Włoski organ właściwy do spraw ochrony danych osobowych (Garante per la protezione dei dati personali) nałożył karę na włoską spółkę telekomunikacyjną – Vodafone Italia SpA – za bezprawne przetwarzanie danych osobowych milionów klientów w celach marketingowych. Kwota robi wrażenie – 12 251 601 euro (ok 55 000 000 złotych). Niezależnie od kary finansowej, spółka została również zobowiązana do wdrożenia odpowiednich rozwiązań w celu dostosowania procesów przetwarzania danych osobowych do krajowych i unijnych przepisów w zakresie ochrony danych osobowych. Jest to trzecia – co do wysokości – kara nałożona przez włoskiego regulatora.
Kontrola w spółce
Włoski organ nadzorczy wszczął postępowanie kontrolne w tej sprawie w związku z otrzymaniem od osób fizycznych setek skarg i zawiadomień związanych z bezprawnym marketingiem spółki Vodafone Italia. W toku tego postępowania regulator ustalił, że ukarany administrator dopuścił się poważnych naruszeń przepisów o ochronie danych osobowych. Nie był on w stanie wykazać spełnienia wymagań dotyczących zgody na przetwarzanie danych osobowych, a w konsekwencji naruszył on zasadę rozliczalności (art. 5 ust. 2 RODO). Co zaskakujące, w ocenie organu nadzorczego, spółka stosowała niezgodne z prawem praktyki, nie tylko w stosunku do swoich klientów, ale także wobec innych użytkowników (lub potencjalnych użytkowników) usług łączności elektronicznej.
Postępowanie kontrolne wykazało, że ukarana spółka korzystała – w celu składania ofert marketingowych – z nieprawdziwych numerów telefonów lub numerów, które nie zostały zarejestrowane w odpowiednim włoskim rejestrze (the National Consolidated Registry of Communication Operators). W ocenie regulatora, taka praktyka Vodafone Italia może być związana z funkcjonującymi we Włoszech podejrzanymi tzw. call centres, które prowadzą działania o charakterze marketingowym, z pogwałceniem regulacji prawnych z zakresie ochrony danych osobowych.
Nie koniec grzechów spółki
Włoski organ nadzorczy wskazał, że ukarany administrator dopuścił się również naruszeń w zakresie zarządzania (zakup od podmiotów zewnętrznych) bazami danych, zawierających dane osobowe osób fizycznych. Bazy te zostały pozyskane od podmiotów trzecich przez partnerów handlowych Vodafone Italia i następnie – w ocenie regulatora – zostały przekazane ukaranej spółce bez pozyskania odpowiedniej zgody użytkowników. Co więcej, w świetle ustaleń kontrolnych, ukarany administrator niejako wymuszał na swoich klientach zarządzanie ich danymi osobowymi, bez zagwarantowania odpowiedniego zabezpieczenia tych danych. Taka sytuacja rodziła duże ryzyko naruszenia praw i wolności klientów spółki.
Nie tylko kara finansowa
Oprócz kary finansowej w znacznej wysokości, organ nadzorczy zobowiązał również spółkę Vodafone Italia do podjęcia szeregu działań, mających na celu wyeliminowanie wszelkich nieprawidłowości w zakresie ochrony danych osobowych. Spółka zobowiązana jest m.in. do wdrożenia odpowiedniego systemu, za pośrednictwem którego możliwe będzie wykazanie pozyskania skutecznej zgody na przetwarzanie danych osobowych w celach marketingowych. Ukarany administrator będzie również musiał zagwarantować, że wszelki marketing będzie realizowany jedynie przez spółkę, z wykorzystaniem numerów zarejestrowanych w państwowym rejestrze. Organ nadzorczy nakazał także spółce wdrożenie bardziej rygorystycznych środków technicznych i organizacyjnych w celu zwiększenia bezpieczeństwa danych osobowych klientów.
Źródła:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9485681