Издател на списание във Финландия използва роботи за обаждания и получи глоба за нарушаване на GDPR

Санкцията можеше да се избегне, ако беше получено съгласието на читателите

Службата за санкции на финландския Омбудсман за защита на данните наложи административна глоба на издател на списание за извършване на директен маркетинг с robocalls без съгласие. Нарушенията на защитата на данните са свързани с обстоятелството, че субектите на данни не могат да упражняват своите права. Също както в описаното в жалбата ми до българската Комисия за защита на личните данни.

Във финландския случай отгоре на всичко между администратора и подизпълнителя, осъществил обажданията за директен маркетинг, не е имало споразумение за обработка, изисквано от Общия регламент относно защитата на данните (GDPR) за извършване на директен маркетинг.

Службата на омбудсмана по защита на данните е получила четири жалби от лица, които са заявили, че са получили роботизирани обаждания. Жалбоподателите не са били в състояние да упражнят правата си като субекти на данни в съответствие с GDPR, тъй като роботът не може да разбере въпроса откъде например са получени личните данни на субектите на данни.

Финландският орган за защита на конкуренцията и потребителите също е получил около сто подобни жалби. Жалбите показват, че хората, получили обаждания, също не са могли да упражнят правото си да възразят срещу обработването на лични данни за целите на директния маркетинг.

Съгласието трябва да бъде доброволно и трябва да е възможно да се упражняват правата на субект на данни.

Издателят твърди, че е получил съгласие за директен маркетинг на своя уебсайт във връзка с абонамент за списанието. Абонатите на списанието е трябвало да приемат условията на споразумението и абонамента, които включват съгласие за директен маркетинг. Ако не се даде съгласие за директен маркетинг, абонирането за списанието не е било възможно.

Съгласието и методът за получаването му не са в съответствие с GDPR, тъй като съгласието не е било поискано отделно за директен маркетинг, а исканото съгласие във връзка с условията на споразумението и абонамента не е доброволно. Освен това условията не посочват прозрачно как личните данни ще се обработват за директен маркетинг. Също така администраторът не гарантира, че субектите на данни, получили обаждания, ще могат да упражняват правата си във връзка с директния маркетинг.

В решението си омбудсманът по защита на данните окончателно забранява обработването на лични данни, събрани въз основа на споменатото по-горе съгласие за директен маркетинг. Компанията е спряла да издава въпросното списание.

Фирмата подизпълнител е осъществила директни маркетингови разговори от името на администратора. Това означава, че подизпълнителят е действал като обработващ лични данни. Страните обаче не са съставили споразумение в съответствие с GDPR, определящо обработването на лични данни от обработващия лични данни от името на администратора.

Омбудсманът по защита на данните порицава подизпълнителя за пренебрегване на задължение на обработващ лични данни, тъй като бизнесът на подизпълнителя се основава именно на директния маркетинг, осъществяван от името на различни клиенти.

Съветът за санкции налага на администратора административна глоба в размер на 8 500 евро при преценка на тежестта на нарушенията, техният характер и продължителност, броят на субектите на данни и умишленият характер на стореното.

Според съвета за санкции налагането на глоба на подизпълнителя би било ефективно и би действало възпиращо, но не би било пропорционално. Независимо от това, администраторът носи основната отговорност за сключване на споразумение за обработване на лични данни, тъй като това е обработка на лични данни от името на администратора. Освен това съветът е взел предвид при определяне на глобата оборота на дружеството и исковата молба за обявяване в несъстоятелност, образувана в Окръжен съд.

Решенията могат да бъдат обжалвани пред Административния съд.

Можете да споделите: