Belgijos duomenų apsaugos priežiūros institucija vienai šalies įmonių skyrė 50 000 Eur baudą už tai, kad ši, savo klientų asmens duomenis perdavė tretiesiems asmenims tiesioginės rinkodaros tikslais, neturėdama savo klientų sutikimo. Duomenų apsaugos pareigūnas Allawanalizuoja, kas lėmė baudos skyrimą iratkreipia dėmesį į pagrindinius aspektus, padedančius duomenų valdytojams tinkamai vykdyti asmens duomenų tvarkymą tiesioginės rinkodaros tikslu.
Pažeidimai, už kuriuos skirta bauda
„Family Service“ yra rinkodaros įmonė, platinanti rožines dėžutes, kuriose yra pateikiami prekių pavyzdžiai, specialūs pasiūlymai bei informacija būsimiems tėvams. Belgijos priežiūros institucija pradėjo tyrimą po to, kai gavo vieno iš būsimų tėvų ir tokios dėžutės gavėjų skundą, kad minėta įmonė be klientų sutikimo perdavė asmens duomenis tretiesiems asmenims nepateikdama apie tai informacijos patiems duomenis teikusiems klientams.
Tyrimo metu buvo nustatyta, kad minėta įmonė nuomoja ir (arba) parduoda asmens duomenis komerciniais tikslais. Tačiau ši praktika nebuvo aiškiai ir suprantamai nurodyta informaciniuose pranešimuose klientams. Atsižvelgiant į tai, kad rožinės dėžutės buvo išplatintos per ginekologus ir ligonines, o tai galėjo paskatinti klientus manyti, kad iniciatyva kilo iš viešojo sektoriaus, ir ne iš privačios įmonės, kurios pagrindinė veikla yra prekyba duomenimis, informavimas tampa dar svarbesniu.
Negana to klientų duotas sutikimas minėtiems perdavimams buvo pripažintas negaliojančiu, nes neatitiko BDAR 7 str. nustatytų reikalavimų, t.y., klientai nebuvo aiškiai informuoti dėl ko duoda sutikimą, sutikimas nebuvo konkretus (pažymėjus sutikimą gauti rožinę dėžutę, tai automatiškai apėmė ir sutikimą perduoti asmens duomenis) ir nebuvo duotas laisva valia (jeigu būsimi tėvai nebūtų davę sutikimo, rožinė dežutė nebūtų jiems perduodama, taigi sutikimo nedavimas susijęs su tam tikrų naudų praradimu).
Į ką buvo atsižvelgta skiriant baudą?
Belgijos priežiūros institucija, skyrusi 50 000 Eur baudą atsižvelgė į:
paveiktų duomenų subjektų skaičių (minėta įmonė tvarko duomenis apie 21,10% Belgijos gyventojų),
pažeidimo sunkumą,
tvarkomų asmens duomenų pobūdį (ypač su vaikais susijusius duomenis).
Belgijos priežiūros institucijos vertinimu, nors atsižvelgiant į įmonės dydį, skirta nemaža bauda, tačiau Belgijos priežiūros institucija laikosi nuomonės, kad reikalinga didelė sankcija, kadangi minėtos įmonės verslo modelis akivaizdžiai neatitinka BDAR.
Kas padeda duomenų valdytojams tinkamai ir laiku reaguoti į gautą informaciją apie galimą duomenų saugumo pažeidimą?
Kiekvienas duomenų valdytojas, siekdamas vykdyti tiesioginę rinkodarą, turėtų atminti, kad:
tiesioginės rinkodaros tikslu asmens duomenis tvarkyti leidžiama tik gavus išankstinį asmens sutikimą,
asmens sutikimas turi atitikti BDAR 7 str. reikalavimus, t.y.: būti atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba,
sutikimas duodamas konkrečiam tikslui konkrečiam duomenų valdytojui, todėl kliento sutikimas duotas Jūsų įmonei dar nereiškia sutikimo duoto visai Jūsų įmonių grupei ar Jūsų įmonės partnerių tiesioginei rinkodarai vykdyti. Siekdami perduoti duomenis tiesioginės rinkodaros tikslais savo partneriams ar kitoms grupės įmonėms, turite gauti atskirą kliento sutikimą tokiam tiesioginės rinkodaros vykdymui.
Belgijoje skirta 50 000 Eur bauda už klientų asmens duomenų perdavimą be sutikimo tiesioginės rinkodaros tikslais
Belgijos duomenų apsaugos priežiūros institucija vienai šalies įmonių skyrė 50 000 Eur baudą už tai, kad ši, savo klientų asmens duomenis perdavė tretiesiems asmenims tiesioginės rinkodaros tikslais, neturėdama savo klientų sutikimo. Duomenų apsaugos pareigūnas Allaw analizuoja, kas lėmė baudos skyrimą ir atkreipia dėmesį į pagrindinius aspektus, padedančius duomenų valdytojams tinkamai vykdyti asmens duomenų tvarkymą tiesioginės rinkodaros tikslu.
Pažeidimai, už kuriuos skirta bauda
„Family Service“ yra rinkodaros įmonė, platinanti rožines dėžutes, kuriose yra pateikiami prekių pavyzdžiai, specialūs pasiūlymai bei informacija būsimiems tėvams. Belgijos priežiūros institucija pradėjo tyrimą po to, kai gavo vieno iš būsimų tėvų ir tokios dėžutės gavėjų skundą, kad minėta įmonė be klientų sutikimo perdavė asmens duomenis tretiesiems asmenims nepateikdama apie tai informacijos patiems duomenis teikusiems klientams.
Tyrimo metu buvo nustatyta, kad minėta įmonė nuomoja ir (arba) parduoda asmens duomenis komerciniais tikslais. Tačiau ši praktika nebuvo aiškiai ir suprantamai nurodyta informaciniuose pranešimuose klientams. Atsižvelgiant į tai, kad rožinės dėžutės buvo išplatintos per ginekologus ir ligonines, o tai galėjo paskatinti klientus manyti, kad iniciatyva kilo iš viešojo sektoriaus, ir ne iš privačios įmonės, kurios pagrindinė veikla yra prekyba duomenimis, informavimas tampa dar svarbesniu.
Negana to klientų duotas sutikimas minėtiems perdavimams buvo pripažintas negaliojančiu, nes neatitiko BDAR 7 str. nustatytų reikalavimų, t.y., klientai nebuvo aiškiai informuoti dėl ko duoda sutikimą, sutikimas nebuvo konkretus (pažymėjus sutikimą gauti rožinę dėžutę, tai automatiškai apėmė ir sutikimą perduoti asmens duomenis) ir nebuvo duotas laisva valia (jeigu būsimi tėvai nebūtų davę sutikimo, rožinė dežutė nebūtų jiems perduodama, taigi sutikimo nedavimas susijęs su tam tikrų naudų praradimu).
Belgijos priežiūros institucija, skyrusi 50 000 Eur baudą atsižvelgė į:
Belgijos priežiūros institucijos vertinimu, nors atsižvelgiant į įmonės dydį, skirta nemaža bauda, tačiau Belgijos priežiūros institucija laikosi nuomonės, kad reikalinga didelė sankcija, kadangi minėtos įmonės verslo modelis akivaizdžiai neatitinka BDAR.
Kiekvienas duomenų valdytojas, siekdamas vykdyti tiesioginę rinkodarą, turėtų atminti, kad:
Nuorodos
https://edpb.europa.eu/news/national-news/2021_lt
Pasitikrinti, ar gaunate tinkamą išankstinį savo klientų sutikimą tvarkyti jų asmens duomenis tiesioginės rinkodaros tikslais
Pasitikrinti, ar tinkamai nustatėte procedūras išanksitniam sutikimui gauti
Pasitikrinti, ar Jūsų darbuotojai apmokyti pateikti informacinius pranešimus apie klientų asmens duomenų tvarkymą ir paprašyti jų sutikimo tiesioginei rinkodarai
Pasitikrinti, ar Jūsų BDAR mokymų temos apima asmens duomenų tvarkymą tiesioginės rinkodaros tikslais
Siekiant tvarkyti asmens duomenis tiesioginės rinkodaros tikslais išankstinis duomenų subjekto sutikimas yra privalomas.
You will need to contact your administrator.
BDAR mokymai: įvadinio kurso medžiaga
BDAR e-vedlys
Dažnai užduodami klausimai (DUK)
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000