Cikkek

Adatvédelmi bírságok kéretlen direkt marketing miatt

 

A Francia Adatvédelmi Hatóság (CNIL) az elmúlt időszakban két esetben is bírságot kényszerült kiszabni kéretlen, direkt marketing célú e-mail üzenetek küldése miatt. Az utóbbi időben európai szinten is megnövekedtek az olyan adatvédelmi ügyek, melyekben a hatóságok a megfelelő, jogszerű hozzájárulás hiánya miatt bírságoltak meg marketing cégeket. Alább részletesebben is megvizsgáljuk a CNIL két esetét.

Perfomeclic – 2,6M bírság hozzájárulás hiánya miatt

 A CNIL 2020. decemberében hozta a döntést, melyben 7.300 euró (~2,6M Ft) bírságot szabott ki a Perfomeclic nevű francia cégre, mivel az nem tudta bizonyítani, hogy az általuk küldött marketing tartalmú e-mailek fogadásához az érintettek hozzájárulásukat adták.

Maga a cég egy kétfős vállalkozás, melynek fő tevékenysége abból áll, hogy hirdetők nevében marketing célú e-maileket küldenek ki ügyfeleiknek. Franciaországban működik egy Signal Spam nevű szolgáltatás, melynek segítségével a felhasználók megjelölhetik, milyen forrásból kapnak kéretlen e-mail üzeneteket. A CNIL beszámolója szerint a Perfomeclic rendszeresen ennek a listának az elején található; az ő cégük küldi az egyik legtöbb „spam” üzenetet országszerte.

Vizsgálata során a Hatóság a következő hiányosságokat tapasztalta a cégnél:

  • Hozzájárulás hiánya: A vonatkozó francia jogszabály (CPCE) értelmében direkt marketing tartalmú e-mail üzenetek küldése esetén a cégnek be kell tudnia mutatni, hogy az üzenetek címzettjei azok fogadásához hozzájárultak; ezt a Perfomeclic egy esetben sem tudta bizonyítani.
  • Adattakarékosság elvének megsértése: A vizsgálat során kiderült, hogy a cég olyan adatokat is tárol az érintettekről (telefonszám), melyek nem szükségesek az e-mailes marketing tevékenységhez, ezzel megsértette a GDPR 5. cikk (1) bekezdés c) pontját.
  • Korlátozott tárolhatóság elvének megsértése: A Perfomeclic több, mint három éven át tárolta és kezelte az érintettek adatait, holott azok a kérdéses időtartamban semmilyen kommunikációt nem folytattak a céggel. A CNIL ezzel kapcsolatosan kimondta a GDPR 5. cikk (1) bekezdés e) pontjának megsértését.
  • Érintettek tájékoztatásának elmulasztása: Ezzel kapcsolatban a cég tevékenysége elsősorban a GDPR 14. cikkét sérttette meg.
  • Tiltakozási jog korlátozása: A Perfomeclic nem adott lehetőséget ügyfeleinek, hogy a GDPR 21. cikkében garantált tiltakozási jogukat érvényesíthessék.
  • Partnerekkel kötött szerződéses keret megsértése: Ezzel kapcsolatban a CNIL megjegyezte, hogy a cég és alvállalkozója közötti szerződésből hiányoznak a szükséges szerződéses záradékok (GDPR 28. cikk).

A fentebb felsorolt jogsértések miatt a CNIL 7.300 euró bírság kiszabása mellett döntött, melynek meghatározásakor figyelembe vette a cég méretét és anyagi helyzetét is. A döntés részeként a Perfomeclic két hónapot kapott a Hatóságtól, hogy adatkezelését a törvényekkel összhangba hozza. Amennyiben ez a megszabott határidőn belül nem történik meg, a CNIL további 1,000 euró/nap bírsággal sújtja a céget.

Nestor – 7,2M bírság hozzájárulás nélküli direkt marketingért

 Vastagabban fogott a tolla a Hatóságnak a Nestor nevű cég ügyében, melyre 20.000 euró (~7,2M Ft) bírságot szabott ki szintén elsősorban az érintetti hozzájárulások hiánya miatt. A CNIL 2019 májusában és 2020 februárjában vizsgálta meg a céget, melynek fő tevékenysége ételek elkészítése és kiszállítása irodai dolgozók számára.

A vizsgálatok kimutatták, hogy a cég 2017 óta 653.033 személynek küldtek direkt marketing tartalmú e-mailt anélkül, hogy ahhoz hozzájárulásukat adták volna. Az érintettek olyan személyek voltak, akik ugyan regisztráltak a cég honlapján, vagy appján keresztül, azonban soha nem adtak le rendelést. A Nestor ennek ellenére gyűjtötte és kezelte személyes adataikat.

A vizsgálat során a Hatóság a következő hiányosságokat tapasztalta:

  • Jogszerű hozzájárulás hiánya: Mint korábban is említettük, Franciaországban a CPCE értelmében az e-mailes üzenetek küldéséhez is előzetes hozzájárulás szükséges az érintettekből, mellyel ebben az esetben a cég nem rendelkezett.
  • Tájékoztatással kapcsolatos mulasztások: A Nestor weboldala nem tartalmazta regisztrációkor a GDPR által elvárt információkat és hivatkozást sem tartalmazott arra vonatkozóan, hogy a kérdéses adatok hol érhetők el. Ezzel kapcsolatban a CNIL kifejtette, hogy a cég adatvédelmi tájékoztatója sem volt megfelelő, az abban leírtak főként általánosságokat tartalmaztak.

A cég által működtetett mobilapplikáció pedig semmilyen információt nem árult el az érintettek személyes adatainak kezeléséről. A Hatóság megjegyezte, hogy a cég a vizsgálat során meghozta a megfelelő szervezeti intézkedéseket, hogy gyakorlatát korrigálja.

  • Hozzáférési jog megsértése: A cég több esetben nem biztosított az érintettek számára másolatot a róluk kezelt személyes adatokról, illetve csak részlegesen válaszolt az ilyen célú megkeresésekre, ezzel megsértette a GDPR 15. cikkét.
  • Személyes adatok nem megfelelő szintű biztonsága: A cég nem kötelezte felhasználóit megfelelő erősségű jelszó létrehozására a weboldalra, illetve az appban történő regisztráció során, ezzel megsértette a GDPR 32. cikkét.

Mindezek figyelembevételével a francia Hatóság 20.000 euró (~7,2M Ft) bírság kiszabása mellett döntött, illetve döntését és a cég nevét is nyilvánosságra hozta. A Nestornak három hónap haladékot adott adatkezelése megszabályozására, ellenkező esetben napi további 500 euró megfizetésére kötelezi.

A döntés meghozatalakor a CNIL figyelembe vette az érintettek számát, a jogsértések súlyosságát, illetve a szabálytalan megkeresések gyakoriságát. A Covid-19 járvány miatt azonban némileg csökkentette a bírság mértékét, illetve azt is enyhítő körülményként értékelte, hogy a Nestor már a vizsgálat során elkezdte hibás gyakorlatait kijavítani.

Kapcsolódó cikkek
Back To Top