GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych
12 października 2022

Profilowanie bez profilowania?

Udostępnij publikację:

Brytyjski organ nadzoru (Information Commissioner’s Office) ukarał spółkę Easylife Limited administracyjną karą pieniężną w wysokości 1 350 000 funtów brytyjskich za profilowanie swoich klientów bez podstawy prawnej. Dodatkowo spółka została ukarana karą w wysokości 130 000 funtów brytyjskich za nieprawidłowy marketing telefoniczny.

Profilowanie bez profilowania?

Postępowanie kontrolne

Easylife to spółka zajmująca się sprzedażą artykułów gospodarstwa domowego za pośrednictwem katalogów. W wyniku przeprowadzonej kontroli organ nadzorczy przyjrzał się bliżej zleconej przez spółkę akcji marketingowej. Polegała ona na sprzedaży tzw. „trigger products” tj. sprzedaż jednego z takich produktów, skutkowała kontaktem telefonicznym z klientem w celu zaoferowania mu innego dopasowanego do niego produktu. Cała idea opierała się na tym, że spółka wiązała zakupione „trigger products” z konkretnymi dolegliwościami na które prawdopodobnie klient chorował, a następnie oferowała produkty mające leczyć dane schorzenie. Organ nadzoru odpowiedział na pytanie czy takie działania stanowią profilowanie oraz, co niej miej ważne, przetwarzanie danych szczególnej kategorii. Obie odpowiedzi były pozytywne. Spółka twierdziła, że przetwarzanie opierało się na uzasadnionym interesie i że nie miało nic wspólnego z profilowaniem opartym o dane szczególnej kategorii.

Gigant technologiczny ukarany 20 milionami euro kary

Profilowanie bez podstawy

W wyniku postępowania organ stwierdził, że profilowaniu zostało poddanych aż 145 tys. klientów i żaden z nich nie został o tym fakcie powiadomiony. Organ nadzoru stwierdził naruszenie art. 5 ust.1 lit. a RODO oraz art. 6 RODO.

W uzasadnieniu decyzji urząd wskazał, że zawarte w polityce prywatności Easylife postanowienia nie pozwalały klientom na zrozumienie, że ich dane zostaną poddane profilowaniu. Dodatkowo akcja marketingowa była skierowana do osób starszych, które nie były w stanie zorientować się jakie prawa im przysługują, w tym, że mogą zgłosić taki incydent do organu nadzoru. Samo Easylife wydawało się nieświadome faktu, że przetwarza dane szczególnej kategorii. Easylife nie zebrało odrębnych  zgód na przetwarzanie danych szczególnej kategorii, co naruszyło art. 9 RODO oraz nie wskazało, że przetwarza te dane, co naruszyło art. 13 ust. 1 lit. c. RODO.

Profilowanie

Mając to wszystko na uwadze, ICO nałożył na Easylife administracyjną karę pieniężną w wysokości 1 547 000 euro.

Treść decyzji w j. angielskim:

https://ico.org.uk/media/action-weve-taken/mpns/4021801/easylife-limited-mpn-article-5-1-a-20221004.pdf

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies