Vokietijos asmens duomenų priežiūros institucija už asmens duomenų tvarkymo saugumo reikalavimų pažeidimą paskyrė 1 240 000 Eur baudą Vokietijos sveikatos draudimo įstaigai „AOK Baden-Württemberg“.
„AOK Baden-Württemberg“ nuo 2015 iki 2019 metų organizavo įvairaus pobūdžio loterijas ir tuo pačiu rinko dalyvių asmens duomenis, įskaitant jų kontaktinius duomenis ir duomenys apie tokio asmens priklausymą/narystę sveikatos draudimo įstaigose. „AOK Baden-Württemberg“, siekdama siųsti reklaminius pranešimus, pasinaudojo loterijų dalyvių asmens duomenimis. Tokios reklamos sklaidai „AOK Baden-Württemberg“ pasitelkė technines priemones, o dėl jų nepakankamo saugumo ir tinkamumo reklama buvo išsiųsta ir tiems asmenims, kurie nedavė sutikimo tokiai reklamai. Daugiau nei 500 loterijų dalyvių asmens duomenys buvo naudojami be jų sutikimo reklamos tikslais. Sužinojus apie tokį incidentą tuoj jau pat buvo sustabdytos visos reklaminės akcijos ir asmens duomenų tvarkymas šiais tikslais.
Priežiūros institucija įvertino, kad AOK Baden-Württemberg naudojamos techninės, organizacinės saugumo priemonės nebuvo pakankamos, kad būtų išvengta tokio neteisėto asmens duomenų tvarkymo, todėl ne tik skyrė baudą, bet ir įpareigojo įdiegti naujus saugumo sprendimus.
Šis atvejis ir paskirtos baudos dydis dar kartą atkreipia dėmesį į asmens duomenų tvarkymo saugumo reikalavimų reikšmę ir vis griežtėjantį priežiūros institucijos požiūrį į asmens duomenų tvarkymą.
Prieš vykdant tiesioginę rinkodarą siūlome:
- Įvertinti ar yra gautas asmens sutikimas dėl tiesioginės rinkodaros ir tas sutikimas nėra atšauktas;
- Įvertinti ar naudojamos elektroninės, techninės ar kitos priemones, kurių pagalba yra siunčiami reklaminiai pranešimai, atitinka saugumo reikalavimus ir veikia tinkamai;
- Pertikrinti / atnaujinti klientų, davusių sutikimą dėl tiesioginės rinkodaros, sąrašą užtikrinant, kad į jį nepakliūtų asmenys, atšaukę savo sutikimą;
- Įvykus neteisėtam asmens duomenų tvarkymui, nedelsiant imtis priemonių, minimizuojančių galimai patiriamą žalą ir sustabdyti neteisėtą asmens duomenų tvarkymą;
- Užtikrinti, kad bus lengvai prieinama galimybė atšaukti duotą sutikimą bet kuriuo momentu.
ECOVIS ProventusLaw primena, kad sutikimas dėl tiesioginės rinkodaros turi būti aiškus, jame turi būti nurodomi kokiem asmens duomenys ir kokiems tikslams bus naudojami, kaip galima atšaukti duotą susitikimą, taip pat sutikimas turi būti duotas atskirai kiekvienam naudojamam reklamos skleidimo būdui.
Publikaciją parengė ECOVIS ProventuLaw advokatė Loreta Andziultė ir advokato padėjėja Brigida Bacienė.