Italijos duomenų apsaugos institucija (Garante per la protezione dei dati personali, Garante) skyrė telekomunikacijų gigantui Vodafone 12,250,601 eurų baudą už bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Šis sprendimas žymi paskutinį tyrimo, kurį Garante inicijavo po daug vartotojų pateiktų skundų ir įspėjimų dėl nepageidaujamų Vodafone skambučių, kuriais bendrovės pardavimų skyrius siekė parduoti daugiau interneto arba mobilaus ryšio paslaugų, žingsnį.
Tyrimo metu Garante nustatė, jog Vodafone neteisėtai tvarkė milijonų vartotojų duomenis tiesioginės rinkodaros tikslais, taip pat nustatyta, kad bendrovė ne tik pažeidė sutikimo iš vartotojų gavimo reikalavimus, bet ir pagrindinius BDAR nustatytus duomenų apsaugos principus. Nustatyta, jog bendrovė rinkodaros skambučiams atlikti naudojo telefono numerius, kurie nebuvo užregistruoti ryšių operatorių registre, kas leidžia daryti išvadą, jog bendrovė turėjo „šešėlinius“ telefoninės rinkodaros skyrius, kurie veikė visiškai nepaisydami asmens duomenų apsaugos teisės aktų nuostatų. Taip pat Garante nustatė, jog telekomunikacijų bendrovė naudojo iš išorinių tiekėjų pirktus kontaktų, kurie nebuvo davę sutikimo gauti tiesioginės rinkodaros žinutes, sąrašus.
Be viso to, nustatyta, jog klientų duomenų bazėse nebuvo imtasi pakankamai saugumo priemonių, kadangi Garante gavo skundus iš bendrovės klientų, kurie gavo žinutes per WhatsApp, kuriose asmenys, apsimesdami Vodafone operatoriais, prašė klientų asmens tapatybės dokumentų nuotraukų.
Be piniginės baudos Vodafone buvo įpareigoti peržiūrėti savo asmens duomenų apsaugos politiką. Bendrovei buvo nurodyta, jog savo telefoninės rinkodaros kanaluose turi susitvarkyti sutikimo gavimo mechanizmą, vykdyti tiesioginę rinkodarą tik asmenims, kurie yra davę sutikimą gauti tokį turinį ir taip pat rinkodaros kampanijas vykdyti tik per savo oficialius pardavimo skyrius, naudojant telefono numerius, kurie yra įregistruoti anksčiau minėtame registre. Be to, įmonė buvo įpareigota visiškai atsakyti į tam tikrų duomenų subjektų prašymų ir pasirūpinti, jog klientų duomenų bazės būtų saugios ir į jas negalėtų patekti pašaliniai asmenys. Garante uždraudė bendrovei toliau tvarkyti asmens duomenis rinkodaros ar komerciniais tikslais, jei tokie duomenys yra gaunami iš trečiųjų šalių ir nėra gautas laisvas, konkretus ir informuotas duomenų subjekto sutikimas naudoti jo asmens duomenis tiesioginės rinkodaros tikslais.
Šie BDAR pažeidimai tik dar kartą primena, jog vykdant tiesioginės rinkodaros kampanijas reikia:
- Gauti duomenų subjekto sutikimą prieš bandant jį pasiekti rinkodaros žinutėmis arba skambučiais.
- Prieš naudojant iš trečiųjų šaliu pirktus duomenų sąrašus įsitikinti, jog visi duomenų subjektai prieš tai davė sutikimą, jog jų duomenys būtų tvarkomi rinkodaros tikslais.
- Imtis visų IT sistemų saugumo priemonių tam, jog būtų galima išvengti įsilaužimų ir duomenų nutekėjimo.
- Tiesioginės rinkodaros kampanijas vykdyti laikantis BDAR ir kitų asmens duomenų apsaugos įstatymų principų.
Parengė advokatė Loreta Andziulytė ir teisininko padėjėjas Nojus Antanas Bendoraitis