+36304177429 info@datad.hu

Elégedetlen volt az ügyfél az ügyfélelégedettségi felmérés GDPR megsértése miatt

Csak ötmillió forintos bírságról van szó a NAIH október végén közzétett határozatában, ámde látszik, hogy az ügyfélelégedettséggel kapcsolatos adatkezelésnél is figyelni kell a GDPR betartására.

A kép csak illusztráció. Forrás: pixabay.com

 

Az ügy röviden arról szól, hogy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) forduló fogyasztó egy szervíznél megvizsgáltatta vagy megjavíttatta autóját. A szervíz elkérte e-mail címét is. Erre az e-mail címre 2021 elején kéretlen e-mail kapott az autó importőrétől, amiben arra kérték, hogy a szervíznél tett látogatásával kapcsolatban töltsön ki egy elégedettségi kérdőívet.

A február 12-én érkezett levélre nem reagált a fogyasztó, így az importőr újból küldött egy második kéretlen levelet február 19-én, amelyben ismételten megkérték, hogy töltse ki az elégedettségi kérdőívet.

Minőségi munkát vártak el

Amint az a hatóság határozatából kiderült, a szervíz és az adott autó importőre között olyan szerződés létezett, melynek értelmében a szervíz csakis minőségi munkát végezhet. Az elvégzett munka minőségét pedig csak úgy tudta megállapítani az importőr, ha megkérdezi az ügyfeleket.

Vagyis a szervizt kötelezte az importőr, hogy az ügyfél adatokat továbbítsa számára. A két fél közötti szerződés másik fontos pontja az volt, hogy az importőr kikötötte, a szerződés egyoldalúan felmondhatja, ha az ügyfélelégedettség nem az általa meghatározott, megfelelő szintű.

Az autó márkájáról és a szervízről nem árultak el adatokat, a határozatból kiderült, hogy francia márkáról van szó, vagyis Citroen, Dacia, Peugeot vagy Renault szervízről és importőrről beszélünk. (Képünk csak illusztráció.)

Autó alvázszámra semmi szükség

Ezzel eddig minden rendben. Azonban problémás, hogy az importőr számára a szervizeléshez köthető személyes adatokat személyhez köthetően továbbították, az ügyfélelégedettség méréséhez és az ügyfélkapcsolatok javításához az ügyfélazonosításra szükségük van.

Még az autó alvázszámát is feltüntették a felmérésre felkérő levélben, amire semmi szükség sem lett volna – hányan ismerjük kívülről saját autónk alvázszámát?

Azt is kifogásolták, hogy az e-mailben nem volt semmilyen információ arra vonatkozóan, hogy a személyes adatok forrása mi volt, és ki milyen jogalappal kezeli az ügyfél személyes adatait. Emiatt az ügyfél nem tudta gyakorolni érintetti jogait, tájékoztatást sem tudott kérni az importőrtől. Az adatfeldolgozó adatkezeléssel kapcsolatos tájékoztatását sem találhatták az e-mailben.

A NAIH az ötmillió forintos bírság meghatározásánál figyelembe vette, hogy:

–  az importőr nem megfelelően tájékoztatta az ügyfeleket

– megsértette a GDPR alapelveit

– az érintett nem tudott tiltakozni előre az adatkezeléssel szemben, mert azt nem is láthatta előre.

Az importőrnek jogos érdeke volt az ügyfelek véleményét kikérdezni, de ez a jogos alap a többi feltételtől (megfelelő tájékoztatás és ebből adódóan az érintett joggyakorlásának képessége) függetlenül nem lehet érvényes. Ugyanakkor ez a jogos érdek nem jelent jogalapot az adatok kezelésére.

A NAIH teljes határozata itt olvasható el.

Röpködnek a GDPR gigabírságok: 225 millió eurót kell fizetnie a WhatsApp-nak

225 millió euró a második legnagyobb GDPR bírság. A 2018-ban indított GDPR ügyet a WhatsApp megtámadta, így az még sokáig elhúzódhat.

Az ír adatvédelmi hatóság még 2018-ban indította el a WhatsApp elleni vizsgálódását. A hatóságok szerint az üzenetküldő óriás vállalat nem megfelelően tájékoztatta az ügyfeleit arra vonatkozóan, hogy az adatait hogyan kezelte, több téren is hiányosságokat találtak.

Elnéző és lassú írek

Az ír hatóságok 2020 decemberében ismertették a többi adatvédelmi hatóságnak az elmarasztalás javaslatot. Az írek csak 30-50 millió eurós bírságot javasoltak, ám a javaslat nyolc megjegyzést kapott több adatvédelmi hatóság képviselőitől. Az ír adatvédelmi gyakorlatot a többi európai országok túl lassúnak és túl elnézőnek találják.

A végső döntés az European Data Protection Board (EDPB) vagyis az Európai Adatvédelmi Tanács kezébe került, aki 2021. június 3-án tárgyalta az ügyet. Az európai bürokráciához képest relatíve gyorsan, nyolc hét múlva már döntöttek is. A tanács nyolcszorosára növelte a javasolt bírságot. Álláspontja szerint annak kiszámításakor figyelembe kell venni az anyacég (Facebook) forgalmát is.

A második legnagyobb bírság

A hatóságok döntése értelmében a WhatsApp-nak módosítani kell adatkezelési gyakorlatán, amit részben meg is tett 2018 óta. A vállalat egyébként teljesen aránytalannak tartja a bírságot és fellebbez a döntés ellen. Az ír adatvédelmi hatóságnak egyébként tavaly év végén 14 nyitott ügye volt a Facebook és leányvállalataival, WhatsApp-pal és az Instagram-mal szemben.

Ez a második legnagyobb GDPR bírság.  A rekordot az Amazon ellen kiszabott büntetés tartja, 746 millió euróval, ezt a luxembourgi adatvédelmi hatóság írta elő.