Francuski organ nadzorczy nakłada grzywnę w wysokości 80 tysięcy eurona firmę CALOGA
Francuski odpowiednik polskiego Urzędu Ochrony Danych Osobowych (CNIL) nałożył na spółkę CALOGA karę za działalność komercyjną polegającą na pozyskiwaniu klientów bez ich zgody oraz przekazywanie ich danych partnerom bez ważnej podstawy prawnej.
Początek sprawy
W związku z tym, że CNIL uznał komercyjne działania marketingowe za priorytetowy obszar kontroli w 2022 roku, skupił się na praktykach podmiotów działających w tym ekosystemie – w szczególności pośredników zajmujących się odsprzedażą danych, tzw. brokerów danych. Przeprowadził dochodzenie wobec firmy CALOGA, która pozyskiwała dane potencjalnych klientów głównie od innych brokerów danych, wydawców konkursów oraz stron testujących produkty (czyli tzw. pierwotnych zbieraczy danych). CALOGA wykorzystywała te dane do prowadzenia kampanii marketingowych drogą mailową w imieniu swoich klientów reklamowych. Część danych mogła być również przekazywana klientom, aby ci samodzielnie prowadzili działania marketingowe.
Kluczowe ustalenia
• Brak uzyskania zgody na przesyłanie treści marketingowych drogą elektroniczną (art. L.34-5 francuskiego Kodeksu Poczty i Komunikacji Elektronicznej (CPCE)): formularze stosowane przez brokerów danych były mylące, co uniemożliwiało uzyskanie dobrowolnej i jednoznacznej zgody według RODO – a to właśnie ona powinna stanowić podstawę działań marketingowych firmy.
• Brak poszanowania prawa do wycofania zgody (art. L.34-5 CPCE w odniesieniu do art. 7 RODO): system wdrożony przez CALOGA nie umożliwiał użytkownikom wypisania się z różnych baz danych firmy jednym kliknięciem. Wycofanie zgody było więc trudniejsze niż jej udzielenie.
• Brak odpowiedniej podstawy prawnej do przetwarzania danych (art. 6 RODO): jako broker danych, CALOGA przekazywała bazy danych innym partnerom, którzy prowadzili działania marketingowe w imieniu swoich klientów. Firma powoływała się na uzasadniony interes jako podstawę prawną, jednak zgodnie z przepisami wymagane było uzyskanie zgody osób, których dane dotyczyły – czego nie dokonano.
• Brak określenia i przestrzegania proporcjonalnego okresu przechowywania danych (art. 5 ust. 1 lit. e RODO): za każdym razem, gdy potencjalny klient otworzył wiadomość e-mail – nawet przypadkowo – firma przedłużała okres przechowywania jego danych w bazie, potencjalnie bez ograniczeń.
Decyzja
Na podstawie wyników kontroli, komisja dyscyplinarna CNIL – organ odpowiedzialny za nakładanie sankcji – uznała, że firma CALOGA naruszyła przepisy francuskiego Kodeksu Poczty i Komunikacji Elektronicznej (CPCE) oraz ogólnego rozporządzenia o ochronie danych (RODO).
Nałożyła na CALOGA grzywnę w wysokości 80 tysięcy euro i upubliczniła swoją decyzję. Wysokość kary uwzględniała m.in. dużą liczbę osób, których dane dotyczyły, długoletnią obecność firmy
na rynku, korzyści finansowe wynikające z naruszeń oraz fakt, że firma zakończyła działalność
w 2024 roku.
