Ketvirtadienį Italijos duomenų apsaugos priežiūros institucija telekomunikacijų bendrovei Vodafone skyrė 12 250 000 Eur baudą už neteisėtą milijonų savo klientų asmens duomenų tvarkymą telemarketingo (pardavimų telefonu) tikslais. Vodafone turės ne tik sumokėti baudą, bet ir įgyvendinti priemones, nustatytas Italijos duomenų apsaugos priežiūros institucijos, tam kad užtikrintų atitiktį nacionaliniams ir ES teisės aktams, reguliuojantiems asmens duomenų tvarkymą ir apsaugą. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė Vodafone ir ko gali pasimokyti kiti duomenų valdytojai.
Kas lėmė priežiūros institucijos tyrimo inicijavimą?
Vodafone skirta bauda žymi paskutinį žingsnį tyrime, kuris buvo inicijuotas Italijos duomenų apsaugos priežiūros institucijai gavus šimtus asmenų skundų ir įspėjimų apie reklaminius Vodafone skambučius, kuriais šios įmonės pardavimų skyrius siūlė jiems įsigyti telefono ryšio ir interneto paslaugas. Inicijavusi tyrimą Italijos priežiūros institucija nustatė ne tik duomenų tvarkymo pagrindo, bet ir kitų pagrindinių BDAR principų (atskaitomybės ir pritaikytosios ir standartizuotosios duomenų apsaugos) pažeidimus, taigi kur suklupo Vodafone?
"Šešėliniai" skambučių centrai
Vienas labiausiai nerimą keliančių tyrimą atlikusios priežiūros institucijos "radinių" yra tai, kad Vodafone naudojo netikrus numerius arba numerius, kurie nebuvo registruoti nacionaliniame konsoliduotame ryšių operatorių registre, kuriais vykdė reklaminius skambučius taip be kitų reikalavimų pažeisdama ir atskaitomybės principą (BDAR 5 str. 2 d.). Ši praktika yra pačios Vodafone dėmesio centre ir panašu yra susijusi su šešėlinių skambučių centrų veikla. Tokie centrai vykdo pardavimus telefonu nepaisydami asmens duomenų apsaugos reikalavimų.
Kontaktų sąrašų pirkimas
Prie kitų pažeidimų prisidėjo dar ir tai, kad Vodafone skambino asmenims, kurių kontaktų sąrašus buvo nusipirkusi iš išorinių tiekėjų. Šiuos sąrašus iš Vodafone verslo partneriai gavo iš kitų bendrovių ir perdavė Vodafone be BDAR reikalavimus atitinkančio asmenų sutikimo, kitaip tariant tvarkė šiuos duomenis neturėdami pagrindo, o tai jau BDAR 6 str. pažeidimas.
Netinkamos duomenų saugumo priemonės
Na ir galiausiai Vodafone ne tik, kad pirko asmenų duomenis, bet nesaugojo ir savo klientų asmens duomenų, taikydama nepakankamas duomenų saugumo priemones ir pažeisdama BDAR 25, 32 str. Dėl ko Italijos priežiūros institucija sulaukė ir keletos skundų iš Vodafone klientų, kuriems skambino operatoriai, prisistatę Vodafone atstovais, ir prašė pateikti savo asmens tapatybės dokumento kopiją per WhatsApp programėlę, tikėtina, tam kad galėtų šiais duomenimis pasinaudoti neteisėtoms veikoms.
Ko gali pasimokyti kiti duomenų valdytojai?
Vodafone pavyzdys tik parodo, kad nepakankamas dėmesys asmens duomenų apsaugos reikalavimams netinkamai vykdant tiesioginę rinkodarą (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) gali įmonėms labai daug kainuoti. Kaip rodo, reguliariai Lietuvos priežiūros institucijos - Valstybinės duomenų apsaugos inspekcijos (VDAI), skelbiamos veiklos ataskaitos, Lietuvoje tiesioginė rinkodara (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) yra labiausiai asmenis erzinanti sritis, dėl ko jie dažniausiais skundžiasi VDAI. Todėl verta paanalizuoti į ką turi atkreipti dėmesį kiti duomenų valdytojai, siekdami išvengti Vodafone padarytų klaidų ir ką jau ne kartą yra akcentavusi ir VDAI:
tiesioginę rinkodarą galima vykdyti tik gavus išankstinį asmens sutikimą (pvz., sutikimai gali būti gaunami per akcijas, žaidimuose, pildant anketas, tampant lojalumo programos dalyviu, registruojantis savitarnoje ar pan.),
asmenims turi būti sudaryta aiški, nemokama ir lengvai įgyvendinama galimybė ne tik duoti sutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslu, bet ir nesutikti ar vėliau atšaukti duotą sutikimą.
tiesioginė rinkodara iš savo klientų gautais jų pačių kontaktais gali būti vykdoma tik savo panašių prekių ar paslaugų rinkodarai ir jei klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais, kai šie duomenys yra renkami ir, jei klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę
atsitiktinai sugeneruoti telefono ryšio numeriai yra laikomi asmens duomenimis.
Italijos duomenų apsaugos priežiūros institucija skyrė Vodafone daugiau nei 12 mln. Eur baudą už netinkamai vykdytą telemarketingą
Ketvirtadienį Italijos duomenų apsaugos priežiūros institucija telekomunikacijų bendrovei Vodafone skyrė 12 250 000 Eur baudą už neteisėtą milijonų savo klientų asmens duomenų tvarkymą telemarketingo (pardavimų telefonu) tikslais. Vodafone turės ne tik sumokėti baudą, bet ir įgyvendinti priemones, nustatytas Italijos duomenų apsaugos priežiūros institucijos, tam kad užtikrintų atitiktį nacionaliniams ir ES teisės aktams, reguliuojantiems asmens duomenų tvarkymą ir apsaugą. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė Vodafone ir ko gali pasimokyti kiti duomenų valdytojai.
Kas lėmė priežiūros institucijos tyrimo inicijavimą?
Vodafone skirta bauda žymi paskutinį žingsnį tyrime, kuris buvo inicijuotas Italijos duomenų apsaugos priežiūros institucijai gavus šimtus asmenų skundų ir įspėjimų apie reklaminius Vodafone skambučius, kuriais šios įmonės pardavimų skyrius siūlė jiems įsigyti telefono ryšio ir interneto paslaugas. Inicijavusi tyrimą Italijos priežiūros institucija nustatė ne tik duomenų tvarkymo pagrindo, bet ir kitų pagrindinių BDAR principų (atskaitomybės ir pritaikytosios ir standartizuotosios duomenų apsaugos) pažeidimus, taigi kur suklupo Vodafone?
"Šešėliniai" skambučių centrai
Vienas labiausiai nerimą keliančių tyrimą atlikusios priežiūros institucijos "radinių" yra tai, kad Vodafone naudojo netikrus numerius arba numerius, kurie nebuvo registruoti nacionaliniame konsoliduotame ryšių operatorių registre, kuriais vykdė reklaminius skambučius taip be kitų reikalavimų pažeisdama ir atskaitomybės principą (BDAR 5 str. 2 d.). Ši praktika yra pačios Vodafone dėmesio centre ir panašu yra susijusi su šešėlinių skambučių centrų veikla. Tokie centrai vykdo pardavimus telefonu nepaisydami asmens duomenų apsaugos reikalavimų.
Kontaktų sąrašų pirkimas
Prie kitų pažeidimų prisidėjo dar ir tai, kad Vodafone skambino asmenims, kurių kontaktų sąrašus buvo nusipirkusi iš išorinių tiekėjų. Šiuos sąrašus iš Vodafone verslo partneriai gavo iš kitų bendrovių ir perdavė Vodafone be BDAR reikalavimus atitinkančio asmenų sutikimo, kitaip tariant tvarkė šiuos duomenis neturėdami pagrindo, o tai jau BDAR 6 str. pažeidimas.
Netinkamos duomenų saugumo priemonės
Na ir galiausiai Vodafone ne tik, kad pirko asmenų duomenis, bet nesaugojo ir savo klientų asmens duomenų, taikydama nepakankamas duomenų saugumo priemones ir pažeisdama BDAR 25, 32 str. Dėl ko Italijos priežiūros institucija sulaukė ir keletos skundų iš Vodafone klientų, kuriems skambino operatoriai, prisistatę Vodafone atstovais, ir prašė pateikti savo asmens tapatybės dokumento kopiją per WhatsApp programėlę, tikėtina, tam kad galėtų šiais duomenimis pasinaudoti neteisėtoms veikoms.
Ko gali pasimokyti kiti duomenų valdytojai?
Vodafone pavyzdys tik parodo, kad nepakankamas dėmesys asmens duomenų apsaugos reikalavimams netinkamai vykdant tiesioginę rinkodarą (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) gali įmonėms labai daug kainuoti. Kaip rodo, reguliariai Lietuvos priežiūros institucijos - Valstybinės duomenų apsaugos inspekcijos (VDAI), skelbiamos veiklos ataskaitos, Lietuvoje tiesioginė rinkodara (kai įmonės savo paslaugas siūlo ir reklamuoja telefonu, el. paštu ir pan.) yra labiausiai asmenis erzinanti sritis, dėl ko jie dažniausiais skundžiasi VDAI. Todėl verta paanalizuoti į ką turi atkreipti dėmesį kiti duomenų valdytojai, siekdami išvengti Vodafone padarytų klaidų ir ką jau ne kartą yra akcentavusi ir VDAI:
galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais, kai šie duomenys yra renkami ir, jei klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę
Nuorodos:
https://edpb.europa.eu/news/national-news/2020/aggressive-telemarketing-practices-vodafone-fined-over-12-million-euro_lt
https://vdai.lrv.lt/uploads/vdai/documents/files/02_%20REVIEW%20OF%20PERSONAL%20DATA%20PROTECTION%20SUPERVISION%20IN%20LITHUANIA%20IN%202019.pdf
https://vdai.lrv.lt/lt/naujienos/tiesiogine-rinkodara-ir-bendrasis-duomenu-apsaugos-reglamentas-bdar