5 FRISS GDPR BÍRSÁG EURÓPA SZERTE – TANULJ MÁSOK HIBÁIBÓL!

12 February 2020

Az európai adatvédelmi hatóságok az elmúlt hónapokban sem tétlenkedtek, munkásságukból öt érdekes közelmúltbéli ügyet gyűjtöttünk össze. Az adatvédelmi hatóság rendkívül széles mérlegelési jogkörét jól mutatja, hogy volt olyan eset, ahol a tagállami hatóság csak 2.000 Euro bírságot szabott ki a GDPR megsértése miatt, de akadt olyan cég is amelyet 11,5 Millió Euro összegre büntettek! Folytasd az olvasást, ha szeretnéd megtudni, hogyan kerüld el a hasonló drága hibákat.

1. A munkavállalók betegszabadságának pontozása Cipruson

A ciprusi székhelyű Louis Group egy automatizált rendszert vezetett be a dolgozói betegszabadságának pontozására. A pontozás alapja az a megfigyelés volt, hogy a rövid, gyakori és előre nem tervezett betegszabadságok sokkal inkább megzavarják a cég működését, mint a hosszútávú betegszabadságok. A Louis Group arra hivatkozott, hogy jogos érdeke van a pontozási rendszerrel kapcsolatos adatkezelési tevékenységek végzésére.

A Louis Group legnagyobb bánatára a ciprusi adatvédelmi hatóság nem osztotta ezt a véleményt. A hatóság ugyanis megállapította, hogy a Louis Group-nak nem volt jogalapja a munkavállalói egészségügyi adatainak a pontozási rendszerrel összefüggő célból való kezelésére.

A Louis Group nemcsak nem tudta bizonyítani, hogy jogos érdeke felülmúlja a munkavállalók adatvédelmi jogait, hanem az egészségügyi adatok kezeléshez szükséges külön jogalapja sem volt. A Louis Group „jutalma” az innovatív ötletéért egy 82.000 Euro összegű bírság és a pontozási rendszer betiltása volt.

Jótanácsom: mindig különös körültekintéssel járj el, ha egészségügyi adatot kezelsz főként, ha „szokatlan” célokból. Emellett, a jogos érdekre, mint jogalapra hivatkozás sokszor adu-ász lehet, de azért nem mindenható.

2. A hozzájárulás visszavonásának megakadályozása Lengyelországban

A ClickQuickNow nevű cégnek a hozzájárulások visszavonásával kapcsolatos gyakorlata miatt gyűlt meg a baja a lengyel felügyeleti hatósággal. Röviden, ahhoz, hogy vissza lehessen vonni az adatkezeléshez adott hozzájárulást, egy linkre kellett kattintani és megindokolni a visszavonást. Ha az érintett nem jelölte meg, hogy miért akarja visszavonni a hozzájárulást, a visszavonási folyamat megszakadt és a ClickQuickNow tovább kezelhette az adatokat.

A lengyel hatóságnak nyilván nem tetszett ez a helyzet. A hatóság megállapította, hogy a ClickQuickNow megsértette a GDPR azon előírását, miszerint az érintett bármikor visszavonhatja a hozzájárulását és hogy a visszavonást ugyanolyan egyszerű módon kell lehetővé tenni, mint a hozzájárulás megadását. A ClickQuickNow gyakorlatát, mely megnehezítette, sőt szinte lehetetlenné tette a hozzájárulás visszavonását, a hatóság 201.000 zloty (kb. 47.000 Euro) összegű bírsággal „jutalmazta”.

Annak érdekében, hogy elkerüld a hasonló büntetéseket, ha hozzájárulás alapján kezelsz személyes adatot, tájékoztasd az érintettet a visszavonás lehetőségéről és tedd könnyűvé a visszavonást. Például, ha a vevőd a honlapodon egy jelölőnégyzet bepipálásával meg tudja adni a hozzájárulást, a visszavonást is célszerű egy egyszerű kattintással lehetővé tenni.

3. Az érintetti kérelmek elhanyagolása Romániában

A BNP Paribas Personal Finance SA „bűne” a román felügyeleti hatóság szerint az volt, hogy nem válaszolt határidőben az érintettek adatkezeléssel kapcsolatos kérelmeire.

A hatóság a BNP Paribas ügyfeleinek panaszai alapján kezdett vizsgálódni és arra a következtetésre jutott, hogy a BNP Paribas nem válaszolt az ügyfelek adatkezeléssel kapcsolatos kérelmeire a GDPR által előírt egy hónapos határidőn belül. Költséges késedelem volt ez a BNP Paribas számára, kb. 2000 Euros bírságot kell fizetnie.

Nagyon fontos, hogy az ügyfeleid GDPR-el kapcsolatos kérelmeire késlekedés nélkül reagálj. A tapasztalatok azt mutatják, hogy az adatvédelmi hatósági eljárások többsége az érintettek panasza alapán indul. A kérelmek megfelelő kezelésével ugyanakkor a hatóság bevonása sok esetben elkerülhető.

4. Kéretlen reklámok Olaszországban

Az olasz Eni Gas és Luce cég esete is megerősíti a fentieket. A felügyeleti hatóság itt több tucat, a GDPR hatálybalépése után benyújtott érintetti panasz alapján indított eljárást.

Az olasz hatóság megállapította, hogy az Eni Gas többek között hozzájárulás nélkül bonyolított reklám célú hívásokat vagy ami még ennél is rosszabb, a hívott személy kifejezett tiltakozása ellenére. Emellett a cég ügyféllistákat vett olyan cégektől, akik nem rendelkeztek hozzájárulással a listán szereplőktől arra, hogy az adataikat továbbítsák. Még további GDPR-sértésekkel együtt mindez egy „szép” 11,5 Millió Eurós bírságba torkollott.

Ha direkt marketing tevékenységet folytatsz, légy különösen óvatos. Ez egy olyan tevékenység, ami sokakat idegesít és a bosszúság sokszor panaszhoz vezet. Mielőtt elkezdnél vadul telefonálgatni, győződj meg róla, hogy megfelelő jogalappal rendelkezel.

5. Nem megfelelő technikai és szervezeti intézkedések Németországban

Végül, de nem utolsó sorban, álljon itt az 1&1 Telecom GmbH nem túl kellemes kalandja a német adatvédelmi hatósággal. A cég egy segélyvonalat működtetett, ahol az ügyfélazonosításhoz és az ügyfelekről a lehető legteljesebb körű információk megszerzéséhez elegendő volt megadni az ügyfél nevét és a születési idejét.

A hatóság szerint ez az azonosítási rendszer túl egyszerű és így a visszaélések és adatvédelmi incidensek melegágya, mely sérti a GDPR azon rendelkezését, hogy az adatkezelő alkalmazzon megfelelő technikai és szervezeti intézkedéseket az adatok védelme érdekében. Az 1&1 Telecom belátta a problémát és már az eljárás alatt elkezdett dolgozni a megoldáson. Sajnos, mindez nem akadályozta meg a hatóságot a 9,5 Millió Euros bírság kiszabásában. Ugyanakkor ez az összeg a bírság alsó határához közelít, mert a hatóság figyelembe vette az 1&1 Telecom együttműködését.

Amit az 1&1 Telecom hibájából tanulhatsz, hogy ha az ügyfeleidnek segélyvonalat biztosítasz, erős ügyfélazonosítási mechanizmust használj (például jelszóval vagy kódszóval kombinálva). Remélem, az adatvédelmi hatóság soha nem fog eljárást folytatni a cégeddel szemben, de ha mégis, működj együtt velük, mert ez csökkentheti a kiszabott bírság összegét, ahogy a fenti példa is mutatja.