Den belgiska dataskyddsmyndigheten Gegevensbeschermingsautoriteit (GBA) har bötfällt Belgiens nationella järnvägsbolag NMBS med 10 000 euro för överträdelser av artiklarna 5.1, 5.2, 6.1, 12.2, 21.2 och 21.4 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en Twitteranvändare har lämnat in ett klagomål avseende ett e-postmeddelande som hon hade fått från NMBS avseende “Hello Belgium Railway Pass”, som är en biljett för belgiska invånare som ger dem ett antal gratis tågresor. Efter att ha granskat de fakta som Twitteranvändaren lämnat beslutade GBA att inleda en granskning av händelsen på eget initiativ. Under sin granskning konstaterade GBA att e-postmeddelandet innehöll NMBS allmänna villkor, instruktioner om hur järnvägspasset ska användas på rätt sätt och Covid-relaterad information. Meddelandet innehöll dock även information av reklamkaraktär och ingen avregistreringsknapp eller länk fanns med. Under granskningsförfarandet framförde NMBS att e-postmeddelandet var avsett att påminna mottagarna om att alltid se till sin säkerhet när de reser och påminna dem om avtalsvillkoren. NMBS ansåg därför att e-postmeddelandet var nödvändigt för att fullgöra de avtal som ingåtts med biljettinnehavarna enligt artikel 6.1 (b) GDPR.
GBA avvisade NMBS:s argument att det var nödvändigt att skicka ett e-postmeddelande med reklaminnehåll för att fullgöra avtalet enligt artikel 6.1 (b) GDPR. Enligt GBA kunde syftet att informera biljettinnehavarna om avtalsvillkoren och säkerhetsåtgärderna också ha uppnåtts genom att publicera informationen på NMBS:s webbplats. GBA ansåg vidare att e-postmeddelandet utgjorde direktmarknadsföring enligt artikel 21.2 GDPR och att NMBS, genom att inte ge de registrerade möjlighet att avstå från att ta emot liknande e-postmeddelanden i framtiden, brutit mot artiklarna 12.2, 21.2 och 21.4 i GDPR.