Zlecający akcje marketingowe jest administratorem danych?

Kontekst

Skarżący złożył do włoskiego organu ochrony danych skargę w związku z otrzymywaniem telefonów promocyjnych w imieniu Maximum International Corp. S.r.l. (administrator) bez uzyskania zgody marketingowej i nawet po wyrażeniu sprzeciwu podczas niechcianych kontaktów. Administrator danych w odpowiedzi oświadczył, że nie prowadzi sprzedaży bezpośredniej na rzecz osób fizycznych oraz że do prowadzenia działalności promocyjnej wykorzystuje niezależne agencje reklamowe, z których każda ma własny samodzielny charakter prawny. Spółka twierdziła, że nie jest administratorem danych, ponieważ nie posiadała danych osobowych skarżącego, a numer wykorzystywany do celów marketingowych nie był jej „własnością”, nie kontroluje też firm działających prywatnie w celu sprzedaży jej produktów.

W trakcie postępowania organ nadzoru ustalił także, że podmiot danych musiał wyrazić zgodę na marketing, aby mógł się skontaktować z administratorem.

Administrator

Organ nadzoru stwierdził, że spółka musi zostać pociągnięta do odpowiedzialności za operacje przetwarzania i naruszenie przepisów dotyczących ochrony danych osobowych. Rzeczywiście, nie było wątpliwości, że połączenia telefoniczne otrzymywane przez skarżącego były wykonywane w imieniu i w interesie spółki, do tego stopnia, że skarżący wierzył, że administrator kontaktuje się z nim bezpośrednio. Co więcej, firmy zewnętrzne były powiązane relacjami handlowymi ze Spółką, co nie zwalniało jej z odpowiedzialności w zakresie przetwarzania danych osobowych. W związku z tym, ponieważ firma nie była w stanie skutecznie kontrolować partnerów prowadzących działania promocyjne na jej rzecz, nawet po zażądaniu przez organ ochrony danych informacji lub wszczęciu postępowania, organ ochrony danych stwierdził naruszenie art. 5 ust. 2 RODO, art. 24 RODO i art. 25 RODO.

Organ nadzoru stwierdził ponadto, że połączenia telefoniczne były kontynuowane nawet po tym, jak skarżący wyraził sprzeciw wobec ich otrzymywania, co oznacza, że spółka nie działała niezwłocznie i zgodnie z obowiązkiem administratora danych polegającym na ułatwianiu wykonywania praw osoby, której dane dotyczą, i niezwłocznym spełnianiu odpowiednich żądań, w tym prawa do sprzeciwu, co stanowi naruszenie art. 12 ust. 2 RODO i art. 12 ust. 3 RODO, a także art. 15 RODO, art. 17 RODO i art. 21 ust. 2 RODO. W związku z tym kontakty marketingowe wykonane po złożeniu sprzeciwu przez skarżącego były również pozbawione podstawy prawnej w postaci zgody, co doprowadziło do naruszenia art. 6 ust. 1 lit. a) RODO i art. 7 RODO.

Kampania marketingowa według włoskiego organu nadzoru

Zgody marketingowe w formularzu kontaktowym

Jeśli chodzi o stronę internetową Spółki, ta oświadczyła, że gromadzi dane osobowe za pomocą formularza online, aby odpowiadać na zgłoszenia i skargi dotyczące problemów technicznych i funkcjonalnych. Wiadomość e-mail od Inspektora Ochrony Danych spółki ujawniła jednak, że dane osobowe gromadzone za pośrednictwem strony internetowej były również przetwarzane w celach promocyjnych za zgodą osób, których dane dotyczyły. Uzyskanie zgody na marketing i profilowanie było jednak warunkiem koniecznym do złożenia wniosku o pomoc za pośrednictwem formularza online, co niwelowało dobrowolny charakter zgody. Tym samym naruszało art. 5 ust. 1 lit. a) RODO, art. 6 ust. 1 lit. a) RODO oraz art. 7 RODO. A ze względu na nieprawidłowe podejście do operacji przetwarzania, również art. 25 ust. 1 RODO.

Organ nadzoru biorąc pod uwagę powyższe naruszenia nałożył 5 000 euro administracyjnej kary pieniężnej.

Prewencja popłaca

Dobrze przeprowadzona analiza ryzyka planowanych procesów przetwarzania danych osobowych z pewnością pozwoliłaby zapobiec błędnemu wnioskowi, że spółka zlecająca akcje marketingową nie jest administratorem. Powyższe „magiczne” myślenie może zatem skończyć się karą finansową, ale uderza też w renomę i wizerunek firmy.

Źródło:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9925674