Włoski organ właściwy do spraw ochrony danych osobowych (Garante per la protezione dei dati personali) nałożył karę na włoskiego operatora telekomunikacyjnego – Wind Tre S.p.A. Kara jest bardzo surowa – 17 milionów euro (ponad 76 milionów złotych). Regulator zarzucił ukaranej spółce w szczególności niezgodne z prawem przetwarzanie danych osobowych klientów w celu prowadzenia działań marketingowych. To druga co do wysokości kara nałożona przez włoski organ nadzorczy.
Liczne skargi na operatora
Organ nadzorczy wskazał, że otrzymał od osób fizycznych szereg skarg związanych z praktykami marketingowymi stosowanymi przez ukaraną spółkę. Ze skarg tych wynikało, że klienci operatora otrzymywali od niego liczne – niezamówione – oferty marketingowe. Spółka wykorzystywała w tym celu różne kanały informacyjne, w tym SMS, e-mail, faks, ale również automatyczne połączenia telefoniczne. Część niezadowolonych klientów podkreśliła, że ich dane osobowe zostały umieszczone na publicznych listach telefonicznych, pomimo, że wielokrotnie informowali operatora o swoich zastrzeżeniach w tym zakresie.
Ustalenia kontrolne
Organ nadzorczy przeprowadził w tej sprawie postępowanie kontrolne. W jego toku ustalił, że klienci spółki nie mieli zagwarantowanej możliwości realizacji prawa do wycofania zgody, jak również złożenia sprzeciwu w związku z przetwarzaniem ich danych osobowych w celach marketingowych. Taka sytuacja wynikała m.in. z faktu, że sporządzone przez spółkę klauzule informacyjne zawierały niedokładne dane kontaktowe.
W toku postępowania włoski regulator ustalił także, że operator wadliwie zaprojektował aplikacje służące do obsługi klientów (MyWind i My3). Były one stworzone w taki sposób, że wymuszały od użytkowników udzielenia zgody na przetwarzanie ich danych osobowych w różnych celach. M.in. w celu prowadzenia działań marketingowych, profilowania, przekazywania danych podmiotom trzecim, czy też geolokalizacji. Jednocześnie – co szczególnie dziwi – ewentualne wycofanie takiej zgody było dozwolone dopiero po upływie 24 godzin od jej udzielenia.
Partner biznesowy również ukarany
W ramach prowadzonego postępowania kontrolnego organ nadzorczy ustalił, że do naruszeń ochrony danych osobowych klientów dochodziło również w związku z przekazaniem danych osobowych partnerom biznesowym ukaranej spółki. Włoski regulator wskazał, że jeden z kontrahentów operatora zlecił swoim podwykonawcom – bez jakiejkolwiek podstawy prawnej – podjęcie licznych działań związanych z przetwarzaniem danych osobowych klientów, w tym związanych z funkcjonowaniem call center. W związku z odkrytymi nieprawidłowościami partner biznesowy spółki został odrębnie ukarany przez organ nadzorczy karą w wysokości 200 tysięcy euro (prawie 900 tysięcy złotych). Jednocześnie, został on zobowiązany do nieprzetwarzania danych osobowych klientów, które zostały mu udostępnione przez ukaraną spółkę.
Brak wystarczających działań
Wyjaśnienia przedłożone przez ukaranego operatora w toku postępowania oraz wdrożone przez niego w tym okresie środki naprawcze zostały uznane przez organ nadzorczy za niewystarczające i niewłaściwe. Niezależnie od nałożonej kary pieniężnej, regulator zobowiązał spółkę do zaprzestania przetwarzania danych osobowych klientów bez uzyskania od nich stosownych zgód. Nakazał on również operatorowi przyjąć odpowiednie środki techniczne i organizacyjne mające na celu zapewnienia skutecznego nadzoru nad partnerami biznesowymi oraz wdrożyć stosowne procedury, które będą respektować prawa klientów.
Źródło:
Polecamy także:
Wskazówki Francuskiego Organu dotyczące przekazywania danych partnerom biznesowym
Gmina ukarana za publikację danych osobowych
Prezes UODO surowo ukarał operatora telekomunikacyjnego
Omówienie wyroku Trybunału Sprawiedliwości UE w sprawie C-136-17