Decyzja GIODO umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego
Decyzja z 27 kwietnia 2016 r. umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, a także braku podstawy prawnej do przetwarzania danych osobowych w celu marketingowym.
Kontrola GIODO dotyczyła danych osób, z którymi Spółka kontaktuje się telefonicznie w celach marketingowych, w tym w celu umówienia spotkania dotyczącego przedstawienia oferty marketingowej.
Najważniejsze zarzuty GIODO wobec Spółki:
- nierealizowanie (prawidłowo) obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy wobec osób, których numery telefonów zostały wygenerowane przez Spółkę lub zostały zakupione od S. Sp. z o.o. oraz od M. s.k. (art. 25 ust. 1 ustawy);
- niezapewnienie, aby dane osobowe pochodzące z baz danych udostępnionych Spółce przez S. Sp. z o.o., własnych zbiorów danych o nazwach „N”, „K” i wygenerowanych przez Spółkę nr telefonów były przetwarzane zgodnie z prawem, tj. art. 172 ust. 1 i ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), tj. poprzez brak zgody ww. osób na otrzymywanie informacji marketingowych poprzez użycie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących na podstawie ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 26 ust. 1 pkt 1 ustawy);
- brak w polityce bezpieczeństwa informacji o zbiorze danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka złożyła wyjaśnienia i usunęła uchybienia.
- zaprzestano generowania numerów telefonów oraz zawierania umów, których przedmiotem jest powierzanie danych osobowych Spółce przez tzw. brokerów.
- oświadczono, że Spółka będzie przetwarzać dane osobowe pochodzące bezpośrednio od osób, które wyrażają zgodę w stosunku do Spółki na przetwarzanie ich danych w celach marketingowych i że Spółka prowadzi działania marketingowe za pośrednictwem telefonu z ograniczeniem do osób, które wyraziły zgodę na taki kontakt np. na bonach prezentowych, umowach (art. 26 ust. 1 pkt 1 ustawy).
- uzupełniono politykę bezpieczeństwa o informacje dotyczące zbioru danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
Podsumowanie
Po zmianie brzmienia art. 172 ustawy Prawo telekomunikacyjne nie wchodzi w grę sytuacja, gdy firma kontaktuje się z potencjalnym klientem i zaczyna rozmowę od pytania o zgodę, a w przypadku jej nieuzyskania – rozłącza się.
Dopuszczalna jest natomiast sytuacja, gdy np. następuje kontakt telefoniczny z klientem w celu ustalenia szczegółów realizacji umowy bądź zamówienia, a przy okazji klient pytany jest o zgodę na gruncie art. 172.
Należy pamiętać, że brak dokumentu jakim jest polityka bezpieczeństwa, stanowi przesłankę odmowy rejestracji zbioru danych, określoną w art. 44 ust. 1 pkt 2 w związku z art. 26 ust. pkt 1 ustawy. Każdy przetwarzany przez administratora danych zbiór danych powinien być opisany w dokumentacji przetwarzania danych osobowych oraz w odpowiedni sposób zabezpieczony, nawet jeśli podlega wyłączeniu z obowiązku rejestracji w GIODO. W przeciwnym razie Generalny Inspektor
Ochrony Danych Osobowych wezwie Administratora danych do usunięcia naruszenia.
DEC/DIS-323/16/35657
http://www.giodo.gov.pl/280/id_art/9470/j/pl/