Brytyjski organ nadzoru (Information Commissioner’s Office) ukarał spółkę Easylife Limited administracyjną karą pieniężną w wysokości 1 350 000 funtów brytyjskich za profilowanie swoich klientów bez podstawy prawnej. Dodatkowo spółka została ukarana karą w wysokości 130 000 funtów brytyjskich za nieprawidłowy marketing telefoniczny.
Postępowanie kontrolne
Easylife to spółka zajmująca się sprzedażą artykułów gospodarstwa domowego za pośrednictwem katalogów. W wyniku przeprowadzonej kontroli organ nadzorczy przyjrzał się bliżej zleconej przez spółkę akcji marketingowej. Polegała ona na sprzedaży tzw. „trigger products” tj. sprzedaż jednego z takich produktów, skutkowała kontaktem telefonicznym z klientem w celu zaoferowania mu innego dopasowanego do niego produktu. Cała idea opierała się na tym, że spółka wiązała zakupione „trigger products” z konkretnymi dolegliwościami na które prawdopodobnie klient chorował, a następnie oferowała produkty mające leczyć dane schorzenie. Organ nadzoru odpowiedział na pytanie czy takie działania stanowią profilowanie oraz, co niej miej ważne, przetwarzanie danych szczególnej kategorii. Obie odpowiedzi były pozytywne. Spółka twierdziła, że przetwarzanie opierało się na uzasadnionym interesie i że nie miało nic wspólnego z profilowaniem opartym o dane szczególnej kategorii.
Profilowanie bez podstawy
W wyniku postępowania organ stwierdził, że profilowaniu zostało poddanych aż 145 tys. klientów i żaden z nich nie został o tym fakcie powiadomiony. Organ nadzoru stwierdził naruszenie art. 5 ust.1 lit. a RODO oraz art. 6 RODO.
W uzasadnieniu decyzji urząd wskazał, że zawarte w polityce prywatności Easylife postanowienia nie pozwalały klientom na zrozumienie, że ich dane zostaną poddane profilowaniu. Dodatkowo akcja marketingowa była skierowana do osób starszych, które nie były w stanie zorientować się jakie prawa im przysługują, w tym, że mogą zgłosić taki incydent do organu nadzoru. Samo Easylife wydawało się nieświadome faktu, że przetwarza dane szczególnej kategorii. Easylife nie zebrało odrębnych zgód na przetwarzanie danych szczególnej kategorii, co naruszyło art. 9 RODO oraz nie wskazało, że przetwarza te dane, co naruszyło art. 13 ust. 1 lit. c. RODO.
Mając to wszystko na uwadze, ICO nałożył na Easylife administracyjną karę pieniężną w wysokości 1 547 000 euro.
Treść decyzji w j. angielskim:
