73M adatvédelmi bírság hozzájárulás visszavonásának ignorálásáért

október 10, 2020
Cikkek, GDPR bírság

2020. augusztus 20-án jelent meg a hír az EDPB weboldalán, hogy a Belga Adatvédelmi Hatóság 20.000 euróra bírságolta a Proximus telekommunikációs céget a nála tapasztalt adatvédelmi szabálysértések miatt. A hatóság eddigi legnagyobb visszhanggal járó döntése az volt, amikor az adatvédelmi tisztviselők (DPO) kinevezésével és függetlenségével kapcsolatos elvárásokkal foglalkoztak részletesen.

A bejelentő a jelen ügyben egy belga állampolgár, aki a Proximustól kérte, hogy törölje személyes adatait a cég által kiadott nyilvános címtárból (telefonkönyv), illetve hasonló kérést fogalmazott meg más kiadók által publikált címtárakra vonatkozóan is. A Proximus a bejelentőnek megerősítette, hogy a jövőben nem fogja adatait közzétenni, illetve erre utasítja a többi nyilvános címtár kiadóit is, akik irányába utasítási joggal bírt.

Néhány hónappal később a bejelentő azonban felfedezte, hogy személyes adatai változatlanul szerepeltek a Proximus és más kiadók által publikált címtárakban is. Az érintettel való kommunikációjában a Proximus azt is elismerte, hogy adatait továbbította más kiadók számára is.

Belgiumban a nyilvános névjegyzékben való közzétételhez az érintettek hozzájárulására van szükség a nemzeti telekommunikációs törvény értelmében, mely az e-Privacy irányelv 12. cikkének nemzeti jogrendszerbe történő implementációja. Bár az irányelv és a GDPR szabályozási tárgyában átfedések vannak, a GDPR 94-95. cikkének és az Irányelv 2. cikkének megfelelően a Rendeletben megfogalmazott hozzájárulással kapcsolatos elvárások továbbra is alkalmazandók az e-Privacy irányelv szerinti hozzájárulással szemben is.

A Hatóság megállapította, hogy mivel a Proximus saját nyilvános címtárat tesz közzé, ezért az ezekkel kapcsolatos tevékenységei miatt adatkezelőnek kell tekinteni. Adatkezelőként pedig felelőssége, hogy az érintett hozzájárulásának visszavonását összeegyeztesse a tényleges tevékenységével, tehát ilyen esetben ne kezelje tovább az adatokat. A Hatóság megállapította, hogy ennek ellenére a Proximus nem tett intézkedéseket arra vonatkozóan, hogy az érintett adatainak kezelését a hozzájárulás visszavonásától követően beszüntesse.

Megsértette továbbá a GDPR 12., és 13. cikkét, mivel nem nyújtott az érintettnek átlátható tájékoztatást előzetesem sem, illetve a kérelme kezelése során sem, illetve nem könnyítette meg jogainak gyakorlását.

Belgium: lekapcsolják a netről a GDPR-t sértő weblapokat

Munkaidő-nyilvántartási célú fotózás és VPN

Koronavírus és a kiberbűnözés – támadás ért egy cseh kórházat