Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 10 000 euro mot Vodafone för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad, efter att ha begärt att Vodafone skulle tillhandahålla en mobiltelefonitjänst, fick ett paket med produktprover hemskickat. Paketet skickades av ett av Vodafones partnerreklamföretag. Den registrerade var missnöjd och lämnade in ett klagomål till HDPA, där han hävdade att han uttryckligen hade motsatt sig användningen av sina personuppgifter i reklamsyfte.
Som svar hävdade Vodafone att paketet inte skickats i reklamsyfte, utan snarare som en tilläggstjänst till den mobiltelefonitjändt som den registrerade beställt. Enligt Vodafone var syftet med denna extratjänst att belöna nya kunder, som får gåvor oavsett deras preferenser när det gäller kampanjer. Vodafone hävdade dessutom att kunderna informerats om denna extratjänst genom en banner på webbplatsen.
HDPA avvisade Vodafones påståenden och ansåg att överföringen av personuppgifter till partnerföretaget hade ett reklamsyfte. HDPA framhöll vidare att konsumenter som lämnar sina personuppgifter för att teckna avtal om en telefonitjänst inte förväntar sig att dessa uppgifter kommer att användas för andra ändamål. I det aktuella fallet uttrycktes en sådan förväntan uttryckligen, eftersom den registrerade motsatt sig användningen av hans uppgifter i reklamsyfte. Av denna anledning konstaterade HDPA att det skett en överträdelse av principen om laglighet, rättvisa och öppenhet enligt artikel 5.1 (a) GDPR.
Dessutom konstaterade HDPA en överträdelse av artikel 13 GDPR, eftersom Vodafone inte korrekt informerat de registrerade om att en enkel begäran om en telefontjänst skulle innebära att ytterligare tjänster skulle avtalas. Som ett led i utövandet av sina befogenheter har HDPA utfärdat en sanktionsavgift på 10 000 euro mot Vodafone. HDPA beordrade även Vodafone att anpassa sin praxis i enlighet gällande krav.