Decyzja GIODO umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego

utworzone przez Ekspert DaneSklepu.pl | paź 12, 2016 | GIODO sklep internetowy

Decyzja z 27 kwietnia 2016 r. umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, a także braku podstawy prawnej do przetwarzania danych osobowych w celu marketingowym.

Kontrola GIODO dotyczyła danych osób, z którymi Spółka kontaktuje się telefonicznie w celach marketingowych, w tym w celu umówienia spotkania dotyczącego przedstawienia oferty marketingowej.

Najważniejsze zarzuty GIODO wobec Spółki:

1. nierealizowanie (prawidłowo) obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy wobec osób, których numery telefonów zostały wygenerowane przez Spółkę lub zostały zakupione od S. Sp. z o.o. oraz od M. s.k. (art. 25 ust. 1 ustawy);
2. niezapewnienie, aby dane osobowe pochodzące z baz danych udostępnionych Spółce przez S. Sp. z o.o., własnych zbiorów danych o nazwach „N”, „K” i wygenerowanych przez Spółkę nr telefonów były przetwarzane zgodnie z prawem, tj. art. 172 ust. 1 i ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), tj. poprzez brak zgody ww. osób na otrzymywanie informacji marketingowych poprzez użycie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących na podstawie ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 26 ust. 1 pkt 1 ustawy);
3. brak w polityce bezpieczeństwa informacji o zbiorze danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka złożyła wyjaśnienia i usunęła uchybienia.

1. zaprzestano generowania numerów telefonów oraz zawierania umów, których przedmiotem jest powierzanie danych osobowych Spółce przez tzw. brokerów.
2. oświadczono, że Spółka będzie przetwarzać dane osobowe pochodzące bezpośrednio od osób, które wyrażają zgodę w stosunku do Spółki na przetwarzanie ich danych w celach marketingowych i że Spółka prowadzi działania marketingowe za pośrednictwem telefonu z ograniczeniem do osób, które wyraziły zgodę na taki kontakt np. na bonach prezentowych, umowach (art. 26 ust. 1 pkt 1 ustawy).
3. uzupełniono politykę bezpieczeństwa o informacje dotyczące zbioru danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).

Podsumowanie

Po zmianie brzmienia art. 172 ustawy Prawo telekomunikacyjne nie wcho­dzi w grę sy­tu­acja, gdy firma kon­tak­tuje się z po­ten­cjal­nym klien­tem i za­czyna roz­mowę od py­ta­nia o zgodę, a w przypadku jej nieuzyskania – rozłącza się.

Dopuszczalna jest na­to­miast sy­tu­acja, gdy np. na­stę­puje kon­takt te­le­fo­niczny z klien­tem w celu usta­le­nia szcze­gó­łów re­ali­za­cji umowy bądź za­mó­wie­nia, a przy oka­zji klient py­tany jest o zgodę na grun­cie art. 172.

Należy pamiętać, że brak dokumentu jakim jest polityka bezpieczeństwa, stanowi przesłankę odmowy rejestracji zbioru danych, określoną w art. 44 ust. 1 pkt 2 w związku z art. 26 ust. pkt 1 ustawy. Każdy przetwarzany przez administratora danych zbiór danych powinien być opisany w dokumentacji przetwarzania danych osobowych oraz w odpowiedni sposób zabezpieczony, nawet jeśli podlega wyłączeniu z obowiązku rejestracji w GIODO. W przeciwnym razie Generalny Inspektor

Ochrony Danych Osobowych wezwie Administratora danych do usunięcia naruszenia.

DEC/DIS-323/16/35657
http://www.giodo.gov.pl/280/id_art/9470/j/pl/