Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 6 ust. 1 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

Przyczyna naruszenia

Przyczyną naruszenia było niewłaściwe zaprojektowanie i skonfigurowanie procesów wykorzystywanych przez spółkę w dwóch obszarach: nagrywania rozmów telefonicznych oraz obsługi cookies na stronie internetowej. W pierwszym przypadku system rejestrował fragmenty rozmów wykraczające poza to, co było potrzebne do realizacji deklarowanych celów, a w drugim mechanizmy zgody na cookies nie działały skutecznie ani na etapie pierwszej zgody, ani po odmowie, ani po jej wycofaniu.

Opis wydarzeń

1. Przeprowadzenie kontroli: W styczniu 2023 r. przeprowadzono kontrolę w siedzibie spółki, a następnie kontrolę strony internetowej. Działania organu obejmowały zarówno weryfikację procesów operacyjnych (call center), jak i technicznej implementacji rozwiązań cyfrowych. Postępowanie miało charakter transgraniczny, obejmując użytkowników z wielu państw UE, co dodatkowo zwiększało jego wagę regulacyjną.

2. Stwierdzenie nagrywania rozmów w zakresie wykraczającym poza cel: Ustalono, że system nagrywania rozmów telefonicznych obejmował nie tylko rozmowy prowadzone z konsultantem, ale również momenty poprzedzające nawiązanie połączenia oraz okresy wstrzymania rozmowy. Oznaczało to, że zakres przetwarzania danych nie był ograniczony wyłącznie do interakcji istotnych z punktu widzenia obsługi klienta.

3. Umożliwienie rejestrowania prywatnych wypowiedzi klientów: W wyniku konfiguracji systemu możliwe było nagrywanie prywatnych rozmów prowadzonych przez klienta lub osoby trzecie znajdujące się w jego otoczeniu. Dane te nie były powiązane z celem przetwarzania, a ich pozyskiwanie wynikało wyłącznie z technicznego sposobu działania systemu, a nie z rzeczywistej potrzeby biznesowej.

4. Ustalenie dużej skali przetwarzania danych: Nagrywaniu podlegało około 600 000 rozmów rocznie, co wskazuje na znaczną skalę operacji przetwarzania. Choć faktyczne przypadki nagrań prywatnych wypowiedzi były ograniczone, sama możliwość ich systemowego występowania zwiększała ryzyko naruszenia praw osób, których dane dotyczą.

5. Stwierdzenie naruszenia zasady minimalizacji danych: Uzyskane dane wykraczały poza to, co było niezbędne do realizacji celów takich jak szkolenie pracowników czy kontrola jakości. Francuski Organ nadzorczy podkreślił, że administrator powinien tak skonfigurować proces, aby eliminować zbędne fragmenty nagrań. Naruszenie zostało potwierdzone, jednak ze względu na jego charakter i działania naprawcze nie nałożono za nie kary finansowej.

6. Zidentyfikowanie instalowania cookies bez zgody użytkownika: W toku kontroli wykazano, że cookies analityczne i marketingowe były zapisywane na urządzeniu użytkownika już w momencie wejścia na stronę, jeszcze przed podjęciem jakiejkolwiek decyzji. Dotyczyło to cookies, które nie spełniały przesłanek wyłączenia z obowiązku uzyskania zgody.

7. Wykazanie nieskuteczności mechanizmu odmowy: Pomimo wyrażenia sprzeciwu przez użytkownika, w trakcie dalszej nawigacji dochodziło do instalowania dodatkowych cookies. Szczególnie problematyczne było to w przypadku przejść do powiązanych domen marketingowych, gdzie mechanizm odmowy nie był respektowany.

8. Stwierdzenie nieskutecznego wycofania zgody: Po cofnięciu zgody cookies pozostawały na urządzeniu użytkownika i były nadal odczytywane w ramach kolejnych żądań do serwera. W praktyce oznaczało to, że użytkownik tracił kontrolę nad swoimi danymi, a jego decyzja nie wywoływała pełnego skutku technicznego.

9. Wdrożenie działań naprawczych dopiero w toku postępowania: Zmiany w konfiguracji systemów nagrywania rozmów oraz zarządzania cookies zostały wdrożone dopiero po wszczęciu postępowania przez organ. W ocenie francuskiego organu nadzorczego wskazywało to, że organizacja posiadała możliwości zapewnienia zgodności wcześniej, jednak nie wykorzystała ich w odpowiednim czasie.

10. Nałożenie administracyjnej kary pieniężnej: Na spółkę nałożono karę w wysokości 1 500 000 euro za naruszenia związane z cookies, uznając je za poważne, systemowe oraz wpływające na zaufanie użytkowników. Podkreślono, że naruszenia te były niewidoczne dla użytkownika, co dodatkowo zwiększało ich wagę z perspektywy ochrony prywatności.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Zapewnienie minimalizacji zakresu nagrywania rozmów: Należy ograniczyć nagrywanie wyłącznie do momentów niezbędnych do realizacji określonych celów, eliminując rejestrowanie czasu oczekiwania oraz okresów wstrzymania połączenia.

2. Dostosowanie konfiguracji systemów do celów przetwarzania: Systemy informatyczne powinny być konfigurowane w sposób zgodny z zasadą privacy by design, tak aby nie zbierały danych „na zapas”.

3. Wdrożenie skutecznych mechanizmów zarządzania zgodą: Należy zapewnić, że cookies inne niż niezbędne nie są instalowane przed uzyskaniem ważnej zgody użytkownika.

4. Zapewnienie pełnej skuteczności odmowy zgody: Odmowa powinna obejmować wszystkie środowiska i domeny powiązane z usługą oraz uniemożliwiać dalsze instalowanie cookies.

5. Zapewnienie realnego wycofania zgody: Po cofnięciu zgody należy usuwać lub dezaktywować cookies oraz zapobiegać ich dalszemu odczytowi.

6. Regularne testowanie działania mechanizmów cookies: Zaleca się prowadzenie cyklicznych audytów technicznych (np. analiza ruchu sieciowego, plików HAR), aby weryfikować rzeczywiste działanie systemów.

7. Dokumentowanie procesów i zapewnienie rozliczalności: Należy prowadzić aktualną dokumentację dotyczącą stosowanych cookies, ich celów oraz podstaw prawnych przetwarzania.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu