Duomenų apsaugos pareigūnas Allaw® supažindina

Ketvirtadienį Italijos duomenų apsaugos priežiūros institucija telekomunikacijų bendrovei Vodafone skyrė 12 250 000 Eur baudą už neteisėtą milijonų savo klientų asmens duomenų tvarkymą telemarketingo (pardavimų telefonu) tikslais. Vodafone turės ne tik sumokėti baudą, bet ir įgyvendinti priemones, nustatytas Italijos duomenų apsaugos priežiūros institucijos, tam kad užtikrintų atitiktį nacionaliniams ir ES teisės aktams, reguliuojantiems asmens duomenų tvarkymą ir apsaugą.  Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė Vodafone ir ko gali pasimokyti kiti duomenų valdytojai. 

Ką turi žinoti organizacija, užsakanti telemarketingą?

Tiesioginę rinkodarą vykdyti tik gavus išankstinį asmens sutikimą


Tiesioginę rinkodarą galima vykdyti tik gavus išankstinį asmens sutikimą (pvz., sutikimai gali būti gaunami per akcijas, žaidimuose, pildant anketas, tampant lojalumo programos dalyviu, registruojantis savitarnoje ar pan.).

Antra: suteikti aiškią, nemokamą ir lengvai įgyvendinamą galimybę nesutikti ar vėliau atšaukti duotą sutikimą


Asmenims turi būti sudaryta aiški, nemokama ir lengvai įgyvendinama galimybė ne tik duoti sutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslu, bet ir nesutikti ar vėliau atšaukti duotą sutikimą.

Trečia: tiesioginę rinkodarą vykdyti tik iš savo klientų gautais jų pačių kontaktais ir tik savo panašių prekių ar paslaugų rinkodarai


Tiesioginė rinkodara iš savo klientų gautais jų pačių kontaktais gali būti vykdoma tik savo panašių prekių ar paslaugų rinkodarai ir jei klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama
galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais, kai šie duomenys yra renkami ir, jei klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę

Ketvirta: atsitiktinai sugeneruoti telefono ryšio numeriai yra laikomi asmens duomenimis.


Penkta: taikyti tinkamas duomenų saugumo priemones


Kas lėmė priežiūros institucijos tyrimo inicijavimą?


Vodafone skirta bauda žymi paskutinį žingsnį tyrime, kuris buvo inicijuotas Italijos duomenų apsaugos priežiūros institucijai gavus šimtus asmenų skundų ir įspėjimų apie reklaminius Vodafone skambučius, kuriais šios įmonės pardavimų skyrius siūlė jiems įsigyti telefono ryšio ir interneto paslaugas. Inicijavusi tyrimą Italijos priežiūros institucija nustatė ne tik duomenų tvarkymo pagrindo, bet ir kitų pagrindinių BDAR principų (atskaitomybės ir pritaikytosios ir standartizuotosios duomenų apsaugos) pažeidimus, taigi kur suklupo Vodafone?

"Šešėliniai" skambučių centrai


Vienas labiausiai nerimą keliančių tyrimą atlikusios priežiūros institucijos "radinių" yra tai, kad Vodafone naudojo netikrus numerius arba numerius, kurie nebuvo registruoti nacionaliniame konsoliduotame ryšių operatorių registre, kuriais vykdė reklaminius skambučius taip be kitų reikalavimų pažeisdama ir atskaitomybės principą (BDAR 5 str. 2 d.). Ši praktika yra pačios Vodafone dėmesio centre ir panašu yra susijusi su šešėlinių skambučių centrų veikla. Tokie centrai vykdo pardavimus telefonu, nepaisydami asmens duomenų apsaugos reikalavimų.

Kontaktų sąrašų pirkimas


Prie kitų pažeidimų prisidėjo dar ir tai, kad Vodafone skambino asmenims, kurių kontaktų sąrašus buvo nusipirkusi iš išorinių tiekėjų. Šiuos sąrašus iš Vodafone verslo partneriai gavo iš kitų bendrovių ir perdavė Vodafone be BDAR reikalavimus atitinkančio asmenų sutikimo, kitaip tariant tvarkė šiuos duomenis neturėdami pagrindo, o tai jau BDAR 6 str. pažeidimas.

Netinkamos duomenų saugumo priemonės


Na ir galiausiai Vodafone ne tik, kad pirko asmenų duomenis, bet nesaugojo ir savo klientų asmens duomenų, taikydama nepakankamas duomenų saugumo priemones ir pažeisdama BDAR 25, 32 str. Dėl ko Italijos priežiūros institucija sulaukė ir keletos skundų iš Vodafone klientų, kuriems skambino operatoriai, prisistatę Vodafone atstovais, ir prašė pateikti savo asmens tapatybės dokumento kopiją per WhatsApp programėlę, tikėtina, tam kad galėtų šiais duomenimis pasinaudoti neteisėtoms veikoms.

Ko gali pasimokyti kiti duomenų valdytojai?


Vodafone pavyzdys tik parodo, kad nepakankamas dėmesys asmens duomenų apsaugos reikalavimams netinkamai vykdant tiesioginę rinkodarą (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) gali įmonėms labai daug kainuoti. Kaip rodo, reguliariai Lietuvos priežiūros institucijos - Valstybinės duomenų apsaugos inspekcijos (VDAI), skelbiamos veiklos ataskaitos, Lietuvoje tiesioginė rinkodara (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) yra labiausiai asmenis erzinanti sritis, dėl ko jie dažniausiais skundžiasi VDAI. Todėl apžvelgėme tai, į ką turi atkreipti dėmesį kiti duomenų valdytojai, siekdami išvengti Vodafone padarytų klaidų ir ką jau ne kartą yra akcentavusi ir VDAI.

Nepamiršti!
  • Gauti išankstinį asmens sutikimą
  • Suteikti aiškią, nemokamą ir lengvai įgyvendinamą teisę nesutikti arba atšaukti sutikimą
  • Nepirkti kontaktinių asmens duomenų
  • Taikyti tinkamas duomenų saugumo priemones
Susisiekti
  • Susisiekti su Duomenų apsaugos pareigūnu Allaw, užsisakyti ir dar šiemet savo įmonės darbuotojams pravesti nuotolinius BDAR atitikties mokymus. Teirautis.
  • Užsisakyti Allaw BDAR atitikties e-mokymų medžiagą darbuotojų kvalifikacijai kelti, suvokimui didinti ir žinioms patikrinti. 

Santrauka


2020-11-19 Italijos duomenų apsaugos priežiūros institucija telekomunikacijų bendrovei Vodafone skyrė 12 250 000 Eur baudą už neteisėtą milijonų savo klientų asmens duomenų tvarkymą telemarketingo (pardavimų telefonu) tikslais. Vodafone turės ne tik sumokėti baudą, bet ir įgyvendinti priemones, nustatytas Italijos duomenų apsaugos priežiūros institucijos, tam kad užtikrintų atitiktį nacionaliniams ir ES teisės aktams, reguliuojantiems asmens duomenų tvarkymą ir apsaugą.  Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė Vodafone ir ko gali pasimokyti kiti duomenų valdytojai. 

Nuorodos:


https://edpb.europa.eu/news/national-news/2020/aggressive-telemarketing-practices-vodafone-fined-over-12-million-euro_lt

https://vdai.lrv.lt/uploads/vdai/documents/files/02_%20REVIEW%20OF%20PERSONAL%20DATA%20PROTECTION%20SUPERVISION%20IN%20LITHUANIA%20IN%202019.pdf

https://vdai.lrv.lt/lt/naujienos/tiesiogine-rinkodara-ir-bendrasis-duomenu-apsaugos-reglamentas-bdar

Link to this page