Obowiązek informacyjny rodo

KOMPAS FORSAFE 2020/11

Kraj:

Włochy

Data wydania decyzji:

15.01.2020 r.

Podmiot kontrolowany:

TIM S.p.A.

Wysokość kary (EUR):

27.800.000

Podstawa prawna naruszenia

Art. 5, art. 6, art. 17, art. 21, art. 32 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

TIM S.p.A. (TIM) naruszył przepisy dotyczące ochrony danych osobowych, w szczególności poprzez:

  • przeprowadzanie kampanii marketingowych bez zgody osób, do których były kierowane,
  • niewłaściwe zarządzanie listami wykluczeń (black list) i nieaktualizowanie ich na podstawie wyrażonych sprzeciwów,
  • przeprowadzanie kampanii marketingowych mimo wyraźnego sprzeciwu osób, których dane dotyczą,
  • niewłaściwe zarządzanie danymi klientów innych operatorów,
  • wymuszanie zgody na przetwarzanie danych w celach marketingowych w ramach programu lojalnościowego “TIM Party”,
  • niewłaściwe zarządzanie naruszeniami danych osobowych.

 

Opis wydarzeń

  1. Kampanie marketingowe: TIM przeprowadzał kampanie marketingowe, kontaktując się z osobami bez ich zgody, a także mimo ich sprzeciwu.
  2. Listy wykluczeń: Listy wykluczeń nie były aktualizowane, co prowadziło do kontaktowania się z osobami, które wyraziły sprzeciw wobec przetwarzania ich danych w celach marketingowych.
  3. Dane klientów innych operatorów: TIM przechowywała i przetwarzała dane klientów innych operatorów przez okres dłuższy niż przewidziany prawem, a także wykorzystywała te dane w celach marketingowych bez odpowiedniej zgody.
  4. Program “TIM Party”: Uczestnictwo w programie lojalnościowym “TIM Party” było uzależnione od wyrażenia zgody na przetwarzanie danych w celach marketingowych, co naruszało zasadę dobrowolności zgody.
  5. Naruszenia danych osobowych: TIM zgłaszała naruszenia danych osobowych z opóźnieniem i nie podejmowała odpowiednich działań w celu minimalizacji ryzyka dla praw i wolności osób, których dane dotyczyły.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Ograniczenie przetwarzania danych: Ograniczenie przetwarzania danych osobowych w celach marketingowych do numerów telefonów osób, które wyraziły na to zgodę, oraz zaprzestanie przetwarzania danych klientów innych operatorów bez odpowiedniej zgody.
  2. Aktualizacja list wykluczeń: Regularne aktualizowanie listy wykluczeń na podstawie sprzeciwów wyrażonych przez osoby, których dane dotyczą.
  3. Poprawa zarządzania naruszeniami danych: Wdrożenie procedury zapewniającej szybkie zgłaszanie naruszeń danych osobowych oraz podejmowanie działań minimalizujących ryzyko dla osób, których dane dotyczą.
  4. Zmiana procedur zgody: Wdrożenie procedury uzyskiwania zgody na przetwarzanie danych w celach marketingowych, aby zapewnić, że zgoda jest dobrowolna, świadoma i dotyczy konkretnych celów przetwarzania.
  5. Szkolenia i audyty: Przeprowadzanie regularnych szkoleń dla pracowników oraz audytów wewnętrznych w celu zapewnienia zgodności z przepisami o ochronie danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO