60 milliós GDPR bírság!
60 000 000 Ft-os adatvédelmi bírsággal sújtotta a Nemzeti Adatvédelmi és Információszabadság Hatóság a UPC Magyarország Kft-t (jogutódja a Vodafone Zrt.).
A Hatóság a Kft. elmúlt évben tanúsított adatkezelési gyakorlatát vizsgálta. A UPC mind a 24 üzletében a személyes ügyfélszolgálaton történt valamennyi ügycsoport tekintetében, valamennyi ügyfele esetében hangrögzítést alkalmazott. Csak azoknál az ügyfeleknél mellőzte azt, akik a rögzítés ellen tiltakoztak. Ez egy év alatt 609 619 személyt érintett.
A UPC azzal érvelt, hogy szükségesnek látta rögzíteni leendő ügyfeleinek érdeklődését, panaszbejelentéseit, hogy a későbbiekben a szerződéskötéshez vagy a hibajavításhoz ezek az adatok rendelkezésre álljanak.
Néhány pontban összefoglaljuk milyen kifogásai voltak a Hatóságnak a UPC adatkezelési gyakorlatával kapcsolatban és melyek voltak azok az okok, amik a bírság kiszabásához vezettek.
- Az adatkezelő a GDPR több alapelvét is megsértette:
- Bár a vállalkozás készített érdekmérlegelési tesztet, az elsősorban a UPC érdekeit sorolta fel és nem terjedt ki kellően az érintettek ellenérdekeivel kapcsolatos jogokra. A felsorolt célok túl általánosak, nem konkrétak és egyértelműek. Nem felelt meg tehát a GDPR-ban megfogalmazott célhoz kötöttség elvének, a meghatározottság és egyértelműség hiánya miatt.
- A UPC az ügyintézés teljes folyamatát hangfelvételen rögzítette, amely nem felel meg az adattakarékosság elvének.
- Az eljárás során megállapította a Hatóság, hogy a UPC nem rendelkezett belső adatkezelési szabályzattal.
- Bár a cég tájékoztatta ügyfeleit, hogy hangrögzítés történik, az sem alaki, sem tartalmi szempontból nem volt megfelelő. (A sorszámhúzó rendszeren jelenítették meg a tájékoztatót, kisméretű betűkkel.)
- Megfelelő jogalap nélkül készített hangfelvételt a személyes ügyfélszolgálatokon zajló ügyintézésről.
- A jogellenes adatkezelés hosszú időn át (több mint másfél éven keresztül) zajlott, jelentős számú érintettel szemben, így felelősségének mértéke magasabb.
- Egy ekkora vállalkozás esetében a megfelelő adatvédelmi tudatosság elvárható lett volna.
Tanulságos lehet ez az eset a jövőre nézve, hogy az adatkezelőknek, akik személyes adatokat kezelnek, megfelelő súllyal és körültekintéssel kell eljárniuk e tevékenységük körében, hogy biztosítani tudják a GDPR-ben meghatározott célokat.
Feleljen meg a GDPR-nek! Kérje árajánlatunkat a DPO tisztség betöltésére, céges GDPR adatvédelmi auditra, az adatkezelési tájékoztató, a GDPR adatvédelmi szabályzat elkészítésére a [email protected], vagy az Ajánlatkérő űrlapunkon! Net-jog.hu: Adatvédelmi szakjogász ügyvédek sokéves tapasztalattal, milliós bírsággaranciával.