Itt az 5 legnagyobb GDPR bírság 2020-ból
2020-ban nyugodtan lehet állítani, hogy magas fordulaton pörgött a hatósági GDPR gépezet, ezért az év lezárultával mi is összeszedtük a legnagyobb bírságokat. Bár a Covid-19 vírus és az ehhez kapcsolódó adatkezelési kérdések uralták az adatvédelmi szektort is idén, hogy mást ne mondjunk, két olyan bírság is található a felsorolásunkban, melyek mértékét alapjában befolyásolta a vírus, azonban ezen kívül is történtek azért érdekességek.
Lássuk akkor az idei év 5 legnagyobb összegű bírságát.
1. H&M Hennes & Mauritz Online Shop A.B. & Co. KG – 35.3 millió Euró (~12,5 milliárd Forint)
A Hamburgban bejegyzett cég a nürnbergi szolgáltató központjában legalább 2014 óta többszáz munkavállalójának a magánéletére kiterjedő, módszeres megfigyelést végzett.
A munkavállalókról készített feljegyzéseket egy hálózati meghajtón tárolták. A munkavállalók távollétei, például szabadság és betegszabadságot követően a csoportvezetők úgynevezett „Welcome Back” beszélgetéseket folytattak le a munkavállalókkal. E megbeszélések során sok esetben nemcsak a munkavállalók vakációs élményeit rögzítették, hanem adott esetben a betegségeinek a tüneteit és az orvosi kivizsgálások eredményeit is.
Ezen túlmenően, egyes vezetők széles körű ismereteket szereztek a munkavállalók magánéletéről, személyes és közösségi terekben folytatott beszélgetések útján, egészen ártalmatlan részletektől kezdve a családi állapotra és a vallási meggyőződésre vonatkozó információig. Ezen információk egy részét rögzítették, tárolták és körülbelül további 50 vezető számára elérhetővé tették a vállalaton belül. A H&M vezetői ezt követően a belső hálózaton a számukra hozzáférhetővé tett adatokat is felhasználták a munkavállalók teljesítményének az értékeléséhez, valamint a munkaviszonnyal kapcsolatos egyéb döntések meghozatalához.
A jogellenes adatkezelésére akkor derült fény, amikor technikai hiba miatt néhány órára az összes munkavállaló számára elérhetővé váltak a H&M szerverein a róluk tárolt adatok. A jogsértés feltárását követően a hambrugi adatvédelmi hatóság számos korrekciós intézkedését rendelt el a vállalatnál, a múlt eseményeivel való megbékélés érdekében a vállalat vezetése pedig nemcsak bocsánatot kért az érintettektől, hanem megfelelő kártérítést is fizetett az érintett munkavállalók számára.
Az ügyről korábbi cikkünkben itt olvashat bővebben.
2. TIM SpA-t (Telecom Italia) 27.8 millió Euró (~9.9 milliárd Forint)
2017 januárja és 2019 között az olasz adatvédelmi hatóság több száz bejelentést kapott, különösen az érintettek hozzájárulása nélkül folytatott kéretlen kereskedelmi kommunikáció miatt. A Garante vizsgálata során megállapította, hogy a TIM a vizsgált adatkezelések tekintetében a jogszerű adatkezelés alapvető követelményeit sem tartotta be.
A társaság a vizsgált időszakban vele ügyfélkapcsolatban nem álló személyeket keresett meg, így több millió marketing hívást indított az érintettek hozzájárulása nélkül. Egy esetben például 155 alkalommal hívták fel kéretlenül ugyanazt a személyt.
A társaság az adatkezeléssel kapcsolatban pontatlan, nem egyértelmű tájékoztatást adott az ügyfeleinek, többek között ennek is köszönhetően az adatkezeléshez kért hozzájárulás sem volt jogszerű. A hozzájárulásokat egyes esetekben papír alapon gyűjtötték, ahol az érintett számára egyetlen beleegyező nyilatkozat állt rendelkezésre különböző adatkezelési célokra, ide értve a marketing célú adatkezelést is.
A bírság kiszabása alapjául szolgált tovább, hogy a társaság által alkalmazott incidens kezelő rendszer nem felelt meg a beépített adatvédelem követelményeinek és az is megállapításra került, hogy a TIM marketing megkeresésekkel kapcsolatban alkalmazott fekete listái nem egyeztek meg a call centerekben használt listákkal.
3. British Airways 20 millió Font (~8 milliárd Forint)
2020 október 16-án jelentette be a Brit Adatvédelmi Hatóság (ICO), hogy lezárta a British Airways (BA) 2018-as adatvédelmi incidensével kapcsolatos vizsgálatát, melyben erdetileg 184 millió Font (~ 75 millió Forint) bírság kiszabását helyezte kilátásba. Az ICO végül 20 millió font (~8 milliárd Ft) bírságot szabott ki a cégre.
A bírság enyhítésének az oka, hogy a 2020-ban indult Covid-19 járvány és annak súlyos gazdasági következményei nagy mértékben érintették a légitársaságot, valamint, hogy a légitársaság az ICO szerint megfelelő válaszintézkedéseket hozott a vizsgálat során. Említést érdemel azonban, hogy az ICO által kiszabott bírság így is a hatóság működése során kiszabott legnagyobb magasabb összegű szankció.
A bírság alapjául szolgáló ügy egyébként egy kibertámadás miatt indult, amiben 429.612 személy, munkavállalók és ügyfelek adata váltak hozzáférhetővé a támadók számára. A légitársaság az incidensről egy harmadik fél bejelentése alapján szerzett tudomást, jóval az incidens bekövetkezése után. Az ICO szerint az incidens megfelelő biztonsági intézkedések alkalmazásával megelőzhető lett volna, a légitársaság számára az ICO által megjelölt intézkedések végrehajtása nem járt volna túlzott mértékű kiadásokkal, technikai akadályai sem lettek volna, és ezzel megelőzhették volna az egész incidenst.
Az ügyről korábbi cikkünkben itt olvashat bővebben.
4. Marriott International 18,4 millió font (~7,5 milliárd Forint)
Az ICO, a British Airways-hez hasonlóan rekord mértékű 100 millió Font összegű bírságot jelzett előre egy 2014-ben kezdődött adatvédelmi incidens kapcsán indult ügyben a Marriott hoteláncnak is.
Az incidens során hozzávetőleg 339 millió ügyfél személyes adatai érintettek, az ICO szerint a hotellánc az incidens időpontjában nem rendelkezett megfelelő technikai és szervezeti intézkedésekkel egy kibertámadás megakadályozására, holott megfelelő intézkedések meghozatalával (felhasználói fiókok, belső adatbázisok ellenőrzése, megfelelő biztonságú szerverek és az adatok titkosított tárolása), megakadályozható lett volna az incidens. A szállodaláncnak nem jelentett volna anyagi és jelentős erőforrásbeli megterhelést, különösképpen bevételei és méreteihez viszonyítva a megfelelő színtű védelem kialakítása.
A bírság kiszabása során enyhítő körülményként vette figyelembe az ICO a szállodalánc által a vizsgálat során tanúsított együttműködést, hogy külön call centert állított fel az incidensel érintettekkel történő kommunikációra, valamint a Covid-19 járvány hatásait a szállodaiparra nézve.
Külön érdekes a két – egyébként kiugróan magas – ICO bírság kapcsán, hogy a Covid-19 járványra tekintettel az eredetileg belenegetett összegek töredékét szabta csak ki a hatóság, mely kérdéses üzenetet hordoz magában.
Az ügyről korábbi cikkünkben itt olvashat bővebben.
5. Wind Tre S.p.A. 16.7 millió Euró (~6 milliárd Forint)
Az eljárás kéretlen (hozzájárulás nélküli) marketingtevékenység miatti panaszból indult, melyet több ügyfél is jelentett, azonban végül több jogsértést is megállapított a hatóság.
A társaság által gyűjtött hozzájárulás nem felelt meg a jogszabályi követelményeknek, több esetben harmadik fél által végzett promóciós tevékenység során került rá sor, az érintettek a hozzájárulást nem, vagy csak nehézkesen tudták visszavonni, de ha sikerült is, ezt követően továbbra is kaptak marketing célú megkereséseket. A hozzájárulásokat a társaság promóciós partnerein és az általa üzemeltetett app-on keresztül szerezte be, az utóbbi esetben az érintettek panasszal éltek amiatt, hogy az app nem volt használható marketing üzenetek elfogadása („hozzájárulás”) nélkül.
A véletlen megadott hozzájárulásokat ugyan vissza lehetett vonni, azonban 24 óráig ezekben az esetekben is jogszerűtlenül kezelték az érintettek adatait, valamint sok esetben egyáltalán nem válaszoltak az érintettek hozzájárulás visszavonásával kapcsolatos megkeresésére. A vizsgálat során az is kiderült, hogy a társaság jogszerű felhatalmazás nélkül harmadik személyek számára is kiadata az adatokat.
Nem ez volt az első esete, amikor a cég összetűzésbe került az olasz adatvédelmi hatósággal. 2018-ban már egyszer 600.000 euró összegű bírságot kaptak egy ehhez kísértetiesen hasonló ügyben, amikor is az ügyfelek kéretlen megkeresések miatt tettek panaszt.
Az ügyről korábbi cikkünkben itt olvashat bővebben.