Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Aug 07, 2022
Duomenų apsaugos pareigūnas Allaw® supažindina
Ketvirtadienį Italijos duomenų apsaugos priežiūros institucija telekomunikacijų bendrovei Vodafone skyrė 12 250 000 Eur baudą už neteisėtą milijonų savo klientų asmens duomenų tvarkymą telemarketingo (pardavimų telefonu) tikslais. Vodafone turės ne tik sumokėti baudą, bet ir įgyvendinti priemones, nustatytas Italijos duomenų apsaugos priežiūros institucijos, tam kad užtikrintų atitiktį nacionaliniams ir ES teisės aktams, reguliuojantiems asmens duomenų tvarkymą ir apsaugą. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė Vodafone ir ko gali pasimokyti kiti duomenų valdytojai.
Ką turi žinoti organizacija, užsakanti telemarketingą?
Tiesioginę rinkodarą vykdyti tik gavus išankstinį asmens sutikimą
Tiesioginę rinkodarą galima vykdyti tik gavus išankstinį asmens sutikimą (pvz., sutikimai gali būti gaunami per akcijas, žaidimuose, pildant anketas, tampant lojalumo programos dalyviu, registruojantis savitarnoje ar pan.).
Antra: suteikti aiškią, nemokamą ir lengvai įgyvendinamą galimybę nesutikti ar vėliau atšaukti duotą sutikimą
Asmenims turi būti sudaryta aiški, nemokama ir lengvai įgyvendinama galimybė ne tik duoti sutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslu, bet ir nesutikti ar vėliau atšaukti duotą sutikimą.
Trečia: tiesioginę rinkodarą vykdyti tik iš savo klientų gautais jų pačių kontaktais ir tik savo panašių prekių ar paslaugų rinkodarai
Tiesioginė rinkodara iš savo klientų gautais jų pačių kontaktais gali būti vykdoma tik savo panašių prekių ar paslaugų rinkodarai ir jei klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais, kai šie duomenys yra renkami ir, jei klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę
Ketvirta: atsitiktinai sugeneruoti telefono ryšio numeriai yra laikomi asmens duomenimis.
Penkta: taikyti tinkamas duomenų saugumo priemones
Kas lėmė priežiūros institucijos tyrimo inicijavimą?
Vodafone skirta bauda žymi paskutinį žingsnį tyrime, kuris buvo inicijuotas Italijos duomenų apsaugos priežiūros institucijai gavus šimtus asmenų skundų ir įspėjimų apie reklaminius Vodafone skambučius, kuriais šios įmonės pardavimų skyrius siūlė jiems įsigyti telefono ryšio ir interneto paslaugas. Inicijavusi tyrimą Italijos priežiūros institucija nustatė ne tik duomenų tvarkymo pagrindo, bet ir kitų pagrindinių BDAR principų (atskaitomybės ir pritaikytosios ir standartizuotosios duomenų apsaugos) pažeidimus, taigi kur suklupo Vodafone?
"Šešėliniai" skambučių centrai
Vienas labiausiai nerimą keliančių tyrimą atlikusios priežiūros institucijos "radinių" yra tai, kad Vodafone naudojo netikrus numerius arba numerius, kurie nebuvo registruoti nacionaliniame konsoliduotame ryšių operatorių registre, kuriais vykdė reklaminius skambučius taip be kitų reikalavimų pažeisdama ir atskaitomybės principą (BDAR 5 str. 2 d.). Ši praktika yra pačios Vodafone dėmesio centre ir panašu yra susijusi su šešėlinių skambučių centrų veikla. Tokie centrai vykdo pardavimus telefonu, nepaisydami asmens duomenų apsaugos reikalavimų.
Kontaktų sąrašų pirkimas
Prie kitų pažeidimų prisidėjo dar ir tai, kad Vodafone skambino asmenims, kurių kontaktų sąrašus buvo nusipirkusi iš išorinių tiekėjų. Šiuos sąrašus iš Vodafone verslo partneriai gavo iš kitų bendrovių ir perdavė Vodafone be BDAR reikalavimus atitinkančio asmenų sutikimo, kitaip tariant tvarkė šiuos duomenis neturėdami pagrindo, o tai jau BDAR 6 str. pažeidimas.
Netinkamos duomenų saugumo priemonės
Na ir galiausiai Vodafone ne tik, kad pirko asmenų duomenis, bet nesaugojo ir savo klientų asmens duomenų, taikydama nepakankamas duomenų saugumo priemones ir pažeisdama BDAR 25, 32 str. Dėl ko Italijos priežiūros institucija sulaukė ir keletos skundų iš Vodafone klientų, kuriems skambino operatoriai, prisistatę Vodafone atstovais, ir prašė pateikti savo asmens tapatybės dokumento kopiją per WhatsApp programėlę, tikėtina, tam kad galėtų šiais duomenimis pasinaudoti neteisėtoms veikoms.
Ko gali pasimokyti kiti duomenų valdytojai?
Vodafone pavyzdys tik parodo, kad nepakankamas dėmesys asmens duomenų apsaugos reikalavimams netinkamai vykdant tiesioginę rinkodarą (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) gali įmonėms labai daug kainuoti. Kaip rodo, reguliariai Lietuvos priežiūros institucijos - Valstybinės duomenų apsaugos inspekcijos (VDAI), skelbiamos veiklos ataskaitos, Lietuvoje tiesioginė rinkodara (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) yra labiausiai asmenis erzinanti sritis, dėl ko jie dažniausiais skundžiasi VDAI. Todėl apžvelgėme tai, į ką turi atkreipti dėmesį kiti duomenų valdytojai, siekdami išvengti Vodafone padarytų klaidų ir ką jau ne kartą yra akcentavusi ir VDAI.
Nepamiršti!
Gauti išankstinį asmens sutikimą
Suteikti aiškią, nemokamą ir lengvai įgyvendinamą teisę nesutikti arba atšaukti sutikimą
Nepirkti kontaktinių asmens duomenų
Taikyti tinkamas duomenų saugumo priemones
Susisiekti
Susisiekti su Duomenų apsaugos pareigūnu Allaw, užsisakyti ir dar šiemet savo įmonės darbuotojams pravesti nuotolinius BDAR atitikties mokymus. Teirautis.
Užsisakyti Allaw BDAR atitikties e-mokymų medžiagą darbuotojų kvalifikacijai kelti, suvokimui didinti ir žinioms patikrinti.
Santrauka
2020-11-19 Italijos duomenų apsaugos priežiūros institucija telekomunikacijų bendrovei Vodafone skyrė 12 250 000 Eur baudą už neteisėtą milijonų savo klientų asmens duomenų tvarkymą telemarketingo (pardavimų telefonu) tikslais. Vodafone turės ne tik sumokėti baudą, bet ir įgyvendinti priemones, nustatytas Italijos duomenų apsaugos priežiūros institucijos, tam kad užtikrintų atitiktį nacionaliniams ir ES teisės aktams, reguliuojantiems asmens duomenų tvarkymą ir apsaugą. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė Vodafone ir ko gali pasimokyti kiti duomenų valdytojai.
Italijos duomenų apsaugos priežiūros institucija skyrė Vodafone daugiau nei 12 mln. Eur baudą už netinkamai vykdytą telemarketingą
Ketvirtadienį Italijos duomenų apsaugos priežiūros institucija telekomunikacijų bendrovei Vodafone skyrė 12 250 000 Eur baudą už neteisėtą milijonų savo klientų asmens duomenų tvarkymą telemarketingo (pardavimų telefonu) tikslais. Vodafone turės ne tik sumokėti baudą, bet ir įgyvendinti priemones, nustatytas Italijos duomenų apsaugos priežiūros institucijos, tam kad užtikrintų atitiktį nacionaliniams ir ES teisės aktams, reguliuojantiems asmens duomenų tvarkymą ir apsaugą. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė Vodafone ir ko gali pasimokyti kiti duomenų valdytojai.
Tiesioginę rinkodarą vykdyti tik gavus išankstinį asmens sutikimą
Tiesioginę rinkodarą galima vykdyti tik gavus išankstinį asmens sutikimą (pvz., sutikimai gali būti gaunami per akcijas, žaidimuose, pildant anketas, tampant lojalumo programos dalyviu, registruojantis savitarnoje ar pan.).
Antra: suteikti aiškią, nemokamą ir lengvai įgyvendinamą galimybę nesutikti ar vėliau atšaukti duotą sutikimą
Asmenims turi būti sudaryta aiški, nemokama ir lengvai įgyvendinama galimybė ne tik duoti sutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslu, bet ir nesutikti ar vėliau atšaukti duotą sutikimą.
Trečia: tiesioginę rinkodarą vykdyti tik iš savo klientų gautais jų pačių kontaktais ir tik savo panašių prekių ar paslaugų rinkodarai
Tiesioginė rinkodara iš savo klientų gautais jų pačių kontaktais gali būti vykdoma tik savo panašių prekių ar paslaugų rinkodarai ir jei klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama
galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais, kai šie duomenys yra renkami ir, jei klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę
Ketvirta: atsitiktinai sugeneruoti telefono ryšio numeriai yra laikomi asmens duomenimis.
Penkta: taikyti tinkamas duomenų saugumo priemones
Kas lėmė priežiūros institucijos tyrimo inicijavimą?
Vodafone skirta bauda žymi paskutinį žingsnį tyrime, kuris buvo inicijuotas Italijos duomenų apsaugos priežiūros institucijai gavus šimtus asmenų skundų ir įspėjimų apie reklaminius Vodafone skambučius, kuriais šios įmonės pardavimų skyrius siūlė jiems įsigyti telefono ryšio ir interneto paslaugas. Inicijavusi tyrimą Italijos priežiūros institucija nustatė ne tik duomenų tvarkymo pagrindo, bet ir kitų pagrindinių BDAR principų (atskaitomybės ir pritaikytosios ir standartizuotosios duomenų apsaugos) pažeidimus, taigi kur suklupo Vodafone?
"Šešėliniai" skambučių centrai
Vienas labiausiai nerimą keliančių tyrimą atlikusios priežiūros institucijos "radinių" yra tai, kad Vodafone naudojo netikrus numerius arba numerius, kurie nebuvo registruoti nacionaliniame konsoliduotame ryšių operatorių registre, kuriais vykdė reklaminius skambučius taip be kitų reikalavimų pažeisdama ir atskaitomybės principą (BDAR 5 str. 2 d.). Ši praktika yra pačios Vodafone dėmesio centre ir panašu yra susijusi su šešėlinių skambučių centrų veikla. Tokie centrai vykdo pardavimus telefonu, nepaisydami asmens duomenų apsaugos reikalavimų.
Kontaktų sąrašų pirkimas
Prie kitų pažeidimų prisidėjo dar ir tai, kad Vodafone skambino asmenims, kurių kontaktų sąrašus buvo nusipirkusi iš išorinių tiekėjų. Šiuos sąrašus iš Vodafone verslo partneriai gavo iš kitų bendrovių ir perdavė Vodafone be BDAR reikalavimus atitinkančio asmenų sutikimo, kitaip tariant tvarkė šiuos duomenis neturėdami pagrindo, o tai jau BDAR 6 str. pažeidimas.
Netinkamos duomenų saugumo priemonės
Na ir galiausiai Vodafone ne tik, kad pirko asmenų duomenis, bet nesaugojo ir savo klientų asmens duomenų, taikydama nepakankamas duomenų saugumo priemones ir pažeisdama BDAR 25, 32 str. Dėl ko Italijos priežiūros institucija sulaukė ir keletos skundų iš Vodafone klientų, kuriems skambino operatoriai, prisistatę Vodafone atstovais, ir prašė pateikti savo asmens tapatybės dokumento kopiją per WhatsApp programėlę, tikėtina, tam kad galėtų šiais duomenimis pasinaudoti neteisėtoms veikoms.
Ko gali pasimokyti kiti duomenų valdytojai?
Vodafone pavyzdys tik parodo, kad nepakankamas dėmesys asmens duomenų apsaugos reikalavimams netinkamai vykdant tiesioginę rinkodarą (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) gali įmonėms labai daug kainuoti. Kaip rodo, reguliariai Lietuvos priežiūros institucijos - Valstybinės duomenų apsaugos inspekcijos (VDAI), skelbiamos veiklos ataskaitos, Lietuvoje tiesioginė rinkodara (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) yra labiausiai asmenis erzinanti sritis, dėl ko jie dažniausiais skundžiasi VDAI. Todėl apžvelgėme tai, į ką turi atkreipti dėmesį kiti duomenų valdytojai, siekdami išvengti Vodafone padarytų klaidų ir ką jau ne kartą yra akcentavusi ir VDAI.
Santrauka
2020-11-19 Italijos duomenų apsaugos priežiūros institucija telekomunikacijų bendrovei Vodafone skyrė 12 250 000 Eur baudą už neteisėtą milijonų savo klientų asmens duomenų tvarkymą telemarketingo (pardavimų telefonu) tikslais. Vodafone turės ne tik sumokėti baudą, bet ir įgyvendinti priemones, nustatytas Italijos duomenų apsaugos priežiūros institucijos, tam kad užtikrintų atitiktį nacionaliniams ir ES teisės aktams, reguliuojantiems asmens duomenų tvarkymą ir apsaugą. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė Vodafone ir ko gali pasimokyti kiti duomenų valdytojai.
Nuorodos:
https://edpb.europa.eu/news/national-news/2020/aggressive-telemarketing-practices-vodafone-fined-over-12-million-euro_lt
https://vdai.lrv.lt/uploads/vdai/documents/files/02_%20REVIEW%20OF%20PERSONAL%20DATA%20PROTECTION%20SUPERVISION%20IN%20LITHUANIA%20IN%202019.pdf
https://vdai.lrv.lt/lt/naujienos/tiesiogine-rinkodara-ir-bendrasis-duomenu-apsaugos-reglamentas-bdar