Fiński organ właściwy ds. ochrony danych osobowych (Tietiosuojavaltuutetun Toimisto), a bardziej precyzyjnie – Rada ds. sankcji tego organu – nałożył administracyjną karę pieniężną na fińską spółkę organizującą szkolenia – Acc Consulting Varsinais-Suomi. Kwota kary to 7000 euro (niecałe 32 000 zł). Regulator zarzucił ukaranemu administratorowi, że ten prowadził działania o charakterze marketingowym bez stosownej zgody oraz nie respektował praw osób, których dane dotyczą, w tym nie realizował ich żądań, kierowanych na podstawie przepisów RODO. Co ciekawe, fiński organ nadzorczy równocześnie upomniał spółkę w związku ze stwierdzonymi nieprawidłowościami.
Liczne skargi na marketing
Jak wynika z decyzji, wiosną i latem 2019 r. do fińskiego organu nadzorczego wpłynęło jedenaście skarg osób fizycznych, które dotyczyły otrzymywania od spółki w formie elektronicznej treści o charakterze marketingowym (oferty organizowanych przez nią kursów). Skarżący wskazali, że pomimo braku udzielania stosownej zgody, otrzymywali od spółki oferty marketingowe. Co więcej, część z nich wprost poinformowała spółkę, że nie chce otrzymywać dalszych ofert marketingowych, lecz działania te nie przyniosły żadnych efektów.
Brak uprzedniej zgody
Organ nadzorczy podkreślił w swoim rozstrzygnięciu, że zgodnie z fińskimi przepisami krajowymi, marketing bezpośredni może być skierowany wyłącznie do osób fizycznych, które wyraziły na to uprzednią zgodę. Co więcej – stosownie do art. 4 ust. 11 RODO – taka zgoda musi być udzielona dobrowolnie, konkretnie, świadomie i jednoznacznie wskazywać wolę osoby, której dane dotyczą.
Regulator uznał, że przed skierowaniem ofert o charakterze marketingu bezpośredniego administrator powinien był odrębnie określić status danej osoby w organizacji i ocenić w szczególności, czy oferowane kursy były w znacznym stopniu powiązane z obowiązkami zawodowymi danej osoby. W ocenie fińskiego organu nadzorczego spółka powinna była ponadto uzyskać uprzednią zgodę wskazanych osób na realizowanie wobec nich elektronicznego marketingu bezpośredniego. Zarzucił on ukaranemu administratorowi, że nie respektował on prawa osób fizycznych do wniesienia – na podstawie przepisów RODO – skutecznego sprzeciwu, jak również nie odpowiedział na wnioski osób, które dane dotyczą w terminach przewidzianych w RODO i niezasadnie nie uwzględnił wskazanych w nich żądań.
Wskazówki Fińskiego Organu dotyczące służbowej poczty elektronicznej pracownika
W toku postępowania ukarana spółka wskazywała, że wiadomości reklamowe kierowane były bezpośrednio do przedsiębiorcy, wobec którego – zgodnie z fińskimi przepisami krajowymi – uprzednia zgoda na marketing bezpośredni nie jest wymagana. Wskazywała ona także, że numery telefonów osób, których dane dotyczą, były wykorzystywane przez przedsiębiorcę, u którego te osoby pracują. Regulator nie podzielił jednak tego stanowiska.
Wskazówki Francuskiego Organu dotyczące przekazywania danych partnerom biznesowym.
Nie tylko kara
Organ nadzorczy wskazał w decyzji, że nakładając administracyjną karę pieniężną na spółkę uwzględnił w szczególności umyślny charakter czynu, liczbę podobnych naruszeń w krótkim okresie, obojętność administratora wobec organu nadzorczego oraz niepodjęcie przez administratora działań naprawczych w zakresie marketingu bezpośredniego i realizacji praw osoby, której dane dotyczą. Jako czynnik łagodzący uznał on natomiast fakt, że w trakcie postępowania nie ustalono, że osoby, których dane dotyczą, mogą ponieść szkody finansowe lub inne szkody materialne w związku ze stwierdzonym naruszeniem.
Co ciekawe, poza nałożeniem na spółkę kary pieniężnej, regulator udzielił jej jednocześnie upomnienia w związku z przetwarzaniem danych osobowych bez stosownej zgody oraz za nierespektowanie i nierealizowanie określonych praw wynikających z RODO. Zobowiązał on również administratora do weryfikacji i poprawy swoich metod działania w zakresie marketingu bezpośredniego.
Wydaje się, że skorzystanie przez organ nadzorczy z instrumentu o charakterze naprawczym, jakim jest upomnienie (art. 58 ust. 2 lit. b RODO) oraz jednoczesne nałożenie na administratora administracyjnej kary pieniężnej, jest rozwiązaniem rzadko stosowanym przez unijne organy właściwe ds. ochrony danych osobowych, w tym przez polski Urząd Ochrony Danych Osobowych. Upomnienie wydaje się bowiem sankcją stosowaną przy naruszeniach mniejszej wagi, na które organy nadzorcze nie nakładają od razu kar pieniężnych. Zgodnie jednak z przepisami RODO, takie rozwiązanie jest dopuszczalne.
Pełna treść decyzji w j. fińskim dostępna jest tutaj:
https://finlex.fi/fi/viranomaiset/tsv/2020/20200632
Źródło:
