GDPR Case 023. Administrative fines imposed on a telephone service provider

日期：7 October 2019

國家：希臘

關鍵字：資料真實性、拒絕行銷權、資料保護預設

GDPR：§5 (1)(d)（accuracy）、§21 (3)（right to object to the processing for direct marketing purposes）、§25(1)（data protection by design）

裁決：行政罰鍰（€ 200,000、€ 200,000）

摘要：

違反資料真實性原則與資料保護預設原則——行政罰鍰（€ 200,000）

(1) 監管機關收到希臘電信公司（OTE）的用戶投訴，表示儘管他們已經在 OTE 註冊登記請勿打擾功能，但是仍然持續收到第三方公司來電，推廣產品或服務。

(2) 調查發現，這些用戶曾經向 OTE 提出攜碼請求，要求將將手機號碼移轉到其他電信公司，也因此，OTE同時將這些用戶從請勿打擾登記紀錄中，予以刪除；但是，當這些用戶取消攜碼請求時，並沒有適當的措施，可以將這些用戶從已刪除的請勿打擾登記紀錄中，予以復原。

(3) 如此一來，這些取消攜碼請求的用戶，一方面仍然是 OTE 的用戶，他方面，則不在請勿打擾登記紀錄的名單中，結果，因為這兩個系統的連結沒有相同的內容，使得這些用戶持續收到推廣電話。

(4) 監管機關發現，此一事件影響大量用戶，也違反了 GDPR §25（資料保護預設），以及 §5(1)(c) （真實性原則）等規定，因而對OTE課以 € 200,000 之行政罰鍰。

未依客戶反對權辦理，及違反資料保護預設原則——行政罰鍰（€200,000）

(5) 監管機關也收到來自 OTE 廣告資訊接收者的投訴，表示它們無法取消訂閱廣告資訊。

(6) 監管機關發現，自從 2013 年開始，由於技術性錯誤（technical error），使得廣告資訊接收者無法使用取消訂閱的功能，OTE 沒有適當的組織性措施，例如通過程式檢測資料主體的反對權無法獲得滿足。

(7) 此後，OTE 從廣告郵件收件者名單中，刪除了大約 8,000 人，這些人都是從 2013 年就嘗試取消訂閱，但沒有成功的人。

(8) 監管機關對於 OTE 下列違法行為，包括：(1) 資料主體直接行銷拒絕權（§21(3)），以及 (2) §25資料保護預設等，對OTE課以 € 200,000 之行政罰鍰。