Tízmillió forint adatvédelmi bírság az egyik neves direkt marketing cég részére

A maximálisan kiszabható adatvédelmi bírságot kapta az ismert direkt marketing cég

Az Optimusz Kft.-t a maximálisan kiszabható, 10.000.000 Ft bírsággal sújtotta a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Nézzük, mit kifogásolt a hatósági határozat.

A határozat rendelkező része

A NAIH határozatában megtiltotta a jogellenes adatkezelést és elrendelte
– adatkezelési szabályzatának módosítását
– adattovábbítási gyakorlatának átalakítását
– az összes regisztrált felhasználó tájékoztatását és hozzájárulásának újbóli beszerzését
– „adatbérlés” elnevezésű szolgáltatásának átalakítását
– adattovábbítási nyilvántartás jogszabálynak megfelelő vezetését
– az adatbiztonsági elvárásoknak való megfelelést
– az adatvédelmi nyilvántartásba való naprakész bejelentést.

A módosított adatkezelési szabályzat szerinti hozzájárulás beszerezésére kötelezés lényegében azt is jelenti, hogy a társaság elbúcsúzhat az adatbázisban lévő személyes adatok többségétől.

Ezen felül 10.000.000 Ft bírság és 118.800 Ft szakértői díj megfizetését is előírta a hatóság.

A hatóság próbaregisztrációt végzett

A hatóság vizsgálata megállapította, hogy 14. életévét betöltött személy is regisztrálhat a www.nyeremenyjatekok.hu weboldalon. A regisztrációhoz „rendkívül sok” személyes adatot kell megadni kötelező jelleggel.

Mivel az Infotv. csak a 16. életévüket betöltöttek tekintetében ad lehetőséget arra, hogy saját nevükben önállóan adjanak hozzájárulást az adataik kezeléséhez, a hatóság felhívta az adatkezelő figyelmét arra, hogy a szabályzatban a 16 éves alsó korhatár meghatározása mellett is van technikai lehetőség a fiatalabbak regisztrációjára.

———————– hirdetés – adatvédelmi képzések ———————–
február 12.      Az Adatvédelmi Hatóság gyakorlata 2014-2015
február 24.      Változások a direkt marketing szabályokban 2015-ben
március 9-10.  Két napos, kis csoportos belső adatvédelmi felelős képzés
március 24.     Kamerás megfigyelőrendszerek adatvédelme
———————– hirdetés – adatvédelmi képzések ———————–

„Adatbérlés”

A hatóság információt gyűjtött be az „adatbérlés” szolgáltatásról, melynek keretében telefonszámokat kapnak meg a call centerek egyszeri felhasználásra. A szerződéses partnerek felé történő adatátadáshoz az érintettek hozzájárulását nem kérték meg, de még csak nem is tájékoztatták a felhasználókat az adatátvevő cégekről. Az Optimusz Kft. álláspontja szerint az adatbérlők mint adatfeldolgozók kapták meg az adatokat, de a hatóság ezzel nem értett egyet. Az adatbérlők egyes esetekben, mikor saját érdekükben végezték a telefonhívásokat, adatkezelők, amikor pedig harmadik cég érdekében végezte a telemarketing tevékenységet, adatfeldolgozók voltak, azonban nem az Optimusz Kft. adatfeldolgozói, hanem a hirdető adatfeldolgozói. Így tehát nagy mennyiségű személyes adatot továbbítottak jogalap hiányában más adatkezelők részére, súlyosan megsértve ezzel az Infotv. szabályait.

A hatóság elfogadhatónak tartana egy általunk is gyakran használt eljárást, miszerint a hirdető az adatbázis tulajdonossal szerződik a reklámüzenet telefonos eljuttatására, míg az adatbázis tulajdonos megbízza a call centert a technikai feladatok ellátásával.

Tájékoztatási hiányosságok

Az érintetteket nem tájékoztatták arról, hogy adataikat anyagi ellenszolgáltatás fejében értékesítik, de a „marketing” cél megjelölést is túl általánosnak találta a hatóság, és az adattovábbítás címzettjét sem jelölte meg pontosan az adatkezelő.

A szabályzatban nem jelenik meg az érintett jogairól és jogorvoslati lehetőségeiről szóló tájékoztatás sem. Felrója az adatkezelőnek, hogy „semmitmondó” tájékoztatási elemeket használ, mint pl.: „az átvett adatokat a hatályos jogszabályok rendelkezései szerint kezelik” valamint „az adatok kezelése mindenben megfelel a (…) törvénynek”.

Nem első esetben kifogásolja a hatóság, ha az adatkezelő nem jelöli meg pontosan, hogy mely adatkezelőnek, milyen célból kerülnek az adatok átadásra. Az érintett hozzájárulása – a hatóság szerint – akkor önkéntes, ha tényleges választási lehetőséget biztosítanak neki a tekintetben, hogy melyik adatkezelő részére történő adattovábbításhoz adja meg a hozzájárulást, melyiknek nem. Véleményünk szerint ez eltúlzó elvárás, miért ne adhatná meg a hozzájárulást „csomagban”, szerintünk az sem jogellenes, ha egy hűségprogramban csak akkor lehet részt venni, ha minden partner megkaphat előre meghatározott adatokat, és azt sem tartjuk jogellenes gyakorlatnak, ha egy márkaszerviz látja a tulajdonos és a jármű adatait, amelyet valamely más, ugyanazon autómárkához tartozó márkaszerviz rögzített.

Az „átadásra kerülhetnek” megfogalmazással nem tud mit kezdeni a hatóság, vagy átadják az adatot vagy nem. Megjegyezzük, az Infotv. 20. § (2) bekezdése alapján arról kell tájékoztatást adni, hogy „kik ismerhetik meg az adatokat”, ráadásul sokszor nem lehet pontosan tudni, hogy egy adattovábbítási lehetőséggel az adatátvevő élni fog-e. (pl. egy franchise rendszer esetében, lehetséges, hogy az egyik tag, az érintett hozzájárulása alapján lehívja a tag adatait a központi rendszerben, ha megjelenik nála vásárlóként, de biztosan nem állítható)

A nem megfelelő tájékoztatás következményeként magának a hozzájárulásnak az érvénytelenségét is kimondta a hatóság.

Adatbiztonság

Az adatvédelmi hatóság kockázatosnak találta azt a gyakorlatot, miszerint e-mailben, titkosítás nélkül küldtek személyes adatokat tartalmazó adatbázisokat a partnerek részére. Ezt a gyakorlatot jogsértőnek minősítette a hatóság, ugyanis megsértették az Infotv. adatbiztonságra vonatkozó követelményeit.

———————– hirdetés – adatvédelmi képzések ———————–
február 12. Az Adatvédelmi Hatóság gyakorlata 2014-2015
február 24. Változások a direkt marketing szabályokban 2015-ben
március 9-10. Két napos, kis csoportos belső adatvédelmi felelős képzés
március 24. Kamerás megfigyelőrendszerek adatvédelme
———————– hirdetés – adatvédelmi képzések ———————–

Nem kifogásolta a hatóság

A hatóság nem vizsgált több olyan kérdést, amelyek álláspontunk szerint felvethetik a jogellenes adatkezelést. Noha a hatóság maga is fenntartja a további vizsgálat jogát: „A későbbiekben az egyes szerződések és az azon alapuló adatkezelési műveletek, valamint a szerződő partnerek adatkezelései új eljárásokban vizsgálhatóak.”

Néhány példa:
– az adatok nagy köre, megadásuk kötelező jellege sértheti a célhoz kötöttségének elvét
– az átkattintások személyre szabott méréséről szóló tájékoztatás hiányossága
– a közel 10 éves, elavult időkorlát nélkül tárolt adatok a célhoz kötöttségének elvén túl az adatok minőségének követelményét is sérthetik
– hasonló okból aggályos lehet a visszapattanó, nem aktív e-mail címek tárolása

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Név:*
E-mail:*

Havonta legfeljebb 2 hírlevelet küldök, a hírlevélről egy kattintással bármikor le lehet iratkozni.

Valamennyi hozzászólást az RSS 2.0 hírcsatornán lehet követni. Szóljon hozzá, vagy adjon a saját honlapjáról egy visszakövetést.

2 hozzászólás »

 
 

Vélemény, hozzászólás?

 
Read previous post:
Január 1. és február 1. hatállyal módosul az Infotv.

Módosult és február 1-jén ismét változik az Infotv. 2015. január 1-jén módosultak az Infotv. egyes rendelkezései, február első napján újabb...

Close