Włoski organ nadzoru (Garante per la protezione dei dati personali) w swojej decyzji nałożył niedawno administracyjną karę pieniężną w wysokości 4,900,000 euro na spółkę Edison Energia SpA. Kara dotyczyła organizacji akcji marketingowej przeprowadzonej poprzez kilka call center.
Postępowanie skargowe
Postępowanie wobec Edison Energia (administrator) rozpoczęło się po skargach klientów na prowadzoną przez spółkę kampanią marketingową. W odpowiedzi na nie organ nadzoru przeprowadził kontrolę w Edison Energia. Okazało się, że administrator współpracuje z inną firmą (Firmą X), która dostarczyła mu listę kontaktów. Jednak niektóre osoby, widniejące na tej liście, zostały również zarejestrowane na liście „nie dzwonić”, prowadzonej przez samego administratora. Nie przeszkodziło to mu jednak w skontaktowaniu się z nimi. Jak wykazał organ nadzorczy, administrator nie sprawdził punktowo zgodności danych otrzymanych z firmy X. Nie zweryfikowano czy firma, od której otrzymano listę kontaktową, spełniała obowiązki z RODO. Dodatkowo zgodnie z art. 5 ust. 2 RODO obowiązkiem administratora było upewnienie się, że podjęto środki zapewniające zgodność z RODO, co nie miało miejsca w tym przypadku, ponieważ nadal kontaktowano się z osobami, które nie wyraziły zgody na marketing. Doprowadziło to do naruszenia art. 5 ust. 2, art. 24 ust. 1, art. 24 ust. 2 i art. 25 ust. 1 RODO. Dodatkowo w trakcie kontroli wykryto, że wciąż przechowywano dane klientów, którzy zrezygnowali z usług administratora już 11 lat temu. Naruszało to zatem zasady retencji danych.
Zgody
W trakcie kontroli okazało się, że jeśli dana osoba podczas kontaktu w trakcie kampanii marketingowej, nie wyraziła zgody na marketing bezpośredni, to w systemach administratora było to jedynie rejestrowane jako brak zgody na dalsze kontakty w ramach tej kampanii marketingowej. W celu skutecznego wycofania zgody na wszelką komunikację dana osoba musiałaby wysłać odpowiednie pismo do administratora.
Administrator, tworząc swoją własną listę kontaktową, prosił o jedną zgodę opartą na czterech różnych celach (marketing i profilowanie u administratora i u potencjalnej strony trzeciej). Organ wskazał, że było to naruszenie art. 4 pkt. 11 RODO, gdzie wskazano, że zgoda musi być konkretna, świadoma, dobrowolna i jednoznaczna.
W związku ze wszystkimi powyższymi naruszeniami organ nadzorczy nałożył administracyjną karę pieniężną w wysokości 4,900,000 euro na spółkę Edison Energy.
Podsumowanie
Kampania marketingowa zgodna z RODO nie jest łatwa do przeprowadzenia. Brak weryfikacji kontrahentów i własnych procedur może skutkować wysokimi karami dla organizacji. Uzyskiwanie zgód marketingowych lub wyrażanych w innych celach nie może iść do linii najmniejszego oporu. Warto też pamiętać, że jedna zgoda nie może (co do zasady) dotyczyć wielu celów.
Źródło:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9856345