Belgien: NMBS bötfälls med 10 000 euro för oönskad direktmarknadsföring

Den belgiska dataskyddsmyndigheten Gegevensbeschermingsautoriteit (GBA) har bötfällt Belgiens nationella järnvägsbolag NMBS med 10 000 euro för överträdelser av artiklarna 5.1, 5.2, 6.1, 12.2, 21.2 och 21.4 i dataskyddsförordningen (GDPR).

Av beslutet framgår att en Twitteranvändare har lämnat in ett klagomål avseende ett e-postmeddelande som hon hade fått från NMBS avseende “Hello Belgium Railway Pass”, som är en biljett för belgiska invånare som ger dem ett antal gratis tågresor. Efter att ha granskat de fakta som Twitteranvändaren lämnat beslutade GBA att inleda en granskning av händelsen på eget initiativ. Under sin granskning konstaterade GBA att e-postmeddelandet innehöll NMBS allmänna villkor, instruktioner om hur järnvägspasset ska användas på rätt sätt och Covid-relaterad information. Meddelandet innehöll dock även information av reklamkaraktär och ingen avregistreringsknapp eller länk fanns med. Under granskningsförfarandet framförde NMBS att e-postmeddelandet var avsett att påminna mottagarna om att alltid se till sin säkerhet när de reser och påminna dem om avtalsvillkoren. NMBS ansåg därför att e-postmeddelandet var nödvändigt för att fullgöra de avtal som ingåtts med biljettinnehavarna enligt artikel 6.1 (b) GDPR.

GBA avvisade NMBS:s argument att det var nödvändigt att skicka ett e-postmeddelande med reklaminnehåll för att fullgöra avtalet enligt artikel 6.1 (b) GDPR. Enligt GBA kunde syftet att informera biljettinnehavarna om avtalsvillkoren och säkerhetsåtgärderna också ha uppnåtts genom att publicera informationen på NMBS:s webbplats. GBA ansåg vidare att e-postmeddelandet utgjorde direktmarknadsföring enligt artikel 21.2 GDPR och att NMBS, genom att inte ge de registrerade möjlighet att avstå från att ta emot liknande e-postmeddelanden i framtiden, brutit mot artiklarna 12.2, 21.2 och 21.4 i GDPR.

Mer information

Myndighet: Gegevensbeschermingsautoriteit (GBA)

Land: Belgien

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 12 GDPR, art. 21 GDPR

Sanktionsavgift: 10 000 euro

Mottagare: Järnvägsbolag NMBS

Beslutsnummer: 71/2022

Beslutsdatum: 2022-05-04

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.