Провали се опит на финландска компания да докаже, че електронните й съобщения не нарушават GDPR

Наложиха й глоба от 7 000 евро

Финландският DPA наложи финансова санкция на компания за извършване на електронен директен маркетинг без предварително съгласие, както и пренебрегване правата на субекта на данните. Компетентният съвет на финландския омбудсман реши да наложи административна глоба на Acc Consulting Varsinais-Suomi (Independent Consulting Oy) за изпращане на електронни съобщения за директен маркетинг без предварително съгласие, както и пренебрегване на правата на субекта на данните. Компанията не успява да докаже, че е обработвала законно лични данни, въпреки опитите да докаже, че електронни съобщения, изпращани на юридически лица, не нарушават GDPR.

Сагата започва през пролетта на 2019 г. , когато в Службата на омбудсмана за защита на данните са получени единадесет жалби от електронен директен маркетинг.

В жалбите субектите на данни съобщават, че са получили директни маркетингови съобщения от компанията, без да са дали съгласието си за това. Съгласно член 4, параграф 11 от Общия регламент на ЕС за защита на данните (GDPR), съгласието трябва да бъде свободно дадено, конкретно, информирано и недвусмислено посочване на желанията на субекта на данните.

Някои от субектите на данни са отговорили на маркетинговото съобщение, изпратено като SMS, както е поискано от администратора, за да се забрани директният маркетинг. Въпреки забраната, субектите на данни все още са получавали директни маркетингови съобщения от администратора. Следователно администраторът не е успял да приложи правото на субектите на данни да възразят в съответствие с GDPR.

По мнение на администратора, той е насочил електронния директен маркетинг към фирми, за които предварителното съгласие не се прилага съгласно Закона за информационното общество. Администраторът се оправдава, че телефонните номера на субектите на данни са били използвани от компания, в която субектът на данни работи, и че тези компании са в обхвата на клиентския сегмент.

Според DPA администраторът е трябвало да поиска съгласието на субекта на данните за електронния директен маркетинг. Освен това в някои от жалбите субектите на данни са отправили искания относно правата си в съответствие с GDPR. Администраторът обаче не е отговорил на заявките без ненужно забавяне и в рамките на един месец от получаването й, както се изисква от GDPR.

Според заместник-омбудсмана за защита на данните администраторът не е успял да докаже, че е обработвал законно личните данни.

Съветът по санкциите на Службата на омбудсмана за защита на данните наложи финансова санкция от 7 000 евро.

Като смекчаващ фактор за размера на финансовата санкция е взето предвид, че по време на делото не е установено, че субектите на данни са претърпели финансови или други материални щети.

Можете да споделите: