Hiszpański organ ds. ochrony danych osobowych (Agencia Española Protección Datos – AEPD) nałożył wysoką karę na hiszpańskiego operatora telekomunikacyjnego Vodafone España S.A.U. Kwota to 8 150 000 euro (ok. 37 670 000 złotych). Regulator zarzucił spółce stosowanie agresywnych praktyk telemarketingowych oraz liczne inne uchybienia w zakresie ochrony danych osobowych klientów. Nie jest to pierwsza kara nałożona na spółki Vodafone przez unijnych regulatorów.
4 kary nałożone równocześnie
Warto zauważyć, że na łączną sumę nałożonej kary składają się de facto 4 odrębne uchybienia, a każde z nich zostało osobno „wycenione” przez hiszpański organ nadzorczy:
- kara 4 000 000 euro (ok. 18 500 000 złotych) została nałożona na spółkę za naruszenie art. 28 RODO. W ocenie regulatora, podmioty przetwarzające dane osobowe w imieniu ukaranego administratora nie zapewniły gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych;
- kara 2 000 000 euro (ok. 9 250 000 złotych) dotyczy naruszeń Vodafone w zakresie międzynarodowego transferu danych osobowych bez zapewnienia wystarczających środków, które są przewidziane w RODO;
- kara 150 000 euro (ok. 694 000 złotych) dotyczy naruszenia przez ukaraną spółkę hiszpańskiej ustawy regulującej zagadnienia usług społeczeństwa informacyjnego. W ocenie organu nadzorczego, administrator prowadził działania marketingowe z wykorzystaniem losowo wybieranych numerów telefonów i adresów e-mail potencjalnych klientów, bez zważania na otrzymane sprzeciwy dotyczące przetwarzania danych osobowych w tym celu;
- kara 2 000 000 euro (ok. 9 250 000 złotych) dotyczy naruszenia przez spółkę hiszpańskiej ustawy telekomunikacyjnej poprzez przetwarzanie danych osobowych osób fizycznych w celu przesyłania im informacji handlowych, pomimo złożonych sprzeciwów.
Długa lista zarzutów
Lista zarzutów AEPD skierowanych pod kątem ukaranego administratora jest długa. Regulator wskazał w swojej decyzji, że spółka dokonywała transferów danych osobowych za granicę bez zapewnienia odpowiednich zabezpieczeń. Co więcej, nie posiadała ona również – w ocenie organu nadzorczego – adekwatnych środków technicznych i organizacyjnych, co uniemożliwiało jej weryfikację legalności przetwarzania danych osobowych. Z ustaleń AEPD wynika, że administrator nie miał technicznej możliwości ustalenia, czy klienci zrezygnowali z komunikacji marketingowej. Powodem takiego stanu rzeczy miała być nieprawidłowa obsługa systemów przez podwykonawców spółki.
Hiszpański organ nadzorczy stwierdził, że ukarany administrator nie opracował i nie wdrożył odpowiednich mechanizmów kontroli nad procesami przetwarzania danych osobowych klientów (brak rozliczalności). Postępowanie kontrolne wykazało bowiem, że spółka nie posiada dokumentacji wewnętrznej kompleksowo opisującej zastosowane środki ochrony danych osobowych, oraz sposoby ich zabezpieczenia, również przez podwykonawców (podmioty przetwarzające).
Telemarketing pomimo sprzeciwu
Z ustaleń AEPD wynika, że spółka wielokrotnie kontaktowała się z osobami fizycznymi w celach marketingowych bez uzyskania ich uprzedniej zgody. Co więcej, przedstawiciele administratora nawiązywali kontakt z osobami, które wprost sprzeciwiły się otrzymywaniu treści o charakterze marketingowym. Organ nadzorczy wskazał w decyzji, że ukarana spółka przeprowadziła około 200 000 000 działań marketingowych za pośrednictwem połączeń telefonicznych, co miało wpływ na ostateczną wysokość kar nałożonych na Vodafone.
W ocenie regulatora, na niekorzyść spółki przemawiała również okoliczność, że kontynuowała ona swoje praktyki marketingowe, pomimo otrzymywania ostrzeżeń w tym zakresie od AEPD. W okresie od stycznia 2018 r. do lutego 2020 r. organ nadzorczy otrzymać miał aż 162 skargi na Vodafone dotyczące tej kwestii.
Nie pierwsza kara dla Vodafone
Warto przypomnieć, że pod koniec ubiegłego roku spółka Vodafone Italia SpA (włoski odpowiednik – Vodafone España S.A.U.) została ukarana przez włoski organ właściwy do spraw ochrony danych osobowych (Garante per la protezione dei dati personali) kwotą 12 251 601 euro (ok. 55 000 000 złotych). Powodem nałożenia kary również było bezprawne przetwarzanie danych osobowych milionów klientów w celach marketingowych (pisaliśmy o tym TUTAJ – https://gdpr.pl/aktualnosci/operator-telekomunikacyjny-ukarany-za-bezprawny-marketing).
Źródła:
pełna treść decyzji:
https://www.aepd.es/es/documento/ps-00059-2020.pdf