iSecure logo
Blog

Wybrane kary organów ochrony danych osobowych w UE w obszarze marketingu elektronicznego lub telefonicznego

Z doświadczenia wiemy, że branża e-commerce cechuje się dużą dynamiką, jeżeli chodzi o procesy przetwarzania danych osobowych. Ze względu na nie jest też często bardziej wyeksponowana na ryzyko niezgodności z RODO.

Specjalnie dla Was przygotowałam zestawienie kilku wybranych kar organów ochrony danych z krajów UE. Nie zawsze zostały one nakładane na podmioty z branży e-commerce, natomiast wydaje mi się, że każdy z poniżej komentowanych procesów dzieje się lub może się dziać w tej branży. Komentowane decyzje dotyczą szeroko rozumianego marketingu elektronicznego lub telefonicznego a ten z kolei, co wynika z naszego doświadczenia, jest zdecydowanie obecny w e-commerce. Stąd też kilka poniższych przykładów.

Rumunia, 22 kwietnia 2024 r., 2 000 EUR

Rumuński organ ochrony danych osobowych (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) nałożył na firmę S.C. Tensa Art Design S.A. karę finansową w wysokości 2 000 EURza przetwarzanie danych osobowych w celach marketingowych bez zgody podmiotu danych.

W tej sprawie osoba, której dane dotyczą, złożyła do organu skargę na S.C. Tensa Art Design S.A., właściciela strony www.lensa.ro. Skarżący zarzucał, że spółka przetwarzała jego numer telefonu do celów marketingu bezpośredniego bez jego zgody, wysyłając mu promocyjne wiadomości SMS, zawierające oferty spółki.

W trakcie postępowania spółka nie była w stanie udowodnić zgody osoby, której dane dotyczą, na przesyłanie jej takich wiadomości marketingowych, ani też żadnej innej podstawy prawnej pozwalającej na takie działania.

W toku dochodzenia ustalono, że operator S.C. Tensa Art Design S.A. nie udowodnił istnienia zgody składającego petycję ani żadnej innej podstawy prawnej przetwarzania jego danych osobowych do celów marketingu bezpośredniego, naruszając tym samym przepisy art. 6 RODO w związku z art. 83 ust. (5) lit. a) Rozporządzenia (UE) 2016/679.

Poza samą karą finansową spółka otrzymała nakaz podjęcia niezbędnych środków, aby w przyszłości zapewnić zgodność operacji przetwarzania z przepisami RODO, tj. aby unikać przetwarzania danych osobowych w celach marketingowych bez zgody osób, których dane dotyczą, oraz bez istnienia innej podstawy prawnej, o której mowa w art. 6 RODO.

Chorwacja, 22 kwietnia 2024 r., 20 000 EUR

Organ ochrony danych osobowych w Chorwacji (Agencija za zaštitu osobnih podataka) w tym roku nałożył na firmę bukmacherską karę w wysokości 20 000 EUR.

Wynika ona z tego, że firma zbierała i przetwarzała dane osobowe użytkowników strony internetowej za pomocą plików cookies, bez uprzedniej świadomej zgody użytkownika, wyrażonej w sposób dobrowolny i bez zapewnienia wycofania takiej zgody.

Organ zauważył, że w przypadku, gdy przetwarzanie danych osobowych odbywa się na podstawie zgody (zwłaszcza dotyczącej kilku różnych celów), wówczas tekst zgody (w tym konkretnym przypadku – mechanizm do wyrażenia zgody na cookies, taki jak cookie baner) musi być przedstawiony w taki sposób, aby można go było wyraźnie odróżnić, w zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka. Ponieważ w konkretnym przypadku administrator danych nie wyodrębnił banera cookie i jednocześnie pozyskiwał od użytkowników strony jedną zgodę obejmującą różne cele (marketing, analityka/statystyka), jasne było, że zgoda nie spełniła wymagań RODO (nie była wyrażona świadomie i dobrowolnie), dlatego nie stanowi odpowiedniej podstawy prawnej umożliwiającej przetwarzanie danych.

Organ nadzorczy ustalił także, że administrator nie informował użytkowników o przetwarzaniu ich danych osobowych z wykorzystaniem plików cookies zgodnie z zasadą przejrzystości. Polityka prywatności spółki nie zawierała informacji o podstawie prawnej, grupach/rodzajach plików cookies, funkcji/celu każdego pliku cookies, okresie przechowywania plików cookies, a więc zabrakło pełnych informacji o przetwarzaniu danych osobowych użytkowników, co w konsekwencji doprowadziło do naruszenia obowiązku informacyjnego, o którym mowa w art. 13 RODO.

Ponadto administrator danych przetwarzał dane osobowe użytkowników strony już w momencie załadowania strony internetowej, choć nie wyrazili oni jeszcze zgody na gromadzenie poszczególnych plików cookies. W opinii organu takie działanie jest nieuczciwe, ponieważ osoby przeglądające stronę internetową nie wiedziały nawet, że zbierane są ich dane osobowe już w momencie wejścia na stronę, a dane te były przetwarzane zanim użytkownicy mogli wyrazić zgodę na ich przetwarzanie.

Włochy, 30 listopada 2023 r., 60 000 EUR

We Włoszech tamtejszy organ ochrony danych osobowych (Garante per la protezione dei dati personali) nałożył karę w wysokości 60 000 EUR na spółkę call center.

Firma ta otrzymała już wcześniej grzywnę w wysokości 10 000 EUR za brak odpowiedzi na wezwanie włoskiego urzędu do udzielenia informacji, które zostało skierowane do spółki po tym, jak osoba, której dane dotyczą złożyła skargę na otrzymywanie marketingowych połączeń telefonicznych bez wyrażenia na to zgody. Po nałożeniu kary za brak odpowiedzi, urząd rozpoczął kontrolę w celu zweryfikowania zgodności z prawem przetwarzania danych przez call center.

Kontrola wykazała, że firma pozyskała dane kontaktowe skarżącego od innej firmy (z siedzibą w Mołdawii), od której nabyła 100 000 kontaktów wykorzystanych do wykonania ponad 32 600 połączeń telefonicznych. Połączenia te doprowadziły do podpisania około 300 umów.

Po przeprowadzeniu kontroli włoski organ nadzorczy stwierdził liczne naruszenia. W szczególności, że call center nie sprawdziło prawidłowości list kontaktowych nabytych przez swojego partnera biznesowego pod kątem przetwarzania danych z tych list w celu telemarketingu. Nie sprawdzono źródła pozyskiwania danych, czy osoby, których dane dotyczą, otrzymały pełne informacje o przetwarzaniu danych i wreszcie – czy uzyskano zgody odbiorców na przetwarzanie ich danych w celach marketingowych.

Przed rozpoczęciem kampanii promocyjnych firma nie przeprowadziła także niezbędnej weryfikacji w rejestrze numerów zastrzeżonych (co wynika ze specyfiki kraju – we Włoszech taki rejestr jest prowadzony).

Poza nałożeniem kary finansowej organ nadzorczy nakazał spółce usunięcie wszystkich bezprawnie pozyskanych danych oraz wprowadzenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, że przetwarzanie danych osobowych będzie przebiegało w sposób zgodny z prawem.

Pobierz wpis w wersji pdf

Podobne wpisy:

Pułapki i błędy w zbieraniu zgody

Jeżeli ktoś słyszał o ochronie danych osobowych, to na pewno słyszał o zgodzie na ich przetwarzanie. Co gorsza, im więcej mówi się o przestrzeganiu RODO, tym częściej słyszymy to i ówdzie: „nie wyrażałem zgody na ich przetwarzanie, proszę o usunięcie”, czy „jakim prawem przetwarzacie dane, nie udzielałem na to zgody”. Chociaż temat zbierania zgód na […]

Kiedy mogę złożyć sprzeciw na przetwarzanie moich danych osobowych?

Prawo do sprzeciwu jest jednym z praw przyznanych podmiotom danych na gruncie przepisów Rozporządzenia o ochronie danych osobowych. Prawo do sprzeciwu na przetwarzanie danych osobowych uregulowane jest w art. 21 RODO. Jest to prawo ograniczone, możliwe do realizacji w określonych przypadkach. W jaki sposób wygląda realizacja prawa do sprzeciwu, o czym powinniśmy pamiętać jako administrator […]

Regulamin konkursu – na co zwrócić uwagę?

Niemal każda firma od czasu do czasu zainteresowana jest przeprowadzeniem konkursu. Nie ma dwóch takich samych zabaw, bo w zależności od potrzeb i możliwości danego podmiotu, forma prowadzenia konkursu może się różnić. Najczęściej jednak opracowywane są regulaminy – innymi słowy mówiąc zasady prowadzenia konkursu. I to właśnie na tym aspekcie skupię się w tym krótkim […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki