Duomenų apsaugos pareigūnas Allaw® supažindina

Belgijos duomenų apsaugos priežiūros institucija vienai šalies įmonių skyrė 50 000 Eur baudą už tai, kad ši savo klientų asmens duomenis perdavė tretiesiems asmenims tiesioginės rinkodaros tikslais, neturėdama savo klientų sutikimo. Duomenų apsaugos pareigūnas Allaw analizuoja, kas lėmė baudos skyrimą, ir atkreipia dėmesį į pagrindinius aspektus, padedančius duomenų valdytojams tinkamai vykdyti asmens duomenų tvarkymą tiesioginės rinkodaros tikslu.

Pažeidimai, už kuriuos skirta bauda


„Family Service“ yra rinkodaros įmonė, platinanti rožines dėžutes, kuriose yra pateikiami prekių pavyzdžiai, specialūs pasiūlymai bei informacija būsimiems tėvams. Belgijos priežiūros institucija pradėjo tyrimą po to, kai gavo vieno iš būsimų tėvų ir tokios dėžutės gavėjų skundą, kad minėta įmonė be klientų sutikimo perdavė asmens duomenis tretiesiems asmenims nepateikdama apie tai informacijos patiems duomenis teikusiems klientams.

Tyrimo metu buvo nustatyta, kad minėta įmonė nuomoja ir (arba) parduoda asmens duomenis komerciniais tikslais. Tačiau ši praktika nebuvo aiškiai ir suprantamai nurodyta informaciniuose pranešimuose klientams. Atsižvelgiant į tai, kad rožinės dėžutės buvo išplatintos per ginekologus ir ligonines, o tai galėjo paskatinti klientus manyti, kad iniciatyva kilo iš viešojo sektoriaus ir ne iš privačios įmonės, kurios pagrindinė veikla yra prekyba duomenimis, informavimas tampa dar svarbesniu.

Negana to, klientų duotas sutikimas minėtiems perdavimams buvo pripažintas negaliojančiu, nes neatitiko BDAR 7 str. nustatytų reikalavimų, t. y., klientai nebuvo aiškiai informuoti dėl ko duoda sutikimą, sutikimas nebuvo konkretus (pažymėjus sutikimą gauti rožinę dėžutę, tai automatiškai apėmė ir sutikimą perduoti asmens duomenis) ir nebuvo duotas laisva valia (jeigu būsimi tėvai nebūtų davę sutikimo, rožinė dėžutė nebūtų jiems perduodama, taigi sutikimo nedavimas susijęs su tam tikrų naudų praradimu).

Į ką buvo atsižvelgta skiriant baudą?

Belgijos priežiūros institucija, skyrusi 50 000 Eur baudą atsižvelgė į:

  • paveiktų duomenų subjektų skaičių (minėta įmonė tvarko duomenis apie 21,10% Belgijos gyventojų),
  • pažeidimo sunkumą,
  • tvarkomų asmens duomenų pobūdį (ypač su vaikais susijusius duomenis).

Belgijos priežiūros institucijos vertinimu, nors atsižvelgiant į įmonės dydį, skirta nemaža bauda, tačiau Belgijos priežiūros institucija laikosi nuomonės, kad reikalinga didelė sankcija, kadangi minėtos įmonės verslo modelis akivaizdžiai neatitinka BDAR.

Ką turėtų atminti kiekvienas duomenų valdytojas, siekdamas vykdyti tiesioginę rinkodarą?

Kiekvienas duomenų valdytojas, jo rinkodaros vadovas, specialistas, siekdamas vykdyti tiesioginę rinkodarą, turėtų atminti, kad:

  • tiesioginės rinkodaros tikslu asmens duomenis tvarkyti leidžiama tik gavus išankstinį asmens sutikimą,
  • asmens sutikimas turi atitikti BDAR 7 str. reikalavimus, t. y.: būti atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba,
  • sutikimas duodamas konkrečiam tikslui konkrečiam duomenų valdytojui, todėl kliento sutikimas duotas Jūsų įmonei dar nereiškia sutikimo duoto visai Jūsų įmonių grupei ar Jūsų įmonės partnerių tiesioginei rinkodarai vykdyti. Siekdami perduoti duomenis tiesioginės rinkodaros tikslais savo partneriams ar kitoms grupės įmonėms, turite gauti atskirą kliento sutikimą tokiam tiesioginės rinkodaros vykdymui.

Nuorodos


https://edpb.europa.eu/news/national-news/2021_lt


Nepamiršti

Siekiant tvarkyti asmens duomenis tiesioginės rinkodaros tikslais išankstinis duomenų subjekto sutikimas yra privalomas.

This page contains macros or features from a plugin which requires a valid license.

You will need to contact your administrator.

Link to this page