Sokmilliós bírsággal járhat az e-mail küldése, ha azt nem kéri a címzett

Megosztás Tetszik

A Magyar Telekom Nyrt. az érintett hozzájárulása nélkül, illetve tiltakozása ellenére, tévedés eredményeképpen marketingcélú üzeneteket küldött. A kéretlen leveleket kapó a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordult, mivel a szolgáltató nem törölte a listáról az e-mail-címét A felügyeleti szerv tízmillió forintos bírsággal sújtotta a Magyar Telekomot. Cikkünkben bemutatjuk a bírsághoz vezető döntés lényegét, amely minden ügyfélkapcsolatokat kezelő számára tanulságos.

Másik ügyfél adta meg tévesen az e-mail-címet, melyet a szolgáltató nem ellenőrzött

A 2020. december 18-án benyújtott panasz szerint a szolgáltató 2020. november 13-án kéretlen elektronikus levelet küldött a panaszos e-mail-fiókjába, mivel feltehetően egy harmadik személy tévesen adta meg a saját e-mail-címét. Gmail-fiók esetén ilyen tévedéshez elegendő az is, hogy az érintett a @jel előtti e-mail-címnél rossz helyre teszi a pontot, mivel a  gmail-szolgáltatás azonosnak tekint minden, a @jel előtti ponttal elválasztott változatot. Emiatt a panaszos az ügyfélszolgálathoz fordult, hogy töröljék az e-mail-címét, megjelölve, hogy nem kért marketingcélú hírlevelet, és nem is a szolgáltató ügyfele.

Ezt követően a panaszos még számos alkalommal kapott hírlevelet, illetve kapott egy egy leiratkozási linket is, amely az ügyfélfiókon keresztül tette volna lehetővé a leiratkozást. Jelezte, hogy nem leiratkozni akar, hanem töröltetni az e-mail-címét, illetve nem rendelkezik ügyfélfiókkal, így le sem tud iratkozni. A szolgáltató a hatóság megkeresésére az e-mail-címet törölte. Indokolásul előadta, hogy egyik ügyfelük tévesen adta meg a saját elérhetőségét. Ezen túlmenően ügyintézőjük nem ismerte fel a probléma lényegét, ezt azonban a belső szabályozás módosításával orvosolják. A gmail-fiókokkal kapcsolatos problémáról akként nyilatkozott, hogy az előtte is ismert, erre tekintettel kezelik az ilyen e-mail-címeket.

Az adatkezelő terhére értékelendő, ha nem ellenőrzi az adatokat

A felügyeleti szerv kiemelte, hogy az adatok pontosságának ellenőrzése az adatkezelő és nem az ügyfelek kötelezettsége. Hiába hivatkozik tehát az adatkezelő arra, hogy az ügyfél a saját e-mail-címét, tajszámát, lakcímét stb. tévesen adta meg, ezt ugyanis le kell ellenőriznie. Az adatpontosság elve ugyanis az adatkezelőt kötelezi. Bizonyos személyes adatokat az okmányok megtekintésével, míg az elektronikus kapcsolati adatokat visszaigazoló e-mail küldésével tudja ellenőrizni. Ha ezen lépéseket a szolgáltató elmulasztja megtenni, adatvédelmi jogsértést követ el. A beépített adatvédelem, illetve az integritás, bizalmi jelleg, valamint a kockázatarányos védelem elvei alapján az adatkezelőnek továbbá belső eljárásrendjében is kezelnie szükséges az olyan ismert eseteket, mint például a gmail-fiókok ismert és fent részletezett problémája.

Hiányzott a jogalap, illetve rendszerszintű volt a közepes súlyú jogsértés

A felügyeleti szerv kiemelte azt is, hogy az adatkezeléshez a szolgáltató jogalappal nem rendelkezett, annak jogalapja a hozzájárulás lett volna. Ebből az is következik, hogy a panaszos kérelmére az adatkezelést meg kellett volna szüntetni, az adatokat pedig törölni kellett volna. Ezt a szolgáltató kizárólag a hatóság kérésére tette meg.

További problémaként értékelte, hogy a szolgáltató sablonszöveggel válaszolt a panaszosnak, mely lehetetlenné teszi, hogy az egyedi panaszt ténylegesen kivizsgálják. Ez egyben az érintetti jogok elősegítésének akadályozását is jelenti. Jelen esetben is észre kellett volna venni, hogy a panasz nem leiratkozási kérelem, és ennek megfelelően kellett volna kezelni. Ilyen esetben a hatóság bekéri a szolgáltató eljárásrendjét is, és azt a 2016/679. számú általános adatvédelmi rendelet (GDPR) tükrében ellenőrzi.

A személyi kölcsönt reklámozó sms-ek is aggályosak lehetnek

Jellemző, hogy a pénzintézetek a hazai piacon a személyi kölcsön nyújtására irányuló ajánlataikat az ügyfeleik között sms-ek küldésével népszerűsítik. Problémát jelent ugyanakkor az, hogy ezek az sms-ek automatizáltak, így az ügyfél le sem tudja mondani az üzenetküldést. A fenti jogeset is rámutat arra, hogy az ügyfél számára nem teremthető olyan helyzet, amelyben az adatkezelés megszüntetése számára terhesebb feltételekkel történik, mint maga az adatkezeléshez adott hozzájárulás (ha egyáltalán ilyen hozzájárulás létezik). Ezt pedig a NAIH előtt feltehetően alappal lehetne sérelmezni.