GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Surowa kara za naruszenia firmy telekomunikacyjnej

Młotek sędziego na plikach banknotów EURO

Surowa kara za naruszenia firmy telekomunikacyjnej

Hiszpański organ ds. ochrony danych osobowych (Agencia Española Protección Datos – AEPD) nałożył wysoką karę na hiszpańskiego operatora telekomunikacyjnego Vodafone España S.A.U. Kwota to 8 150 000 euro (ok. 37 670 000 złotych). Regulator zarzucił spółce stosowanie agresywnych praktyk telemarketingowych oraz liczne inne uchybienia w zakresie ochrony danych osobowych klientów. Nie jest to pierwsza kara nałożona na spółki Vodafone przez unijnych regulatorów.

4 kary nałożone równocześnie

Warto zauważyć, że na łączną sumę nałożonej kary składają się de facto 4 odrębne uchybienia, a każde z nich zostało osobno „wycenione” przez hiszpański organ nadzorczy:

Długa lista zarzutów

Lista zarzutów AEPD skierowanych pod kątem ukaranego administratora jest długa. Regulator wskazał w swojej decyzji, że spółka dokonywała transferów danych osobowych za granicę bez zapewnienia odpowiednich zabezpieczeń. Co więcej, nie posiadała ona również – w ocenie organu nadzorczego – adekwatnych środków technicznych i organizacyjnych, co uniemożliwiało jej weryfikację legalności przetwarzania danych osobowych. Z ustaleń AEPD wynika, że administrator nie miał technicznej możliwości ustalenia, czy klienci zrezygnowali z komunikacji marketingowej. Powodem takiego stanu rzeczy miała być nieprawidłowa obsługa systemów przez podwykonawców spółki.

Hiszpański organ nadzorczy stwierdził, że ukarany administrator nie opracował i nie wdrożył odpowiednich mechanizmów kontroli nad procesami przetwarzania danych osobowych klientów (brak rozliczalności). Postępowanie kontrolne wykazało bowiem, że spółka nie posiada dokumentacji wewnętrznej kompleksowo opisującej zastosowane środki ochrony danych osobowych, oraz sposoby ich zabezpieczenia, również przez podwykonawców (podmioty przetwarzające).

Telemarketing pomimo sprzeciwu

Z ustaleń AEPD wynika, że spółka wielokrotnie kontaktowała się z osobami fizycznymi w celach marketingowych bez uzyskania ich uprzedniej zgody. Co więcej, przedstawiciele administratora nawiązywali kontakt z osobami, które wprost sprzeciwiły się otrzymywaniu treści o charakterze marketingowym. Organ nadzorczy wskazał w decyzji, że ukarana spółka przeprowadziła około 200 000 000 działań marketingowych za pośrednictwem połączeń telefonicznych, co miało wpływ na ostateczną wysokość kar nałożonych na Vodafone.

W ocenie regulatora, na niekorzyść spółki przemawiała również okoliczność, że kontynuowała ona swoje praktyki marketingowe, pomimo otrzymywania ostrzeżeń w tym zakresie od AEPD. W okresie od stycznia 2018 r. do lutego 2020 r. organ nadzorczy otrzymać miał aż 162 skargi na Vodafone dotyczące tej kwestii.

Nie pierwsza kara dla Vodafone

Warto przypomnieć, że pod koniec ubiegłego roku spółka Vodafone Italia SpA (włoski odpowiednik – Vodafone España S.A.U.) została ukarana przez włoski organ właściwy do spraw ochrony danych osobowych (Garante per la protezione dei dati personali) kwotą 12 251 601 euro (ok. 55 000 000 złotych). Powodem nałożenia kary również było bezprawne przetwarzanie danych osobowych milionów klientów w celach marketingowych (pisaliśmy o tym TUTAJ – https://gdpr.pl/aktualnosci/operator-telekomunikacyjny-ukarany-za-bezprawny-marketing). 

Źródła:

https://www.itpro.co.uk/policy-legislation/general-data-protection-regulation-gdpr/358899/vodafone-spain-fined-ps7-million

pełna treść decyzji:

https://www.aepd.es/es/documento/ps-00059-2020.pdf