30 millió forintos bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság egy Kft.-vel szemben, mert az megsértette a GDPR 12. cikk (1) bekezdése és 13. cikke szerinti tájékoztatás nyújtásának kötelezettségét, ebből adódóan nem lehetett érvényes jogalapja a közvetlen üzletszerzéssel kapcsolatos adatkezelésére.

A jelentős mértékű bírság kiszabására azért került sor, mert a vállalkozás hosszú időn keresztül, nagyszámú érintett személyes adatait kezelte közvetlen üzletszerzési célzattal jogsértő módon, pedig ebben az esetben fokozott tájékoztatási elvárás érvényesül. Megfelelő tájékoztatás hiányában értelemszerűen az ügyfél nincs olyan helyzetben, hogy érintetti jogait megfelelően gyakorolja, és tényleges hozzájárulást adjon valamihez, amivel nincs teljesen tisztában.

A Kft. postai úton, telefonon valamint online is igyekezett ügyfeleket szerezni. „Kedvező ajánlatokat” küldött az érintetteknek újság előfizetésük mellé, megfelelő, átlátható, érthető és könnyen hozzáférhető tájékoztatás nélkül.

A vállalkozás arra hivatkozott, hogy megkeresései azért jogszerűek, mert az érintett hozzájárulásán alapulnak, de ebben az esetben az érintettek egy korábbi megrendelésük során adták meg adataikat és nem ahhoz járultak hozzá, hogy újabb megkereséseket kapjanak a Kft.-től.  A GDPR, valamint az Európai Adatvédelmi Testület Iránymutatása is rávilágít arra, hozzájárulás nem szerezhető meg ugyanazzal a cselekedettel, mint egy szerződésbe való beleegyezés.

Az adatkezeléshez történő érintetti hozzájárulás csak akkor lehet érvényes, ha azt konkrét cél(ok)ra – célonként külön megadhatóan – kérik, és előtte megfelelő tájékoztatást nyújtanak,tehát nem puszta „lepapírozási” kötelezettséget jelent. A tájékoztatás célja, hogy olyan helyzetbe hozza az érintettet, hogy az megfelelő döntési helyzetben legyen az érintetti jogai gyakorlásával kapcsolatban.

A Kft. ebben az esetben konkrét cél meghatározására irányuló kötelezettségét nem teljesítette, hiszen célja nem lehet egy olyan megfoghatatlan és határtalan cél, mint a „további kedvező ajánlatok fogadása”. Hiszen az adatkezelő nem teheti meg, hogy egyéb jogszabályi feltételektől függetlenül általános felhatalmazásként alkalmazza ezt a célt, hogy bármikor és bármilyen indokkal, bármely személyes adatot korlátlanul kezelhessen.

Az általános adatvédelmi rendelet 13. cikkében meghatározott tartalmon felül, az egyedi adatkezelések esetén szükséges minden olyan információ megadása, amely az átláthatósághoz és a megfontolt döntéshez szükséges. A Kft. többek között arról sem adott tájékoztatást, hogy külföldi adatfeldolgozókhoz továbbítja az érintettek személyes adatait.

A GDPR preambuluma meghatározza, hogy az adatkezelés megkezdése előtt szükséges az érintett rendelkezésére bocsátani az adatkezelési tájékoztatót, ami nem lehet egy  olvashatatlanul apró, megcsillagozott szöveg a szórólapon, ami egyáltalán nem minősül világos és könnyen hozzáférhető tájékoztatásnak.

Az általános adatvédelmi rendelet 5. cikk (1) bekezdésében szereplő elvek nem csak arra szolgálnak, hogy elméleti megállapításokat tegyenek az adatkezelés megvalósításával kapcsolatban. Ezen elvek konkrét kötelezettségeket takarnak, amelyek bizony számonkérhetők konkrét esetekben az adatkezelőkön, ezért is nagyon fontos az előírásoknak való teljes mértékű megfelelés.

Feleljen meg a GDPR rendelkezéseinek! Adatvédelmi, GDPR csomagjaink a szabályzatok elkészítését szolgálják, továbbá ügyvédeink adatvédelmi, adatbiztonsági szakjogászok, így akár a teljes megfeleltetésben, akár DPO tisztség betöltésében is tudunk segíteni.

A Webes GDPR csomagot azon ügyfeleinknek ajánljuk, akik nem értékesítenek a weboldalukon, nem üzemeltetnek webshopot, nem lehet előfizetni a weboldalukon semmilyen szolgáltatásra; de ezek ellenére bekérnek személyes adatokat a weboldalon (pl. kapcsolati, ajánlatkérő űrlapon, hírlevél-feliratkoztatást alkalmaznak, cookie-kat használnak).

Előfizetek a naprakész GDPR-t biztosító Webes GDPR csomagra

A webshop csomagot a klasszikus webáruházak részére ajánljuk, azon ügyfeleinknek, akik egy csomagban szeretnék a webshop üzemeltetéshez szükséges jogi teendőket elvégeztetni. Ebben a csomagban a webshophoz szükséges ÁSZF-et, adatkezelési tájékoztatót (GDPR) készítünk a VirtualJog rendszerén keresztül.

Előfizetek a naprakész ÁSZF-et és GDPR-t biztosító Webshop csomagra

A kamerás GDPR csomagot azon ügyfeleinknek ajánljuk, akik kamerás megfigyelést végeznek például az üzlethelyiségükben, ipari létesítményeinkben, vagy akár elektronikus megfigyelést alkalmaznak a munkahelyen.

Előfizetek a naprakész kamerás GDPR-t biztosító Kamerás GDPR csomagra