10 milliós GDPR bírság!
A Nemzeti Adatvédelmi és Információszabadság Hatóság a Magyar Telekom Nyrt.-t 10 millió forintos adatvédelmi bírság megfizetésére kötelezte.
Az érintett azzal a kérelemmel fordult a NAIH-hoz, hogy többszöri alkalommal kéretlen levelet kapott email fiókjába, mivel feltehetően egy harmadik személy tévesen adta meg a címet. Az érintett a vállalat ügyfélszolgálatán többször jelezte, hogy kéri címének törlését, mivel a Telekom Nyrt. nem rendelkezett az általános adatvédelmi rendelet 6. cikk (1) bekezdése szerinti egyik jogalappal sem az érintett email címével kapcsolatban. Az ügyfélszolgálat csupán egy sablonválaszban, bejelentkezést igénylő, hírlevél leiratkozási hivatkozást küldött az érintettnek. De mivel az érintett nem ügyfele a vállalatnak, így a fiókba való bejelentkezéshez sem rendelkezett a jogosultsággal ezért számára a leiratkozás objektív okból nem volt elvárható.
Ezt követően ismét kérte email címének törlését az ügyfélszolgálattól. De még ezt követően is kapott kéretlen üzeneteket címére. Az érintett ezután fordult a Hatósághoz. Az Adatvédelmi Hatóság megvizsgálta kérelmét és végzésben tájékoztatta a vállalatot, az eljárás megindításáról, melynek hatására a Telekom Nyrt. törölte az érintett email címét az adatbázisukból.
A vizsgálat során a Hatóság megállapította, hogy az általános adatvédelmi rendelet 17. cikk (1) bekezdés d) pontja alapján a telekommunikációs vállalat köteles lett volna az érintett kérelmére a kapcsolati adatot haladéktalanul törölni, azonban ezt többszöri kérés ellenére sem tette meg, és csak akkor teljesítette az érintett kérelmét, amikor a Hatóság eljárásáról tudomást szerzett, amely nélkül a törlés nem történt volna meg.
A Hatóság korábbi ügyekkel való hasonlóságot is megállapított, miszerint a vállalat gyakorlata, hogy a hírlevél feliratkozáskor semmilyen igazolást nem kér az adott telefonszám vagy email cím helyességéről, így akár a harmadik személy ügyfél, akár az adatkezelő hibájából előfordulhat, hogy téves kapcsolati adatot rögzít.
Ezért megállapítható tehát, hogy az adatkezelő csak olyan személyes adatot kezelhet, amelynek forrása jogszerű, ha erről semmilyen észszerű módon nem győződik meg, akkor a felelősség alól nem mentesülhet.
Egy ilyen nagyságú telekommunikációs szolgáltatótól fokozottan elvárható, hogy az adatfelvételkor a kapcsolati adatokat ellenőrizze – mely egyébként nemzetközileg bevett gyakorlat – így elkerülhető, hogy az érintettek általános adatvédelmi rendelet szerinti jogai sérüljenek.
Ebben a jogesetben is láthatjuk milyen fontos a körültekintő adatkezelési gyakorlat és hogy elősegítsük az érintettek személyes adatainak védelméhez fűződő jogainak biztosítását, mely alkotmányos alapjog is egyben.
Feleljen meg a GDPR-nek! Kérje árajánlatunkat a DPO tisztség betöltésére, céges GDPR adatvédelmi auditra, az adatkezelési tájékoztató, a GDPR adatvédelmi szabályzat elkészítésére a [email protected], vagy az Ajánlatkérő űrlapunkon! A VirtualJog legaltech alkalmazásunk is GDPR biztos megoldásokat kínál. Net-jog.hu: Adatvédelmi szakjogász ügyvédek sokéves tapasztalattal, milliós bírsággaranciával.