GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Gigantyczna kara dla spółki telekomunikacyjnej

Gigantyczna kara dla spółki telekomunikacyjnej

Gigantyczna kara dla spółki telekomunikacyjnej

Francuski organ do spraw ochrony danych osobowych (Commission Nationale de l’Informatique et des LibertésCNIL), poinformował o nałożeniu gigantycznej kary pieniężnej na francuską spółkę telekomunikacyjną Orange SA. Kara to aż 50 milionów euro (ponad 213 milionów złotych). Powodem nałożenia kary były nieprawidłowości w zakresie prowadzenia przez administratora działań marketingowych oraz wykorzystywania przez niego plików cookie.

Niedozwolony marketing

W toku postępowania organ nadzorczy ustalił, że w ramach oferowanej przez spółkę usługi komunikacyjnej ,,Orange Mail”, spółka umożliwiała klientom założenie i korzystanie z dedykowanej dla każdego klienta skrzynki mailowej. Okazało się, że ukarany administrator wykorzystywał te skrzynki również do działalności o charakterze marketingowym. W skrzynkach odbiorczych klientów – pomiędzy prywatną korespondencją klientów – umieszczane były bowiem dodatkowo wiadomości zawierające treści reklamowe. W ocenie regulatora, administrator nie pozyskał w tym zakresie niezbędnych zgód od klientów, tj. zgód na przekazywanie treści marketingowych. CNIL powołał się w swoim rozstrzygnięciu m.in. na orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE), zgodnie z którym operator skrzynki mailowej nie może umieszczać wiadomości od reklamodawców w przestrzeni przeznaczonej na wiadomości prywatne, bez uzyskania zgody osoby, której dane dotyczą na przetwarzanie jej danych w tym celu. Francuski organ nadzorczy podkreślił przy tym, że zakwestionowany proces przetwarzania danych osobowych fundamentalnie różni się od sytuacji, w której reklamodawcy sami wysyłają treści marketingowe z wykorzystaniem adresu e-mail.

Surowa kara za telemarketing

Nieprawidłowości w zakresie plików cookie

Postępowanie przeprowadzone przez CNIL wykazało również, że narzędzia umożliwiające zarządzaniem plikami cookie na stronie internetowej ukaranego administratora nie były poprawnie skonfigurowane. Regulator wskazał, że użytkownicy co prawda mieli możliwość wycofania zgody na wykorzystywanie plików cookie, niemniej w przypadku jej wycofania nowe pliki nie były zapisywane na urządzeniu użytkownika, ale pliki zapisane podczas wcześniejszych wizyt na stronie internetowej administratora były przechowywane i wykorzystywane. Zdaniem francuskiego organu nadzorczego, stosowanie takich rozwiązań technicznych jest explicite zabronione przez francuskie przepisy będące odpowiednikiem polskiej ustawy o ochronie danych osobowych (La loi Informatique et Libertés). Przepisy te zabraniają operatorom stron internetowych uzyskiwania dostępu do takich danych w jakikolwiek sposób, nawet jeśli dane te nie są wykorzystywane.

Zdecydowała skala naruszeń

CNIL wskazał, że ujawnione naruszenia ukaranego administratora dotknęło prawie 8 milionów osób, których dane dotyczą, co było jednym z decydujących czynników mających wpływ na wysokość nałożonej kary przez organ nadzorczy. Co ciekawe, CNIL w tym przypadku nałożył karę w wysokości 0.11% rocznego obrotu administratora. Dodatkowo, regulator ukarał spółkę karą w wysokości 100 000 euro (ponad 425 000 złotych) za każdy dzień opóźnienia w zakresie usunięcia nieprawidłowości dotyczących wykorzystywania plików cookie.

 

Źródło:

https://www.cnil.fr/en/advertisements-inserted-among-emails-orange-fined-eu50-million