GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Grecki organ nałożył kary za niewypełnienie zasady privacy by design

Grecki organ nałożył kary za niewypełnienie zasady privacy by design

Na stronie internetowej Helleńskiego organu ds. ochrony danych pojawiła się informacja o nałożeniu dwóch kar pieniężnych na operatora, głównie na skutek błędów w funkcjonowaniu jego systemu informatycznego, który nie pozwolił na przestrzeganie praw osób, których dane dotyczą.

Poniżej znajduje się tłumaczenie fragmentów ww. informacji, która w języku angielskim jest dostępna: tutaj.

(1) Nałożenie kary za naruszenie zasady prawidłowości oraz ochrony prywatności danych w fazie projektowania przy przechowywaniu danych osobowych subskrybentów

Helleński organ ds. ochrony danych otrzymał skargi od subskrybentów telefonicznych Helleńskiej Organizacji ds. Telekomunikacji (OTE), którzy otrzymywali niezamówione telefony w sprawie promocji produktów oraz usług od spółek, będących stronami trzecimi, pomimo że byli oni umieszczeni w rejestrze osób, do których nie należy dzwonić (Zgodnie z art. 11 ustawy 3471/2006).

Postępowanie w sprawie wykazało, że subskrybenci ci złożyli wniosek o przeniesienie danych, dotyczący przekazania ich abonamentu innemu dostawcy. W rezultacie OTE skasowała ich wpisy z rejestru osób, do których nie należy dzwonić. Jednakże po tym gdy subskrybenci wycofali swój wniosek o przeniesienie, nie istniała odpowiednia procedura pozwalająca na anulowanie ich usunięcia z rejestru. Subskrybenci zostali zapisani jako osoby zarejestrowane w wewnętrznym systemie opieki klienta u dostawcy, jednakże ich numery telefonu nie zostały włączone do rejestru przesłanego przez OTE reklamodawcom, ponieważ te dwa systemy nie posiadały takiej samej treści, na skutek błędu we wzajemnej komunikacji.

Organ uznał, że incydent ten wpłynął na dużą liczbę indywidualnych subskrybentów, jako że doszło do naruszenia art. 25 (ochrona danych w fazie projektowania) oraz art. 5 ust. (1) lit. c) (zasada prawidłowości) Ogólnego Rozporządzenia o Ochronie Danych (RODO). Z tego względu, nałożył on karę administracyjną w wysokości 200 000 Euro w oparciu o kryteria ustanowione w art. 83 ust. 2 Rozporządzenia.

(2) Nałożenie kary za brak spełnienia prawa do sprzeciwu oraz zasady ochrony danych w fazie projektowania przy przechowywaniu danych osobowych subskrybentów

Helleński organ ochrony danych otrzymał skargi od odbiorców wiadomości reklamowych od OTE, w sprawie braku możliwości wypisania się z listy odbiorców wiadomości reklamowych. W ramach postępowania w sprawie skarg okazało się, że na skutek błędu technicznego od 2013 r. usunięcie z listy odbiorców informacji reklamowych nie działało w odniesieniu do tych subskrybentów, którzy skorzystali z linku „wypisz się”.

OTE nie posiadała odpowiedniego środka technicznego, tj. określonej procedury za pomocą której mogła by wykryć, że prawo osoby do wyrażenia sprzeciwu nie mogło być spełnione.

[…] Organ stwierdził naruszenie prawa do sprzeciwu wobec przetwarzania dla celów marketingu bezpośredniego (art. 21 ust. 3 RODO) jak również art. 25 (ochrona danych w fazie projektowania) RODO i nałożył karę administracyjną w wysokości 200 000 Euro w oparciu o kryteria ustanowione w art. 83 ust. 2 Rozporządzenia.

Zapraszamy na szkolenie: Postępowanie z incydentami i zgłaszanie naruszeń ochrony danych osobowych

 

Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach