Andmekaitseuudised

„nagu päriselt? mingite meilide pärast“?

Postitatud

Isikuandmed otseturunduses ja koostöökohustus järelevalveasutusega Belgia näitel

16.juunil 2020 tegi Belgia andmekaitse järelevalveasutuse vaidluste lahendamise koda (La Chambre Contentieuse de l’Autorité de protection des données) otsuse otseturunduse ning andmetöötleja l’ASBL Y’i ebapiisava koostöövalmiduse kohta.

https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/D%C3%A9cision_CC_32-2020_FR.pdf

Septembris 2019 esitas eraisik X järelevalveasutusele kaebuse, milles teatas, et  ASBL Y saadab talle meilile e-kirju erinevate enda teenuste kohta. Eraisik X  kinnitas, et on korduvalt teada andnud, et ta ei soovi neid kirju saada ning avaldanud ka soovi, et tema andmed ettevõtte andmebaasist eemaldataks.

25.03.2019 oli eraisik X veelkord esitanud nõudmise, et ASBL Y lõpetaks talle meilide saatmise ning andis ühtlasi teada, et kavatseb vastasel juhul järelevalveasutusele kaevata. Siiski saatis ettevõte talle vaatamata keeldumisele jätkuvalt reklaami oma eelseisvate etenduste kohta.

Pärast seda, kui eraisik X septembris 2019 kaebuse esitas, andis järelevalveasutus ASBL Y-le juba enne asja sisulise lahendamise juurde asumist korralduse 7 päeva jooksul viia oma tegevus vastavusse GDPR-ga, st võimaldada isikul teostada oma õigusi vastuväidete esitamisele ja kustutamisele (art 21 lg 2 et 17 lg 1 c) ning lõpetada täielikult eraisik X ’i isikuandmete otseturunduse eesmärgil töötlemine  (artikkel 21 lg 3).

Samuti andis järelevalveasutus ettevõttele kui vastutavale töötlejale korralduse teavitada vastavalt GDPR art 19 kõiki vastuvõtjaid, kellele selle isiku andmeid oli avaldatud.  Ettevõtjale jäi kohustuseks ka järelevalveasutust oma sammudest teavitada.

  1. oktoobril tegi järelevalveasutus oma otsuse ettevõttele tähitud posti abil teatavaks. Ettevõte ei reageerinud, ei võtnud järelevalveasutusega ühendust ega teavitanud korralduse täitmiseks astutud sammudest.

Seejärel andis järelevalveasutus mõlemale osapoolele korralduse esitada oma argumendid. Sellele vastas ettevõte e-meiliga järgmiselt: „Nagu päriselt? Milles asi? Meilides? Ei ole imestada, et maailm alla käib.“

Kumbki pool oma argumente ei esitanud. Järelevalveasutus kutsus aprillis 2020 ettevõtet veelkord üles oma seisukohti esitama ning andis selleks ka lisaaega.

Oma otsuse mainib järelevalveasutus, et GDPR ei defineeri otseturundust ega selgita, mida tähendab töötlemise otseturunduse eesmärgil. Seega lähtub Belgia järelevalveasutus enda 17.01.2020 antud soovitusest nr 01/2020, milles otseturundus on defineeritud järgmiselt: „otseturundus on igasugune soovitud või soovimatu kontaktivõtt, mille eesmärk on reklaamida mistahes organisatsiooni või isikut, teenust, toodet, sõltumatult sellest, kas see on tasuta või mitte, samuti kaubamärki või ideed, mida organisatsioon või isik teeb kaubanduslikel või muudel eesmärkidel otse ühele või mitmele füüsilisele isikule /…/.

Lisaks eelpool nimetatud GDPR artiklite rikkumisele toob järelevalveasutus eraldi esile andmetöötleja ettevõtte poolse ettekirjutuste täitmata jätmise, sobimatu suhtumise ja soovimatuse koostööd teha, mistõttu läheb ta vastuollu GDPR artikliga 31. GDPR artikkel 31 näeb ette, et vastutav töötleja peab oma ülesannete täitmise käigus taotluse korral tegema koostööd järelevalveasutusega. Järelevalveasutus leiab muuhulgas, et koostöösoovi puudumine on rikkumist raskendav asjaolu.

Järelevalveasutus tegi ettevõttele noomituse, trahvi ning ettekirjutuse võtta arvesse eraisik X vastuväited, kustutada tema andmed ning teavitada kõiki vastuvõtjaid, kellele eraisik X  isikuandmeid oli avaldatud ning teavitada sammudest järelevalveasutust.