1,5 millió euró adatvédelmi bírságot szabott ki a spanyol adatvédelmi hatóság
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A spanyol marketingcéggel szemben azért indult eljárás, mert nem ellenőrizte a meghatalmazottak képviseleti jogosultságát, valamint az érintetteket nem tájékoztatta megfelelően az adatkezelés céljáról és jogalapjáról.
A spanyol adatvédelmi hatóság (AEPD) vizsgálata szerint az EDP COMERCIALIZADORA, S.A.U nem fogadott el megfelelő technikai és szervezési intézkedéseket annak ellenőrzésére, hogy a szolgáltatásait más természetes személy nevében igénybe vevő személy rendelkezik-e megfelelő meghatalmazással a szerződéskötésre.
Nem fogadott el megfelelő technikai és szervezési intézkedéseket sem annak ellenőrzésére, sem, hogy egy másik természetes személy nevében eljáró személy meghatalmazást kapott-e arra, hogy hozzájáruljon az érintett nevében a személyes adatok kezeléséhez.
Ezeket a beleegyezéseket a szerződéskötési eljárás során két célból kérték: saját és harmadik felek reklámanyagainak küldése, valamint profilozás harmadik felek adatbázisaiból az automatizált döntéshozatal érdekében, személyre szabott reklámok elküldése és bizonyos szolgáltatásokra vonatkozó szerződéskötés.
Az AEPD arra a következtetésre jutott, hogy az EDP COMERCIALIZADORA, S.A.U. adatkezelőként megsértette a GDPR 25. cikkét. A 83. cikk (4) bekezdésének a) pontjával összefüggésben, ezért 500 000 euró bírságot szabott ki.
Ezenkívül az AEPD szerint az érintettek tájékoztatására szolgáló dokumentum nem nyújtott elegendő információt az adatkezelőről, a nem az érintett beleegyezésén alapuló adatkezelések jogalapjáról, a jogos érdek alapján történő profilalkotással kapcsolatos adatkezelés céljairól, valamint az automatikus adatkezelési tevékenységgel szembeni kifogás lehetőségéről.
Sőt, a vállalat szolgáltatásaival kapcsolatos szerződéskötésére vonatkozó egyes eljárásokban (pl. Telefonos szerződéskötés) a 13. cikkben előírt összes információhoz való hozzáférés nem volt egyszerű és azonnali.
A fenti jogsértések miatt az AEPD megállapította a GDPR 13. cikkének megsértették, amelyért a GDPR 83. cikke (5) bekezdésének b) pontja alapján 1.000.000 euró bírságot szabott ki az adatkezelőre.
(edpb.europa.eu)