Belgien: NMBS bötfälls med 10 000 euro för oönskad direktmarknadsföring

Den belgiska dataskyddsmyndigheten Gegevensbeschermingsautoriteit (GBA) har bötfällt Belgiens nationella järnvägsbolag NMBS med 10 000 euro för överträdelser av artiklarna 5.1, 5.2, 6.1, 12.2, 21.2 och 21.4 i dataskyddsförordningen (GDPR).

Av beslutet framgår att en Twitteranvändare har lämnat in ett klagomål avseende ett e-postmeddelande som hon hade fått från NMBS avseende “Hello Belgium Railway Pass”, som är en biljett för belgiska invånare som ger dem ett antal gratis tågresor. Efter att ha granskat de fakta som Twitteranvändaren lämnat beslutade GBA att inleda en granskning av händelsen på eget initiativ. Under sin granskning konstaterade GBA att e-postmeddelandet innehöll NMBS allmänna villkor, instruktioner om hur järnvägspasset ska användas på rätt sätt och Covid-relaterad information. Meddelandet innehöll dock även information av reklamkaraktär och ingen avregistreringsknapp eller länk fanns med. Under granskningsförfarandet framförde NMBS att e-postmeddelandet var avsett att påminna mottagarna om att alltid se till sin säkerhet när de reser och påminna dem om avtalsvillkoren. NMBS ansåg därför att e-postmeddelandet var nödvändigt för att fullgöra de avtal som ingåtts med biljettinnehavarna enligt artikel 6.1 (b) GDPR.

GBA avvisade NMBS:s argument att det var nödvändigt att skicka ett e-postmeddelande med reklaminnehåll för att fullgöra avtalet enligt artikel 6.1 (b) GDPR. Enligt GBA kunde syftet att informera biljettinnehavarna om avtalsvillkoren och säkerhetsåtgärderna också ha uppnåtts genom att publicera informationen på NMBS:s webbplats. GBA ansåg vidare att e-postmeddelandet utgjorde direktmarknadsföring enligt artikel 21.2 GDPR och att NMBS, genom att inte ge de registrerade möjlighet att avstå från att ta emot liknande e-postmeddelanden i framtiden, brutit mot artiklarna 12.2, 21.2 och 21.4 i GDPR.

Mer information

Myndighet: Gegevensbeschermingsautoriteit (GBA)

Land: Belgien

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 12 GDPR, art. 21 GDPR

Sanktionsavgift: 10 000 euro

Mottagare: Järnvägsbolag NMBS

Beslutsnummer: 71/2022

Beslutsdatum: 2022-05-04

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

19 SEP

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och kunskap om hur du kan utveckla och använda AI-system på ett lagenligt sätt.

21 SEP

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.