skip to Main Content

Anglia: adatvédelmi vizsgálat a Barclays ellen és bírság kéretlen marketingért

Alább három, Nagy-Britanniában történt adatvédelmi esetről számolunk be. Mindegyik ügyben az illetékes eljáró hatóság a Brit Adatvédelmi Hatóság (ICO), akik most – többek között – az egyre jobban közelgő Brexit miatti adatvédelmi változásokkal vannak elfoglalva. Erről szóló cikkünket itt olvashatják.

Vizsgálat a Barclays ellen az alkalmazottak megfigyelése miatt

A Barclays az Egyesült Királyság harmadik legnagyobb bankja. Az alkalmazottak megfigyeléséről szóló hírek már korábban elkezdtek megjelenni. Nem sokkal ezután az ICO is bejelentette, hogy vizsgálatot folytat a bank ellen megfigyelőeszközök állítólagos használata miatt. A Barclays akkor nem kívánta kommentálni a híreket.

Az első erről szóló hír a Sunday Telegraph-ban jelent meg, mely cikk arra is kitér, hogy információik szerint a cég már az ezt megelőző 18 hónapban is alkalmazott megfigyelési technikákat, melyek segítségével mérni tudták, hogy egyes feladatokra mennyi időt áldoznak az alkalmazottak, valamint, hogy mennyi időt töltöttek az asztalaiktól távol. A Barclays állítólag februárban beszüntette az adatkezelést, mert az nagyfokú elégedetlenséget keltett a munkavállalók között.

Az elmúlt hónapokban – különösen a Covid-19 járvány miatt – jelentősen megnövekedett a kereslet és a kínálat a hasonló jellegű megfigyelőrendszerek piacán. A technika támogatói szerint ilyen eszközökkel jobban lehet menedzselni a csapatokat, segítségével kiszűrhetők az alulteljesítő munkatársak és a biztonsági előírások betartatása is könnyebbé válik. Kérdéses azonban, hogy ezek az előnyök megérik-e a sokszor már túlzónak tűnő megfigyelési technikák alkalmazását (leütött karakterek nyomonkövetése, audió- és videófelvételek készítése, e-mail és chat üzenetek megfigyelése stb.).

Az ICO véleménye szerint a GDPR tisztán fogalmaz a kérdésben: ha a munkaadó valamilyen módon meg akarja figyelni alkalmazottait, arról egyértelműen tájékoztatnia kell őket, valamint legitim adatkezelési célt és jogalapot kell találni, mely legtöbb esetben az adatkezelő jogos érdeke lehet. Amennyiben valóban így van, egy érdekmérlegelési tesztben szükséges kidolgozni azt, hogy az adatkezelés miért arányos, szükséges és alkalmas a cél elérésére. A kérdés kulcsa a megfelelő egyensúly megtalálása a munkáltatói érdekek és az érintettek magánélete között, hiszen a munkavállalóknak a munkahelyükön is joguk van bizonyos mértékű magánélethez.

Az ICO megjegyezte, hogy a Barclays esetéhez hasonlóan nagyon sok bejelentést kapnak olyan cégek miatt, melyek a részükre átadott adatok kezelésével kapcsolatban nem tanúsítanak megfelelő mértékű átláthatóságot. A Hatóság még nem döntött, hogy bírságolni kíván-e az ügyben, illetve, ha igen, akkor mekkora összeggel.

 

32 millió forint bírság kéretlen marketing tartalmú üzenetekért

Az ICO 2020. augusztus 3-án tette közzé bírsággal kapcsolatos értesítését a Rain Trading Ltd. ellen. A cég 2018. januárja és 2018 decembere között mintegy 270.774 darab marketing tartalmú üzenetet küldött olyan felhasználóknak, akik hozzájárulását előzetesen nem szerezte meg.

Az adatvédelmi hatóság 2019. január 8-án megkezdett vizsgálata kiderítette, hogy a Rain Trading a kérdéses ügyféladatokat két cégtől vásárolta, kifejezetten marketing célokkal. A cég állítása szerint nem volt tisztában vele, hogy a harmadik felektől vásárolt adatok marketing célú felhasználásához az adatkezelő cégek nem szerezték meg megfelelően az érintettek hozzájárulását is.

Döntésének meghozatalakor az ICO megjegyezte, hogy bár véleményük szerint a Rain Trade nem szándékosan szegte meg a hatályos rendelkezéseket (PECR), azonban kötelessége lett volna megbizonyosodnia róla, hogy az általa kezelt adatok tekintetében a GDPR 7. cikkének megfelelően került beszerzésre a hozzájárulás a marketing célokhoz. Enyhítő körülménynek számított, hogy a Rain Trade a vizsgálatot követően beszüntette az üzenetek küldését, azonban súlyosbította a bírság mértékét, hogy a cég nem rendelkezett Robinson listával.

A Robinson lista kell, hogy tartalmazza azokat az e-mail címeket, amelyek korábban leiratkoztak a marketing célokról, annak érdekében, hogy a későbbiekben a cég tudja, hogy az érintetteket már nem keresheti meg marketing üzenetekkel.

A kiszabott bírság mértéke 80.000 font, melyet a cégnek 2020. szeptember 3-ig volt ideje befizetni.

Kibertámadás a fogorvosok ellen

Saját közleménye alapján 2020. július 30-án kifinomult kibertámadás érte a Brit Fogorvosok Szövetségének (BDA) informatikai rendszereit. A támadást követően a szövetség informatikai rendszerének egy részét – köztük a weboldalukat is – kénytelenek voltak leállítani. Jelenleg a rendszer újraépítése zajlik egy külön hálózaton, mely azóta már védett a támadással szemben.

A BDA egyelőre nincs tisztában vele, hogy mekkora kárt okozhatott a támadás, azt azonban már látják, hogy a teljes tárolt adatmennyiségnek mindössze egy kis részéről van szó. A Szövetség a támadásról értesítette az ICO-t, ami ellátta a tagokat az adataik védelmére vonatkozó tanácsokkal; jelszavak gyakori cseréje, banki forgalom fokozott figyelemmel követése – bár az előzetes nyomozások alapján a támadás nem pénzügyi adatok megszerzésére irányult.

Back To Top