Az olasz adatvédelmi hatóság két részletben, összesen 11,5 M eurós adatvédelmi bírságot szabott ki az ENI olasz energetikai társaságra kéretlen direktmarketing eszközök alkalmazása miatt. A bírság összegének kiszabása során a hatóság figyelemmel volt a tevékenység széleskörűen alkalmazott voltára, elterjedtségére, időtartamára, illetve az ENI pénzügyi helyzetére is. (A fenti bírságösszeg egyébiránt nem a legmagasabb Olaszországban, hiszen a Telecom Italiával szemben azóta 27,8 M eurós bírság kiszabására is sor került, de erről majd egy későbbi bejegyzésben.)
Az első 8 M eurós bírságot a személyes adatok direkt marketing céljaira történő jogellenes kezelése miatt szabta ki a hatóság, miután már közvetlenül a GDPR alkalmazandóvá válását követően több tucat panasz és kérelem érkezett hozzá az ENI eljárása kapcsán.
Az ENI tevékenységének vizsgálata megállapította, hogy szisztematikusan alkalmazta a következő módszereket:
- promóciós telefonhívások az érintettek hozzájárulása hiányában, illetve azok kifejezett visszautasítása ellenére is;
- a direkt marketing eszközökhöz kapcsolódó leiratkozási opció/lehetőség (opt-out) alkalmazásának hiánya;
- a felhasználók észrevételeinek, kéréseinek kezelésére/teljesítésére szolgáló technikai és szervezési intézkedések hiánya;
- az engedélyezettnél hosszabb adatmegőrzési idők alkalmazása;
- továbbá a jövőbeli, potenciális ügyfelek adatainak az átvétele olyan társaságoktól, amelyek ehhez nem szerezték be a hozzájárulásukat.
A hatóság a fenitek kapcsán előírta az ENI számára a megfelelő technikai és szervezési intézkedések kialakítását direkt marketing tevékenysége során (pl. az un. feketelisták, vagyis a leiratkozók adatbázisa és az társaság saját ügyfél adatbázisa közötti automatikus adatkapcsolat kialakítását) továbbá megtiltotta a más társaságoktól történő adatátvételt, amennyiben ahhoz nem kapcsolódik hozzájárulás.
A második – 3 M eurós – bírság kiszabására olyan adatvédelmi alapelvek megsértése miatt került sor mint a tisztességes adatkezelés, az adatpontosság elve, valamint az adatok helyesbítésének, aktualizálásának kötelezettsége. Történt ugyanis, hogy számos ügyfélpanasz érkezett mivel sokan (több mint 7000 ügyfél) a szerződésük megváltozásáról csak az új szerződési feltételeket rögzítő levélből, vagy az ENI által küldött számlából értesültek. A hatóság megállapításai szerint a fenti szabálytalanságok az ENI és az új ügyfelek bevonása tekintetében az érdekében eljáró, általa bevont közreműködők nem megfelelő eljárásaira volt visszavezethető.
Az olasz felügyeleti hatóság döntéseiből is látható, hogy egy-egy személyes adat kezelés esetén önmagában az alapelvekben lefektetett elvárások nem teljesülése bírsághoz vezető ok. Sőt! Tekintettel a GDPR 83. cikk (5) bekezdésének a) pontjára az alapelvek megsértése a súlyosabb – azaz a 20 millió Euróig, vagy az éves világpiaci forgalom 4%-ig terjedő – bírságot megalapozó tényező!