Włoski organ właściwy do spraw ochrony danych osobowych (Garante per la protezione dei dati personali) nałożył karę na włoską spółkę działającą w branży energetycznej – Iren Mercato S.p.A. – w związku z przetwarzaniem przez nią danych osobowych w celach marketingowych, z naruszeniem przepisów o ochronie danych osobowych. Kwota jest znaczna – prawie 3 miliony euro (ok. 13,5 miliona złotych).
To siódma – co do wysokości – kara nałożona przez włoskiego regulatora w oparciu o przepisy RODO.
Liczne skargi
Włoski organ nadzorczy wskazał, że wpłynęło do niego bardzo wiele skarg osób fizycznych dotyczących działań telemarketingowych prowadzonych przez spółkę. Postępowanie kontrolne regulatora – wszczęte wskutek otrzymanych niepokojących sygnałów – niestety potwierdziło obawy skarżących. Okazać się miało bowiem, że ukarany administrator przetwarzał dane osobowe w celach telemarketingowych, które nie zostały pozyskane bezpośrednio od zainteresowanych osób. Organ nadzorczy ustalił, że spółka zakupiła bazy informacji, zawierające dane osobowe od innego przedsiębiorcy, który z kolei pozyskał je uprzednio od dwóch innych spółek. Co ciekawe, te ostatnie posiadały skuteczne zgody potencjalnych klientów na kontakt marketingowy, niemniej zgody te nie obejmowały przekazania ich danych osobowych ukaranej spółce w celach telemarketingowych.
Cambridge Analytica: Włoski organ nałożył 1 milion euro kary na Facebooka
Marketing tylko za zgodą
Włoski organ nadzorczy podkreślił w swojej decyzji, że chęć przetwarzania danych osobowych potencjalnych klientów, czy też innych osób fizycznych, obliguje administratora do pozyskania od tych osób zgody, która spełniać będzie wymogi określone w przepisach o ochronie danych osobowych. Może ona co prawda obejmować przekazanie danych osobowych w celach marketingowych na rzecz konkretnych podmiotów trzecich, niedopuszczalne jest jednak – jak ocenia regulator – aby taka zgoda upoważniała administratora do przekazywania danych osobowych do bliżej nieokreślonych podmiotów, z którymi podejmie on współpracę w przyszłości. Organ nadzorczy wyraźnie podkreślił w swojej decyzji, że skuteczności zgody na przetwarzanie danych osobowych – w jakimkolwiek celu – nie można automatycznie i dowolnie rozciągać na kolejnych administratorów, którzy pozyskają dane osobowe w sposób pośredni. Taka sytuacja powoduje bowiem, że świadomość określonej osoby, która w danych okolicznościach udziela zgody na przetwarzanie jej danych osobowych (np. w celach marketingowych), jest iluzoryczna, a w konsekwencji nie będzie spełniać wymagań określonych w przepisach RODO.
Miliony euro za miliony pokrzywdzonych
Włoski organ nadzorczy wskazał w decyzji, że na wysokość kary pieniężnej nałożonej na spółkę wpływ miało wiele czynników. Jednym z nich była duża skala naruszenia. W ocenie regulatora, dotyczyć ono miało bowiem aż kilku milionów osób fizycznych. Tak surowa kara nie może więc dziwić. Organ nadzorczy wskazał również, że w toku postępowania kontrolnego ukarana spółka – pomimo wezwań – nie przedłożyła kompletnych i wyczerpujących wyjaśnień. Warto zwrócić uwagę, że tego typu postępowanie administratorów zaczęło być w ostatnim czasie penalizowane również przez polski organ nadzorczy, tj. Prezesa Urzędu Ochrony Danych Osobowych (więcej na ten temat pisaliśmy TUTAJ – https://gdpr.pl/milczenie-jest-zlotem-czyli-ile-kosztuje-brak-odpowiedzi-na-pytania-uodo).
Pełna treść decyzji: