Adatvédelmi bírságok kéretlen direkt marketing miatt
A Francia Adatvédelmi Hatóság (CNIL) az elmúlt időszakban két esetben is bírságot kényszerült kiszabni kéretlen, direkt marketing célú e-mail üzenetek küldése miatt. Az utóbbi időben európai szinten is megnövekedtek az olyan adatvédelmi ügyek, melyekben a hatóságok a megfelelő, jogszerű hozzájárulás hiánya miatt bírságoltak meg marketing cégeket. Alább részletesebben is megvizsgáljuk a CNIL két esetét.
Perfomeclic – 2,6M bírság hozzájárulás hiánya miatt
A CNIL 2020. decemberében hozta a döntést, melyben 7.300 euró (~2,6M Ft) bírságot szabott ki a Perfomeclic nevű francia cégre, mivel az nem tudta bizonyítani, hogy az általuk küldött marketing tartalmú e-mailek fogadásához az érintettek hozzájárulásukat adták.
Maga a cég egy kétfős vállalkozás, melynek fő tevékenysége abból áll, hogy hirdetők nevében marketing célú e-maileket küldenek ki ügyfeleiknek. Franciaországban működik egy Signal Spam nevű szolgáltatás, melynek segítségével a felhasználók megjelölhetik, milyen forrásból kapnak kéretlen e-mail üzeneteket. A CNIL beszámolója szerint a Perfomeclic rendszeresen ennek a listának az elején található; az ő cégük küldi az egyik legtöbb „spam” üzenetet országszerte.
Vizsgálata során a Hatóság a következő hiányosságokat tapasztalta a cégnél:
- Hozzájárulás hiánya: A vonatkozó francia jogszabály (CPCE) értelmében direkt marketing tartalmú e-mail üzenetek küldése esetén a cégnek be kell tudnia mutatni, hogy az üzenetek címzettjei azok fogadásához hozzájárultak; ezt a Perfomeclic egy esetben sem tudta bizonyítani.
- Adattakarékosság elvének megsértése: A vizsgálat során kiderült, hogy a cég olyan adatokat is tárol az érintettekről (telefonszám), melyek nem szükségesek az e-mailes marketing tevékenységhez, ezzel megsértette a GDPR 5. cikk (1) bekezdés c) pontját.
- Korlátozott tárolhatóság elvének megsértése: A Perfomeclic több, mint három éven át tárolta és kezelte az érintettek adatait, holott azok a kérdéses időtartamban semmilyen kommunikációt nem folytattak a céggel. A CNIL ezzel kapcsolatosan kimondta a GDPR 5. cikk (1) bekezdés e) pontjának megsértését.
- Érintettek tájékoztatásának elmulasztása: Ezzel kapcsolatban a cég tevékenysége elsősorban a GDPR 14. cikkét sérttette meg.
- Tiltakozási jog korlátozása: A Perfomeclic nem adott lehetőséget ügyfeleinek, hogy a GDPR 21. cikkében garantált tiltakozási jogukat érvényesíthessék.
- Partnerekkel kötött szerződéses keret megsértése: Ezzel kapcsolatban a CNIL megjegyezte, hogy a cég és alvállalkozója közötti szerződésből hiányoznak a szükséges szerződéses záradékok (GDPR 28. cikk).
A fentebb felsorolt jogsértések miatt a CNIL 7.300 euró bírság kiszabása mellett döntött, melynek meghatározásakor figyelembe vette a cég méretét és anyagi helyzetét is. A döntés részeként a Perfomeclic két hónapot kapott a Hatóságtól, hogy adatkezelését a törvényekkel összhangba hozza. Amennyiben ez a megszabott határidőn belül nem történik meg, a CNIL további 1,000 euró/nap bírsággal sújtja a céget.
Nestor – 7,2M bírság hozzájárulás nélküli direkt marketingért
Vastagabban fogott a tolla a Hatóságnak a Nestor nevű cég ügyében, melyre 20.000 euró (~7,2M Ft) bírságot szabott ki szintén elsősorban az érintetti hozzájárulások hiánya miatt. A CNIL 2019 májusában és 2020 februárjában vizsgálta meg a céget, melynek fő tevékenysége ételek elkészítése és kiszállítása irodai dolgozók számára.
A vizsgálatok kimutatták, hogy a cég 2017 óta 653.033 személynek küldtek direkt marketing tartalmú e-mailt anélkül, hogy ahhoz hozzájárulásukat adták volna. Az érintettek olyan személyek voltak, akik ugyan regisztráltak a cég honlapján, vagy appján keresztül, azonban soha nem adtak le rendelést. A Nestor ennek ellenére gyűjtötte és kezelte személyes adataikat.
A vizsgálat során a Hatóság a következő hiányosságokat tapasztalta:
- Jogszerű hozzájárulás hiánya: Mint korábban is említettük, Franciaországban a CPCE értelmében az e-mailes üzenetek küldéséhez is előzetes hozzájárulás szükséges az érintettekből, mellyel ebben az esetben a cég nem rendelkezett.
- Tájékoztatással kapcsolatos mulasztások: A Nestor weboldala nem tartalmazta regisztrációkor a GDPR által elvárt információkat és hivatkozást sem tartalmazott arra vonatkozóan, hogy a kérdéses adatok hol érhetők el. Ezzel kapcsolatban a CNIL kifejtette, hogy a cég adatvédelmi tájékoztatója sem volt megfelelő, az abban leírtak főként általánosságokat tartalmaztak.
A cég által működtetett mobilapplikáció pedig semmilyen információt nem árult el az érintettek személyes adatainak kezeléséről. A Hatóság megjegyezte, hogy a cég a vizsgálat során meghozta a megfelelő szervezeti intézkedéseket, hogy gyakorlatát korrigálja.
- Hozzáférési jog megsértése: A cég több esetben nem biztosított az érintettek számára másolatot a róluk kezelt személyes adatokról, illetve csak részlegesen válaszolt az ilyen célú megkeresésekre, ezzel megsértette a GDPR 15. cikkét.
- Személyes adatok nem megfelelő szintű biztonsága: A cég nem kötelezte felhasználóit megfelelő erősségű jelszó létrehozására a weboldalra, illetve az appban történő regisztráció során, ezzel megsértette a GDPR 32. cikkét.
Mindezek figyelembevételével a francia Hatóság 20.000 euró (~7,2M Ft) bírság kiszabása mellett döntött, illetve döntését és a cég nevét is nyilvánosságra hozta. A Nestornak három hónap haladékot adott adatkezelése megszabályozására, ellenkező esetben napi további 500 euró megfizetésére kötelezi.
A döntés meghozatalakor a CNIL figyelembe vette az érintettek számát, a jogsértések súlyosságát, illetve a szabálytalan megkeresések gyakoriságát. A Covid-19 járvány miatt azonban némileg csökkentette a bírság mértékét, illetve azt is enyhítő körülményként értékelte, hogy a Nestor már a vizsgálat során elkezdte hibás gyakorlatait kijavítani.