(od Federike De Stefani, advokata i odgovornog za Aidr Regione Lombardia) Garant za zaštitu ličnih podataka ponovo interveniše po delikatnom pitanju divljeg telemarketinga i izriče kaznu od preko 3 miliona evra za Sky.
Odredba dolazi nakon duge i složene istrage koja je započeta nakon desetina prijava i pritužbi ljudi koji su se žalili na primanje neželjenih telefonskih poziva, upućenih radi promocije usluga koje nudi Sky, kako direktno, tako i preko call centara drugih kompanija.
Uprava je u svojim istragama otkrila mnoga kritična pitanja, uključujući upućivanje promotivnih poziva bez informacija i bez saglasnosti, koristeći neprovjerene liste, nabavljene od drugih kompanija.
Analiza naloga o zabrani izdatog od strane Garanta nudi važnu hranu za razmišljanje i naglašava neke korake telemarketinških aktivnosti koji su prikladni da predstavljaju "smjernice" za ispravno izvršenje istih.
Vraćamo se na delikatnu ravnotežu između poslovanja, obrade podataka i zaštite podataka.
Zaštita ličnih podataka ne smije, kako je izričito naznačeno čl. 1. Evropske uredbe, biti prepreka privrednim aktivnostima.
Riječ je o pomirenju dvije različite potrebe (zaštita poslovanja i podataka) koje su samo naizgled nepomirljive, a često se takvima smatraju zbog nedostatka dubinskog poznavanja zakonodavstva.
Procedura za telemarketing
Telemarketing je tehnika koju kompanije koriste za promociju svojih proizvoda. U konkretnom slučaju, analiziranom nalogom Uprave, Sky je od trećih kompanija nabavio liste korisnika koje je kontaktirao u svrhu ekspresnog marketinga.
Postupak za obavljanje ove aktivnosti, prema odredbama Evropske uredbe o zaštiti ličnih podataka, uključuje sljedeće korake:
- Pribavljanje pristanka korisnika da prenese svoje podatke trećim licima od strane treće strane u eksternalizaciji.
- Sticanje imena od strane Sky.
- Sky koristi liste koje je stekao kontaktiranjem kupca i pružanjem vlastitih podataka.
- Sticanje, opet od strane Sky-a, saglasnosti korisnika za formulisanje komercijalnih predloga i tek nakon takvog pribavljanja, mogućnost od strane operatera da formuliše komercijalni predlog.
Prema istrazi koju je sproveo Garant, procedura koju je sprovodio za promotivne aktivnosti od strane Sky-a nije imala neke bitne elemente, ograničavajući se na korišćenje imena stečenih od trećih kompanija koje su već "odobrene".
Osnovna poenta je upravo ovo: pristanak koji je korisnik dao trećoj kompaniji predstavljao je valjanu pravnu osnovu samo za priopćavanje imena Sky-u, a ne i daljnju upotrebu istih u marketinške svrhe od strane potonjeg. .
Treba dodati i da bi Sky prije izvođenja bilo kakve operacije trebao provjeriti na svojim crnim listama da li ljudi koje treba kontaktirati nisu izrazili protivljenje primanju reklamnih poziva u vezi s njegovim proizvodima.
PIK kao odgovarajući kanal za ostvarivanje prava zainteresovane strane
Drugi element vrijedan pažnje odnosi se na kanale koji su dostupni korisnicima za ostvarivanje njihovih prava.
Vlast je, naime, propisala Sky da među kanale za prijem izjava o protivljenju procesuiranju, uključi i adresu PEC-a navedenu u registru preduzeća, adresu koja se do sada nije smatrala valjanom kontakt točkom za privatnost. .
Outsourcing kompanije i kvalifikacija obrađivača podataka
Konačno, nalog zabrane pojašnjava još jedan važan aspekt, a to je kvalifikacija kompanija trećih strana koje formiraju liste imena koje se koriste u marketinške svrhe, ponavljajući, još jednom, kao što je već učinjeno u prošlosti, da se agencije za spoljne poslove ne mogu kvalifikovati kao nezavisni kontrolori podataka.
Predmetna odredba, posebno, izričito naglašava da „navodno formalno vlasništvo ne odgovara, čak ni u konkretnom smislu, ovlaštenjima koja su striktno predviđena Kodeksom za konfiguraciju i vršenje vlasništva, a koja su i ostaju isključivi prerogativ direktori. Među njima, prije svega: - donositi odluke koje se odnose na svrhe obrade podataka o primateljima promotivnih kampanja u svrhu slanja reklamnog ili direktne prodajnog materijala ili komercijalnog istraživanja ili komercijalne komunikacije koju provode treće strane koje djeluju u vanjskim izvorima za izvođenje navedenih promotivnih i marketinških aktivnosti roba, proizvoda i usluga; - izdavanje obavezujućih instrukcija i direktiva prema vanjskim izvršiteljima, u suštini koje odgovaraju uputama koje kontrolor podataka mora dati menadžeru; - obavljati kontrolne funkcije u pogledu rada samih vanjskih izvođača“.
Iz toga proizilazi, kao prirodna posljedica, da ovi subjekti također moraju dobiti izričitu i formalnu oznaku kontrolora podataka, prema odredbama čl. 29 Uredbe.