Włoski organ nadzoru (Garante per la protezione dei dati personali) nałożył 5 tyś. euro kary na administratora za brak spełnienia żądania zaprzestania przetwarzania danych oraz zbieranie bezpodstawnie zgód marketingowych. Organizacja twierdziła przy tym uparcie, że wcale nie jest administratorem danych.
Kontekst
Skarżący złożył do włoskiego organu ochrony danych skargę w związku z otrzymywaniem telefonów promocyjnych w imieniu Maximum International Corp. S.r.l. (administrator) bez uzyskania zgody marketingowej i nawet po wyrażeniu sprzeciwu podczas niechcianych kontaktów. Administrator danych w odpowiedzi oświadczył, że nie prowadzi sprzedaży bezpośredniej na rzecz osób fizycznych oraz że do prowadzenia działalności promocyjnej wykorzystuje niezależne agencje reklamowe, z których każda ma własny samodzielny charakter prawny. Spółka twierdziła, że nie jest administratorem danych, ponieważ nie posiadała danych osobowych skarżącego, a numer wykorzystywany do celów marketingowych nie był jej „własnością”, nie kontroluje też firm działających prywatnie w celu sprzedaży jej produktów.
W trakcie postępowania organ nadzoru ustalił także, że podmiot danych musiał wyrazić zgodę na marketing, aby mógł się skontaktować z administratorem.
Administrator
Organ nadzoru stwierdził, że spółka musi zostać pociągnięta do odpowiedzialności za operacje przetwarzania i naruszenie przepisów dotyczących ochrony danych osobowych. Rzeczywiście, nie było wątpliwości, że połączenia telefoniczne otrzymywane przez skarżącego były wykonywane w imieniu i w interesie spółki, do tego stopnia, że skarżący wierzył, że administrator kontaktuje się z nim bezpośrednio. Co więcej, firmy zewnętrzne były powiązane relacjami handlowymi ze Spółką, co nie zwalniało jej z odpowiedzialności w zakresie przetwarzania danych osobowych. W związku z tym, ponieważ firma nie była w stanie skutecznie kontrolować partnerów prowadzących działania promocyjne na jej rzecz, nawet po zażądaniu przez organ ochrony danych informacji lub wszczęciu postępowania, organ ochrony danych stwierdził naruszenie art. 5 ust. 2 RODO, art. 24 RODO i art. 25 RODO.
Organ nadzoru stwierdził ponadto, że połączenia telefoniczne były kontynuowane nawet po tym, jak skarżący wyraził sprzeciw wobec ich otrzymywania, co oznacza, że spółka nie działała niezwłocznie i zgodnie z obowiązkiem administratora danych polegającym na ułatwianiu wykonywania praw osoby, której dane dotyczą, i niezwłocznym spełnianiu odpowiednich żądań, w tym prawa do sprzeciwu, co stanowi naruszenie art. 12 ust. 2 RODO i art. 12 ust. 3 RODO, a także art. 15 RODO, art. 17 RODO i art. 21 ust. 2 RODO. W związku z tym kontakty marketingowe wykonane po złożeniu sprzeciwu przez skarżącego były również pozbawione podstawy prawnej w postaci zgody, co doprowadziło do naruszenia art. 6 ust. 1 lit. a) RODO i art. 7 RODO.
Zgody marketingowe w formularzu kontaktowym
Jeśli chodzi o stronę internetową Spółki, ta oświadczyła, że gromadzi dane osobowe za pomocą formularza online, aby odpowiadać na zgłoszenia i skargi dotyczące problemów technicznych i funkcjonalnych. Wiadomość e-mail od Inspektora Ochrony Danych spółki ujawniła jednak, że dane osobowe gromadzone za pośrednictwem strony internetowej były również przetwarzane w celach promocyjnych za zgodą osób, których dane dotyczyły. Uzyskanie zgody na marketing i profilowanie było jednak warunkiem koniecznym do złożenia wniosku o pomoc za pośrednictwem formularza online, co niwelowało dobrowolny charakter zgody. Tym samym naruszało art. 5 ust. 1 lit. a) RODO, art. 6 ust. 1 lit. a) RODO oraz art. 7 RODO. A ze względu na nieprawidłowe podejście do operacji przetwarzania, również art. 25 ust. 1 RODO.
Organ nadzoru biorąc pod uwagę powyższe naruszenia nałożył 5 000 euro administracyjnej kary pieniężnej.
Prewencja popłaca
Dobrze przeprowadzona analiza ryzyka planowanych procesów przetwarzania danych osobowych z pewnością pozwoliłaby zapobiec błędnemu wnioskowi, że spółka zlecająca akcje marketingową nie jest administratorem. Powyższe „magiczne” myślenie może zatem skończyć się karą finansową, ale uderza też w renomę i wizerunek firmy.
Źródło:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9925674