek részére is kiadta az érintetti adatokat, erre azonban szintén nem rendelkeztek jogszerű felhatalmazással.
Számos bejelentés érkezett a Hatósághoz, melyek szerint a cégtől az érintettek marketing célú üzeneteket kaptak SMS, e-mail, fax és telefonhívások formájában azután is, hogy visszavonták hozzájárulásukat, illetve gyakorolták a tiltakozáshoz való jogukat. Ebben a vonatkozásban a WindTre olyan szerződéseket hozott fel védelmére, melyeket még 1998-99-ben kötött ügyfeleivel, amikor még a szerződés aláírása egyben hozzájárulást is jelentett a marketing megkeresések fogadásához.
Bizonyos esetekben az érintettek hozzájárulását nem maga a WindTre, hanem kereskedelmi és promóciós partnerei szerezték be, de volt olyan is, hogy a cég a hozzájárulást az általa üzemeltetett appokon keresztül szerezte meg, pontosabban mondva, követelte ki. Az ügyfelek egy része panaszt is tett amiatt, hogy az app nem volt használható a marketing üzenetek elfogadása nélkül, és minden új hozzáféréskor az app új hozzájárulást kértek az adatok különböző célú felhasználására: marketing, profilalkotás, harmadik féllel történő megosztás és helymeghatározás céljából.
A véletlenül megadott hozzájárulást vissza lehetett vonni, azonban ezt csak 24 órás várakozás után lehetett megtenni, ami a Garante szerint szintén aggályos, hiszen ebben a 24 órában az ügyfelek adatai már felhasználásra kerülhettek megfelelő hozzájárulás nélkül. Itt érdemes megjegyezni, hogy az új WindTre app bevezetésével már nem szükséges hozzáférésenként hozzájárulást adni az adatfeldolgozáshoz.
A hozzájárulás visszavonásáról a cég nem vezetett un. „black listet”, mellyel elkerülhette volna, hogy aki egyszer tiltkakozott az adatkezelés ellen, az újra bekerülhessen a címzetti körbe.
A WindTre sok esetben nem válaszolt az ügyfelek megkereséseire, amikor vissza akarták vonni hozzájárulásukat, vagy érvényesíteni akarták tiltakozáshoz való jogukat. A cég válaszában ezt azzal indokolta, hogy sok ügyfél ilyen irányú kérése nem a kijelölt csatornán keresztül jutottak el hozzá, ezért nem kerültek feldolgozásra. Egy korábbi cikkünkben írtunk róla, hogy a berlini adatvédelmi hatóság már hozott ezzel kapcsolatban döntést, mégpedig, hogy a cégeknek minden csatornán érkező kérelmet fel kell dolgozniuk. A WindTre esetében a Garante álláspontja szerint a cég „megnehezítette” a hozzájárulás visszavonását, miközben megkövetelte megadását.
Bár a WindTre azóta bevezetett az érintett területek korrekciójára irányuló intézkedéseket, a Hatóság szerint ezek elégtelenek, ezért a cégnek új technikai és szervezeti intézkedéseket kell hoznia, hogy hatásosan tudja koordinálni kereskedelmi partnereit.
A Hatóság közleményében kijelentette, hogy a hozzájárulás szerződéses keretben történő megszerzése tisztességtelen és átláthatatlan az ügyfelek számára, ezért megsérti a GDPR 5. cikk (1) bekezdésének a) pontját. Véleménye szerint a cég gyakorlata nemcsak hanyagság, hanem szándékos kijátszása a szabályoknak, melyek az érintett jogainak védelmére születtek.
A fentieket figyelembe véve a Garante összesen 16.729.600 EUR bírságot szabott ki és megtiltotta a WindTre-nek, hogy a továbbiakban olyan adatokat kezeljen direkt marketing célból, mellyel kapcsolatosan nem rendelkezik jogszerű jogalappal.
A magas bírság egyik lehetséges oka lehet, hogy nem ez volt a WindTre első esete az olasz Hatósággal. 2018-ban a hatóság már egyszer megbírságolta a céget 600.000 EUR összegre. Az akkori problémák is ismerősen hangozhatnak: ügyfelek tettek panaszt, miszerint kéretlenül kaptak megkereséseket a cégtől vagy partnereitől.
A Hatóság akkor megállapította, hogy ez egy hibás belső szervezeti intézkedésnek volt köszönhető. Az ügyfelek tájékoztatásának elmulasztásáért és a hozzájárulásuk nem megfelelő megszerzéséért a Garante kimondta a GDPR 13. cikkének megsértését és 150.000 EUR bírság megfizetésére kötelezte a céget, viszont annak mérete miatt ezt nem tartotta visszatartó erejűnek, ezért megnégyszerezte 600.000 EUR-ra.