28 MILLIÓ EURÓS BÍRSÁG JOGELLENES MARKETING TEVÉKENYSÉGÉRT

 

Az olasz adatvédelmi hatóság 27.8 millió EUR közigazgatási bírságot szabott ki TIM Spa esetében, mivel megállapította, hogy a társaság súlyosan megsértette az adatvédelmi előírásokat. A vizsgálat során arra derült fény, hogy az adatkezelő úgy kezdeményezett marketing hívásokat, hogy ahhoz az érintettek nem járultak hozzá. E tevékenység ráadásul több millió állampolgár személyes adatait érintette.

 

Panaszok és a vizsgálat

 

2017 januárja és 2019 eleje között az olasz hatósághoz több száz panasz érkezett, amelyek a fent említett vállalat eljárását kifogásolták. Számos esetben előfordult ugyanis, hogy a TIM Spa olyan személyeket hívott fel telemarketing tevékenysége során, akik nem járultak hozzá személyes adatait ilyen célú felhasználásához, vagy szerepeltek abban a központi adatbázisban, amely azon érintettek adatait tartalmazza, akik kifejezetten megtiltották személyes adataik marketing célú kezelését. Több panaszos kifogásolta a TIM Spa által szervezett nyereményjátékok keretében folytatott adatkezeléseket is.

 

Az adatvédelmi hatóság vizsgálatot indított, amelybe bevonta az Olasz Pénzügyőrséget is. Az eljárás eredményeként az eljáró szervek megállapították, hogy a TIM Spa számos esetben súlyosan megsértette a személyes adatok védelmére vonatkozó előírásokat.

 

A hatóság megállapításai

 

Az olasz hatóság mindenekelőtt kiemelte, hogy a vizsgálat nyomán világosság vált, a TIM Spa nincs tisztában az általa folytatott adatkezelések legalapvetőbb jellemzőivel sem, így nem tett eleget a GDPR 5. cikk (2) bekezdésében foglalt elszámoltathatóság elvéből eredő kötelezettségeinek.

 

A vállalkozás a vizsgált 6 hónapos időintervallumon belül folytatott több millió hívás során számos esetben úgy lépett kapcsolatba az érintettekkel, hogy ahhoz az adatalanyok semmilyen módon nem járultak hozzá. Egy személyt a társaság több mint 150 alkalommal keresett meg egy hónap alatt, súlyosan megsértve ezzel a magánélet tiszteletben tartásához fűződő jogát. 200.000 esetben a társaság munkatársai olyan telefonszámokat tárcsáztak, amelyek nem szerepeltek a marketing adatbázisában. A TIM Spa továbbá nem felügyelte megfelelő módon a call centereit, valamint nem frissítette rendszeresen a saját ún. Robinson-listáját sem. Másrészt, mivel bizonyos kedvezmények igénybevételének feltétele volt a beleegyezés a marketing adatkezelésekbe, sérült az érintettek hozzájárulásának önkéntessége is.

 

A TIM Spa által működtetett applikációk esetében nem nyújtottak megfelelő tájékoztatást az érintettek részére, valamint az alkalmazott hozzájárulási nyilatkozat sem volt megfelelő. Sok esetben megtörtént, hogy az érintettek egyazon nyilatkozatukkal több adatkezeléshez is hozzájárulásukat adták, ideértve a marketing tevékenységeket is. A társaság megsértette a beépített adatvédelem elvét az adatkezelési folyamatai során. A TIM Spa Robinson-listáján szereplő adatok nem egyeztek meg az általa üzemeltetett call centerek hasonló adatbázisaival. A személyes adatokat továbbá a megengedettnél hosszabb ideig és további olyan célokból is kezelte, amelyhez az érintettek nem járultak hozzá.

 

Szankciók

 

Az olasz adatvédelmi hatóság a feltárt jogsértések miatt 27.8 millió EUR közigazgatási bírságot szabott ki, valamint további 20 korrekciós intézkedést is alkalmazott a TIM Spa esetében. Ezek egy része arra irányult, hogy a társaság a továbbiakban ne kezelhesse olyan adatalanyok személyes adatait, akik nem járultak hozzá a marketing célú adatkezelésekhez. Másrészt a hatóság arra is kötelezte a vállalatot, hogy vizsgálják felül tevékenységeiket és tegyék adatkezeléseiket GDPR-konformmá.

 

Következtetések

 

Az alkalmazott intézkedések és a kiszabott bírság azt mutatja, hogy a marketing szektor szereplőinek is meg kell tennie azokat az intézkedéseket, amelyek ahhoz szükségesek, hogy megfeleljenek a GDPR előírásainak. Ennek egyik első lépése az adatkezelési folyamatok feltérképezése, értékelése vagy felülvizsgálata, valamint mindazon intézkedések meghozatala, amelyek az érintettek magánélet tiszteletben tartásához és személyes adatok védelméhez fűződő jogainak érvényesülését biztosítják. Hogy a szektorban szereplőinek számára sok a teendő, azt egy, szintén az olasz hatóság által a Eni Gas e Luce esetében kiszabott 8.5 millió EUR bírság jelzi.

 

Forrás: https://edpb.europa.eu, https://gdpr.eu