Podstawą większości akcji marketingowych są dane osobowe. Konieczne jest w takim przypadku podjęcie działań zapewniających, że są one przetwarzane legalne i zgodnie z RODO. W tym kontekście włoski organ nadzoru nałożył administracyjne kary pieniężne wobec 4 przedsiębiorstw (200 tys. euro, 300 tys. euro, 500 tys. euro, 800 tys. euro) za nielegalne zebranie i dzielenie się danymi osobowymi.
Zorganizowana grupa marketingowa
Dwie powiązane spółki MAS Srl i MAS Srls zajmowały się marketingiem door-to-door (od drzwi do drzwi), oferując sprzedaż gazu i energii elektrycznej. MAS Srl i Srls tak blisko ze sobą współpracowały, że dzieliły ze sobą biura i pracowników. Te dwie firmy i spółki Sesta Impresa oraz Arnia działały razem dzieląc się danymi osobowymi klientów.
Cały system zaczął funkcjonować, gdy MAS Srls zakupiło bazy danych osobowych od włoskich i hiszpańskich firm, jak również od nieznanego sprzedawcy na Facebooku. Zebrane dane osobowe posłużyły spółkom MAS do prowadzenia marketingu. Firmy te nie informowały jednak swoich klientów, że działają jedynie jako pośrednicy dla spółek Hera Comm i Enel Energia. Ponadto klienci nie byli informowani, jak spółki pozyskały ich dane.
Do bazy danych osobowych miały dostęp również spółki zajmujące się telemarketingiem, wskazywane wcześniej Sesta Impressa oraz Arnia, które dzwoniły do klientów, nie zbierając od nich wcześniej żadnych zgód – sprzedając usługi Hera Comm i Enel Energia.
Naruszenia
Postępowanie wobec tych 4 spółek zostało wszczęte na skutek informacji od Guardia di Finanza, organu zajmującego się m.in. przestępstwami gospodarczymi. Włoski organ nadzorczy podczas toczącego się postępowania odkrył szereg naruszeń RODO:
- Po pierwsze dane klientów, wobec których prowadzony był marketing, zostały zebrane nielegalnie.
- Po drugie wymiana danych osobowych pomiędzy spółkami nie była w żaden sposób uregulowana. Spółka Arnia jako jedyna zawarła umowę o powierzeniu przetwarzania danych osobowych z Sesta Impressa. Pozostałe organizacje nie zawarły żadnych umów o współadministrowanie, czy umów o powierzeniu przetwarzania. Ponadto same spółki, których usługi były sprzedawane również nie zawarły z tymi podmiotami żadnych umów powierzenia. Zawarte były jedynie umowy zlecające marketing.
Organ ochrony danych stwierdził, że doszło do naruszenia przez spółki art. 5 ust. 1 lit. a), art. 6, art. 7 i art. 13 RODO. Ponadto uznał, że brak umów powierzenia naruszył art. 28 i 29 RODO, a brak rejestru czynności przetwarzania art. 30 RODO. Z tych powodów uznał przetwarzanie za „radykalnie nielegalne” i nakazał firmom jego zaprzestanie. Ponadto nakazał konfiskatę komputerów i dokumentów zawierających dane osobowe, które zostały nielegalnie zebrane.
Legalny marketing – czyli jaki?
Powyższy przypadek doskonale pokazuje, jak nie powinno się przeprowadzać marketingu. W opisywanej sytuacji organizacje nie posiadały żadnej formalnej kontroli nad danymi osobowymi i nie wypełniały podstawowych obowiązków wskazanych w RODO. Przez działania tych spółek, dane osobowe klientów nie były w żaden sposób chronione.
Ramy przetwarzania danych powinny obejmować m.in.:
- legitymowanie się przesłankami pozyskania i dalszego przetwarzania danych,
- pozyskanie zgód na przekazywanie treści marketingowych drogą elektroniczną,
- spełnienie obowiązków informacyjnych,
- właściwe zabezpieczenie danych,
- tam gdzie to konieczne – zawarcie umów powierzenia. W trakcie takiego procesu może się okazać, że dana spółka posiada bardzo słaby standard ochrony danych osobowych, a my jako administrator moglibyśmy otrzymać karę od UODO za zaniedbania po stronie naszego procesora (patrz: sprawa Pika Sp. z. o.o.).
Organizacje, które korzystają z usług firm marketingowych powinny zwracać uwagę czy ich kontrahenci działają zgodnie z RODO. Naruszenia RODO to bowiem potencjalnie widmo nie tylko kar administracyjnych, ale i strat wizerunkowych.
Źródło:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9893718
