Z doświadczenia wiemy, że branża e-commerce cechuje się dużą dynamiką, jeżeli chodzi o procesy przetwarzania danych osobowych. Ze względu na nie jest też często bardziej wyeksponowana na ryzyko niezgodności z RODO.
Specjalnie dla Was przygotowałam zestawienie kilku wybranych kar organów ochrony danych z krajów UE. Nie zawsze zostały one nakładane na podmioty z branży e-commerce, natomiast wydaje mi się, że każdy z poniżej komentowanych procesów dzieje się lub może się dziać w tej branży. Komentowane decyzje dotyczą szeroko rozumianego marketingu elektronicznego lub telefonicznego a ten z kolei, co wynika z naszego doświadczenia, jest zdecydowanie obecny w e-commerce. Stąd też kilka poniższych przykładów.
Rumunia, 22 kwietnia 2024 r., 2 000 EUR
Rumuński organ ochrony danych osobowych (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) nałożył na firmę S.C. Tensa Art Design S.A. karę finansową w wysokości 2 000 EURza przetwarzanie danych osobowych w celach marketingowych bez zgody podmiotu danych.
W tej sprawie osoba, której dane dotyczą, złożyła do organu skargę na S.C. Tensa Art Design S.A., właściciela strony www.lensa.ro. Skarżący zarzucał, że spółka przetwarzała jego numer telefonu do celów marketingu bezpośredniego bez jego zgody, wysyłając mu promocyjne wiadomości SMS, zawierające oferty spółki.
W trakcie postępowania spółka nie była w stanie udowodnić zgody osoby, której dane dotyczą, na przesyłanie jej takich wiadomości marketingowych, ani też żadnej innej podstawy prawnej pozwalającej na takie działania.
W toku dochodzenia ustalono, że operator S.C. Tensa Art Design S.A. nie udowodnił istnienia zgody składającego petycję ani żadnej innej podstawy prawnej przetwarzania jego danych osobowych do celów marketingu bezpośredniego, naruszając tym samym przepisy art. 6 RODO w związku z art. 83 ust. (5) lit. a) Rozporządzenia (UE) 2016/679.
Poza samą karą finansową spółka otrzymała nakaz podjęcia niezbędnych środków, aby w przyszłości zapewnić zgodność operacji przetwarzania z przepisami RODO, tj. aby unikać przetwarzania danych osobowych w celach marketingowych bez zgody osób, których dane dotyczą, oraz bez istnienia innej podstawy prawnej, o której mowa w art. 6 RODO.
Chorwacja, 22 kwietnia 2024 r., 20 000 EUR
Organ ochrony danych osobowych w Chorwacji (Agencija za zaštitu osobnih podataka) w tym roku nałożył na firmę bukmacherską karę w wysokości 20 000 EUR.
Wynika ona z tego, że firma zbierała i przetwarzała dane osobowe użytkowników strony internetowej za pomocą plików cookies, bez uprzedniej świadomej zgody użytkownika, wyrażonej w sposób dobrowolny i bez zapewnienia wycofania takiej zgody.
Organ zauważył, że w przypadku, gdy przetwarzanie danych osobowych odbywa się na podstawie zgody (zwłaszcza dotyczącej kilku różnych celów), wówczas tekst zgody (w tym konkretnym przypadku – mechanizm do wyrażenia zgody na cookies, taki jak cookie baner) musi być przedstawiony w taki sposób, aby można go było wyraźnie odróżnić, w zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka. Ponieważ w konkretnym przypadku administrator danych nie wyodrębnił banera cookie i jednocześnie pozyskiwał od użytkowników strony jedną zgodę obejmującą różne cele (marketing, analityka/statystyka), jasne było, że zgoda nie spełniła wymagań RODO (nie była wyrażona świadomie i dobrowolnie), dlatego nie stanowi odpowiedniej podstawy prawnej umożliwiającej przetwarzanie danych.
Organ nadzorczy ustalił także, że administrator nie informował użytkowników o przetwarzaniu ich danych osobowych z wykorzystaniem plików cookies zgodnie z zasadą przejrzystości. Polityka prywatności spółki nie zawierała informacji o podstawie prawnej, grupach/rodzajach plików cookies, funkcji/celu każdego pliku cookies, okresie przechowywania plików cookies, a więc zabrakło pełnych informacji o przetwarzaniu danych osobowych użytkowników, co w konsekwencji doprowadziło do naruszenia obowiązku informacyjnego, o którym mowa w art. 13 RODO.
Ponadto administrator danych przetwarzał dane osobowe użytkowników strony już w momencie załadowania strony internetowej, choć nie wyrazili oni jeszcze zgody na gromadzenie poszczególnych plików cookies. W opinii organu takie działanie jest nieuczciwe, ponieważ osoby przeglądające stronę internetową nie wiedziały nawet, że zbierane są ich dane osobowe już w momencie wejścia na stronę, a dane te były przetwarzane zanim użytkownicy mogli wyrazić zgodę na ich przetwarzanie.
Włochy, 30 listopada 2023 r., 60 000 EUR
We Włoszech tamtejszy organ ochrony danych osobowych (Garante per la protezione dei dati personali) nałożył karę w wysokości 60 000 EUR na spółkę call center.
Firma ta otrzymała już wcześniej grzywnę w wysokości 10 000 EUR za brak odpowiedzi na wezwanie włoskiego urzędu do udzielenia informacji, które zostało skierowane do spółki po tym, jak osoba, której dane dotyczą złożyła skargę na otrzymywanie marketingowych połączeń telefonicznych bez wyrażenia na to zgody. Po nałożeniu kary za brak odpowiedzi, urząd rozpoczął kontrolę w celu zweryfikowania zgodności z prawem przetwarzania danych przez call center.
Kontrola wykazała, że firma pozyskała dane kontaktowe skarżącego od innej firmy (z siedzibą w Mołdawii), od której nabyła 100 000 kontaktów wykorzystanych do wykonania ponad 32 600 połączeń telefonicznych. Połączenia te doprowadziły do podpisania około 300 umów.
Po przeprowadzeniu kontroli włoski organ nadzorczy stwierdził liczne naruszenia. W szczególności, że call center nie sprawdziło prawidłowości list kontaktowych nabytych przez swojego partnera biznesowego pod kątem przetwarzania danych z tych list w celu telemarketingu. Nie sprawdzono źródła pozyskiwania danych, czy osoby, których dane dotyczą, otrzymały pełne informacje o przetwarzaniu danych i wreszcie – czy uzyskano zgody odbiorców na przetwarzanie ich danych w celach marketingowych.
Przed rozpoczęciem kampanii promocyjnych firma nie przeprowadziła także niezbędnej weryfikacji w rejestrze numerów zastrzeżonych (co wynika ze specyfiki kraju – we Włoszech taki rejestr jest prowadzony).
Poza nałożeniem kary finansowej organ nadzorczy nakazał spółce usunięcie wszystkich bezprawnie pozyskanych danych oraz wprowadzenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, że przetwarzanie danych osobowych będzie przebiegało w sposób zgodny z prawem.
