(Federica De Stefani, prawniczka i odpowiedzialna za Aidr Regione Lombardia) Gwarant ochrony danych osobowych ponownie interweniuje w delikatnej kwestii dzikiego telemarketingu i nakłada na Sky grzywnę w wysokości ponad 3 milionów euro.
Przepis ten pojawił się po długim i złożonym dochodzeniu, które rozpoczęło się w następstwie dziesiątek zgłoszeń i skarg od osób, które skarżyły się na odbieranie niechcianych połączeń telefonicznych, złożonych w celu promowania usług oferowanych przez Sky, zarówno bezpośrednio, jak i za pośrednictwem call center innych firm.
W swoich dochodzeniach Urząd wykrył wiele krytycznych kwestii, w tym wykonywanie połączeń promocyjnych bez informacji i bez zgody, z wykorzystaniem niezweryfikowanych list uzyskanych od innych firm.
Analiza nakazu sądowego wydanego przez Gwaranta daje ważny materiał do przemyśleń i podkreśla niektóre etapy działań telemarketingowych, które mogą stanowić „wytyczne” dla prawidłowego ich wykonania.
Wracamy do delikatnej równowagi między biznesem, przetwarzaniem danych i ochroną danych.
Ochrona danych osobowych nie może, jak wyraźnie wskazuje art. 1 Rozporządzenia Europejskiego, stanowić przeszkodę w prowadzeniu działalności gospodarczej.
Jest to kwestia pogodzenia dwóch różnych potrzeb (biznesu i ochrony danych), które tylko pozornie są nie do pogodzenia, często uważane za takie ze względu na brak dogłębnej znajomości przepisów.
Procedura telemarketingu
Telemarketing to technika wykorzystywana przez firmy do promowania swoich produktów. W konkretnym przypadku, analizowanym na podstawie nakazu sądowego wydanego przez Urząd, Sky nabyło listy użytkowników od firm zewnętrznych, z którymi można się kontaktować w celach marketingowych.
Procedura wykonywania tej czynności, zgodnie z przepisami europejskiego rozporządzenia o ochronie danych osobowych, obejmuje następujące kroki:
- Pozyskanie przez firmę zewnętrzną w ramach outsourcingu zgody użytkownika na przekazywanie jego danych osobom trzecim.
- Przejęcie nazw przez Sky.
- Korzystanie przez Sky z list pozyskanych poprzez kontakt z klientem i podanie mu własnych informacji.
- Pozyskanie, ponownie przez Sky, zgody użytkownika na formułowanie ofert handlowych i dopiero po takim nabyciu możliwości formułowania przez operatora oferty handlowej.
Według śledztwa przeprowadzonego przez Gwaranta, w procedurze prowadzonej przez Sky działania promocyjnego brakowało pewnych istotnych elementów, ograniczając się do używania nazw nabytych od firm trzecich już „zatwierdzonych”.
Zasadnicza kwestia jest dokładnie taka: zgoda udzielona przez użytkownika firmie trzeciej stanowiła ważną podstawę prawną jedynie do przekazywania nazw Sky, a nie do dalszego ich wykorzystywania w celach marketingowych przez tę ostatnią.
Należy również dodać, że Sky powinno przed wykonaniem jakiejkolwiek operacji sprawdzić na swoich czarnych listach, czy osoby, z którymi można się skontaktować, nie wyraziły sprzeciwu wobec otrzymywania wezwań reklamowych dotyczących jej produktów.
KOP jako odpowiedni kanał realizacji praw zainteresowanej strony
Kolejnym wartym uwagi elementem są kanały udostępniane użytkownikom w celu realizacji ich praw.
W rzeczywistości Urząd zalecił Sky, aby wśród kanałów przyjmowania oświadczeń o sprzeciwie wobec przetwarzania znalazł się również adres PEC wskazany w rejestrze spółek, który do tej pory nie był uważany za ważny punkt kontaktowy w zakresie prywatności ...
Firmy outsourcingowe i kwalifikacja przetwarzającego dane
Wreszcie nakaz sądowy wyjaśnia kolejny ważny aspekt, a mianowicie kwalifikację firm zewnętrznych, które tworzą wykazy nazw wykorzystywanych do celów marketingowych, powtarzając raz jeszcze, jak to już miało miejsce w przeszłości, że agencji outsourcingowych nie można zakwalifikować jako niezależnych administratorów danych.
W szczególności omawiany przepis wyraźnie podkreśla, że „domniemana formalna własność nie odpowiada, nawet w konkretnym wymiarze, kompetencjom ściśle przewidzianym w Kodeksie w zakresie ukształtowania i wykonywania własności, które są i pozostają wyłącznym przywilejem zleceniodawcy. Wśród nich przede wszystkim: - podejmowanie decyzji dotyczących celów przetwarzania danych odbiorców akcji promocyjnych w celu przesyłania materiałów reklamowych lub do sprzedaży bezpośredniej lub badań handlowych lub komunikacji handlowej realizowanych przez podmioty trzecie działające w ramach outsourcingu w celu wykonania działań promocyjnych i marketingowych dotyczących towarów, produktów i usług, o których mowa powyżej, - wydawanie wiążących instrukcji i dyrektyw wobec zleceniodawców, zasadniczo odpowiadających poleceniom, jakie administrator danych musi wydać kierownikowi, - wykonywanie funkcji kontrolnych w odniesieniu do pracy samych zleceniodawców”.
Wynika zatem z naturalnej konsekwencji, że podmioty te muszą również otrzymać wyraźne i formalne wyznaczenie jako administratorzy danych, zgodnie z przepisami art. 29 Regulaminu.