CNIL ukarał Solocal grzywną w wysokości 900 tysięcy euro
Firma nie wypełniła obowiązków wynikających z francuskiego kodeksu poczty i łączności elektronicznej oraz ogólnego rozporządzenia o ochronie danych w zakresie gromadzenia i potwierdzania zgody.
Tło sprawy
Francuski organ nadzoru (CNIL) uczynił prospecting – pozyskiwanie klientów komercyjnych, prioryte-towym tematem dochodzeń w 2022 r.; skupił się na praktykach profesjonalistów w tym sektorze, w tym osób, które odsprzedają dane, tzw. brokerów danych.
Przeprowadził dochodzenie w sprawie Solocal Marketing Services – firmy, która uzyskiwała dane potencjalnych klientów głównie od brokerów danych, wydawców konkursów gier i stron testujących produkty. Podmioty te są pierwszymi ogniwami w łańcuchu, głównymi podmiotami zbierającymi dane, odpowiedzialnymi za gromadzenie danych potencjalnych klientów. Solocal Marketing Services wyko-rzystał te dane do pozyskania klientów komercyjnych za pośrednictwem wiadomości SMS lub e-mail do zainteresowanych osób, w imieniu swojego klienta reklamodawcy. Mógł również przekazywać nie-które z danych swoim klientom, aby z kolei oni mogli sami pozyskać dla siebie klientów przez telefon lub pocztę.
Kluczowe ustalenia
Nieprzestrzeganie obowiązku uzyskania zgody osób fizycznych na otrzymywanie informacji handlowych drogą elektroniczną (art. L.34-5 francuskiego kodeksu poczty i łączności elektronicznej): Komisja ds. ograniczeń uznała, że wprowadzający w błąd wygląd formularzy wykorzystywanych przez brokerów danych uniemożliwił uzyskanie swobodnej i jednoznacznej zgody, odpowiedniej dla wymogów RODO, która stanowiłaby podstawę działań prospectingowych prowadzonych przez spółkę. Brak wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (art. 7 RODO): Firma nie dostarczyła francuskiemu organowi nadzorczemu dowodu zgody osób fizycznych, których dane zostały jej przekazane przez jednego z jej głównych dostawców. W rezultacie organ nie był w stanie zbadać formularzy gromadzenia danych stosowanych przez tego dostawcę, a tym samym ważności zgody osób, których dane dotyczą.
Decyzja
Na podstawie wyników kontroli komisja ds. ograniczeń – francuski organ ds.ochrony danych odpo-wiedzialny za wydawanie sankcji – uznał, że firma nie wypełniła obowiązków wynikających z fran-cuskiego kodeksu poczty i łączności elektronicznej (CPCE) oraz ogólnego rozporządzenia o ochronie danych (RODO) w zakresie gromadzenia i potwierdzania zgody.
Nałożył na Solocal Marketing Services:
- • grzywnę w wysokości 900 tysięcy euro, która została podana do wiadomości publicznej; oraz
- • nakaz zaprzestania elektronicznej prospekcji handlowej w przypadku braku ważnej zgody, wraz
z karą w wysokości 10 tysięcy euro za każdy dzień zwłoki po okresie 9 miesięcy.
Kwota tej grzywny uwzględnia bardzo dużą liczbę osób, których dotyczy (kilka milionów), historycz-ną pozycję firmy na rynku, korzyści finansowe uzyskane z naruszeń oraz środki podjęte przez firmę w celu wypełnienia niektórych jej zobowiązań od czasu przeprowadzenia kontroli.
