Újra akcióban a spanyol adatvédelmi hatóság
Augusztusban szokásunktól eltérően nem tudtunk beszámolni a spanyol adatvédelmi hatóság aktivitásairól, mivel magukhoz képest szokatlanul kevés esetben szabtak ki bírságot, vagy adtak ki állásfoglalást. Szerencsére mostanra visszatért régi lendületük, így megint be tudunk mutatni hat olyan esetet, melyekben bírságot szabott ki a GDPR megsértéséért.
1200 euró kéretlen direkt marketingért
2020. július 31-én jelentette be, hogy 1.500 euró összegű bírságot szab ki a Tour & People Max nevű cégre a távközlésről szóló 2014. évi törvény megsértése miatt. A Hatóság kifejtette, hogy egy bejelentés szerint egy személy hívást kapott a cégtől, amely állításuk szerint egy barátjuk ajánlása alapján jutott a telefonszámához. A hívásban a Tour & People szállodai utalványt kínált neki, más ismerőseiket is megnevezve, akik részt vettek a promócióban.
Az AEPD megállapította, hogy az érintett telefonszáma szerepelt azon a listán, melyen a marketinghívásokat visszautasító személyeket nyilvántartják, ezzel szabályosan gyakorolva a tiltakozáshoz való jogát (GDPR 21.cikk). A Hatóság továbbá figyelmeztet, hogy a cégnek kötelessége lett volna a nyilvántartás ellenőrzése, mielőtt megkezdi a direkt marketing célú adatkezelést. Az 1.500 eurós bírságot az AEPD végül 1.200 euróra csökkentette a Tour & People önkéntes fizetése miatt.
16M forint bírság a Vodafone-nak
Szintén 2020. július 31-én született az AEPD döntése, melynek értelmében 75.000 euró bírságot szab ki a Vodafone spanyol leányvállalatára telefonszám jogszerűtlen marketing célú felhasználása miatt. Az érintett, aki a panaszt is tette, korábban (2015-ben) gyakorolta törléshez való jogát, azonban a szolgáltató továbbra is marketingcélú üzeneteket küldött neki, immáron jogalap nélkül, ezzel megsértve a GDPR 6. cikkének (1) bekezdésében foglaltakat. A bírság végül a Vodafone önkéntes fizetése miatt 45.000 euróra csökkent.
3.000 euró egy kosárlabdaszövetségnek hozzájárulás hiánya miatt
Az AEPD 2020. augusztus 28-án kiadott döntése értelmében 5.000 euró bírságot szabott ki Leon és Kasztília Kosárlabdaszövetségére a GDPR 6. cikk (1) bekezdésének megsértése miatt. A döntés kiemeli, hogy a panasztevő elmondása szerint a szövetség a személyes adatait hozzájárulása nélkül megosztotta harmadik felekkel, majd később ezek az adatok az interneten lettek közzétéve.
A Hatóság megállapította, hogy az érintett teljes neve, és személyazonosító száma lett közzétéve, mind elektronikus, mind papírformában. Továbbá, mivel a szövetség az érintett személyes adatait levél formájában osztotta meg egy újsággal, kimondta többek között a GDPR 5. cikk (1) bekezdés f) pontjának (integritás és bizalmas jelleg) megsértését. A bírság végső összege 5 helyett 3 ezer euró lett a kosárlabdaszövetség önkéntes fizetése miatt.
14,5M forint bírság egy banknak
A Hatóság szintén 2020. augusztus 28-án tette közzé, hogy 50.000 euró bírsággal sújtotta a Bankia S.A. nevű bankot a GDPR 5. cikk (1) bekezdés b) pontjának (célhoz kötöttség) megsértéséért. A döntésből kiderül, hogy a bank annak ellenére kezelte az érintett személyes adatait több, mint 16 éven keresztül, hogy időközben megszűnt szerződéses kapcsolatuk. Az AEPD továbbá megállapította, hogy a bank nem korlátozta a kérdéses adatok hozzáférhetőségét, így azok az összes munkatárs számára hozzáférhetők voltak. Ahogy a korábbi esetekben, itt is önkéntes fizetés miatt csökkent a bírság végső összege; összesen 40.000 eurót kellett a Bankiának fizetnie.
36M forint bírság a Vodafone-nak törlési kérelem figyelmen kívül hagyásáért
2020. szeptember elsején ismét bírságot kapott a Vodafone. Ebben az ügyben azért indult eljárás, mert a cég egy érintettnek marketing e-maileket küldött azt követően, hogy az személyes adatainak törlését kérte. A Vodafone akkor a számítástechnikai rendszere hibájára fogta a tévedést, azonban az AEPD megállapította, hogy a Vodafone azt követően sem függesztette fel az e-mailek küldését, hogy az általa jelentett technikai hibát „elhárította”. A Hatóság döntése szerint a Vodafone 2017 és 2020 közötti, érintettel kapcsolatos kommunikációja megsértette a GDPR 6. cikkének rendelkezéseit, mivel az érintett nem adta hozzájárulását az adatkezeléshez, arra pedig a cégnek nem volt egyéb jogalapja. A Vodafone önként vállalta a bírság befizetését, melynek okán 100.000 helyett mindössze 60.000 eurót kellett megfizetnie.
16M forint bírság a Telefónicanak
Ugyanaznap, 2020. szeptember 1-én hasonló ügyben szabott ki a Hatóság 75.000 euró bírságot a Telefónia Móviles Espanval szemben, a GDPR 6. cikk (1) bekezdés megsértése miatt. A határozat kiemeli, hogy a cég a panasztevő adatait megfelelő jogalap nélkül kezelte, melynek folyamán az érintett 534 kéretlen hívást, illetve sms üzenetet kapott.
Az AEPD súlyosbító körülményként vette figyelembe, hogy a Telefónica gondatlanul járt el az érintett személyes adatainak kezelése során, mivel azok alapvető személyazonosítókat is tartalmaztak, mely a marketing üzenetek küldéséhez szükségtelen. A cég a vizsgálatot követően elismerte felelősségét, ígéretet tett szervezeti intézkedéseinek javítására, és önként vállalta a bírság befizetését, melyet emiatt a Hatóság 45.000 euróra mérsékelt.