Csak ötmillió forintos bírságról van szó a NAIH október végén közzétett határozatában, ámde látszik, hogy az ügyfélelégedettséggel kapcsolatos adatkezelésnél is figyelni kell a GDPR betartására.
Az ügy röviden arról szól, hogy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) forduló fogyasztó egy szervíznél megvizsgáltatta vagy megjavíttatta autóját. A szervíz elkérte e-mail címét is. Erre az e-mail címre 2021 elején kéretlen e-mail kapott az autó importőrétől, amiben arra kérték, hogy a szervíznél tett látogatásával kapcsolatban töltsön ki egy elégedettségi kérdőívet.
A február 12-én érkezett levélre nem reagált a fogyasztó, így az importőr újból küldött egy második kéretlen levelet február 19-én, amelyben ismételten megkérték, hogy töltse ki az elégedettségi kérdőívet.
Minőségi munkát vártak el
Amint az a hatóság határozatából kiderült, a szervíz és az adott autó importőre között olyan szerződés létezett, melynek értelmében a szervíz csakis minőségi munkát végezhet. Az elvégzett munka minőségét pedig csak úgy tudta megállapítani az importőr, ha megkérdezi az ügyfeleket.
Vagyis a szervizt kötelezte az importőr, hogy az ügyfél adatokat továbbítsa számára. A két fél közötti szerződés másik fontos pontja az volt, hogy az importőr kikötötte, a szerződés egyoldalúan felmondhatja, ha az ügyfélelégedettség nem az általa meghatározott, megfelelő szintű.
Az autó márkájáról és a szervízről nem árultak el adatokat, a határozatból kiderült, hogy francia márkáról van szó, vagyis Citroen, Dacia, Peugeot vagy Renault szervízről és importőrről beszélünk. (Képünk csak illusztráció.)
Autó alvázszámra semmi szükség
Ezzel eddig minden rendben. Azonban problémás, hogy az importőr számára a szervizeléshez köthető személyes adatokat személyhez köthetően továbbították, az ügyfélelégedettség méréséhez és az ügyfélkapcsolatok javításához az ügyfélazonosításra szükségük van.
Még az autó alvázszámát is feltüntették a felmérésre felkérő levélben, amire semmi szükség sem lett volna – hányan ismerjük kívülről saját autónk alvázszámát?
Azt is kifogásolták, hogy az e-mailben nem volt semmilyen információ arra vonatkozóan, hogy a személyes adatok forrása mi volt, és ki milyen jogalappal kezeli az ügyfél személyes adatait. Emiatt az ügyfél nem tudta gyakorolni érintetti jogait, tájékoztatást sem tudott kérni az importőrtől. Az adatfeldolgozó adatkezeléssel kapcsolatos tájékoztatását sem találhatták az e-mailben.
A NAIH az ötmillió forintos bírság meghatározásánál figyelembe vette, hogy:
– az importőr nem megfelelően tájékoztatta az ügyfeleket
– megsértette a GDPR alapelveit
– az érintett nem tudott tiltakozni előre az adatkezeléssel szemben, mert azt nem is láthatta előre.
Az importőrnek jogos érdeke volt az ügyfelek véleményét kikérdezni, de ez a jogos alap a többi feltételtől (megfelelő tájékoztatás és ebből adódóan az érintett joggyakorlásának képessége) függetlenül nem lehet érvényes. Ugyanakkor ez a jogos érdek nem jelent jogalapot az adatok kezelésére.