RODO: ruszają pierwsze kontrole

Analizy

RODO: ruszają pierwsze kontrole

Prezes Urzędu Ochrony Danych Osobowych rozpoczyna kontrole u przedsiębiorców prowadzących telemarketing

Newsletter: RODO #27 | luty 2019 r.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) opublikował „Roczny plan kontroli sektorowych na 2019 rok”. Wśród podmiotów z sektora prywatnego, które mogą spodziewać się kontroli wskazano przedsiębiorstwa zajmujące się telemarketingiem.

Telemarketing a RODO

Pod pojęciem telemarketingu powszechnie rozumie się działalność marketingową kierowaną bezpośrednio do klientów za pośrednictwem urządzeń telefonicznych. W szczególności tego typu działania obejmować będą przedstawianie ofert i różnego rodzaju informacji handlowych klientom poprzez rozmowę telefoniczną lub SMS. Zgodnie z zapowiedzią PUODO inspektorzy tej instytucji będą kontrolować, czy telemarketing jest przeprowadzany przez przedsiębiorców zgodnie z regulacjami zawartymi w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (dalej „RODO”). Na co w związku z tym powinni zwrócić uwagę przedsiębiorcy korzystający z tego narzędzia?

Za zgodą czy bez zgody

Przed przystąpieniem do przetwarzania danych osobowych każdy podmiot powinien ustalić podstawę, w oparciu o którą będzie przetwarzał dane osobowe. W przypadku telemarketingu wymaga to przede wszystkim ustalenia, czy dla zamierzonego przetwarzania danych osobowych niezbędne będzie uprzednie uzyskanie zgód osób, których dotyczą dane. Odpowiedź na to pytanie zależy od szeregu okoliczności właściwych dla danego przypadku. Z uwagi jednak na elementarne znaczenie dla prawidłowości przetwarzania danych, weryfikacja podejmowanych działań powinna rozpocząć się od tej kwestii. W tym kontekście jest także istotne, że kontakt telefoniczny w celach marketingowych podlega oprócz RODO także odrębnym przepisom branżowym, w szczególności przepisom ustawy prawo telekomunikacyjne oraz (w niektórych przypadkach) ustawy o świadczeniu usług drogą elektroniczną.

Każda z tych ustaw nakłada na telemarketerów odrębny wymóg uzyskania uprzedniej zgody na kontakt telefoniczny w celu marketingu bezpośredniego. Kwestia możliwości połączenia tych zgód ze zgodami na przetwarzanie danych osobowych pozostaje dyskusyjna i wymaga ostrożności i przemyślanych działań ze strony administratora danych.

Jakub Łabuz, Radca prawny, Managing Associate, Deloitte Legal

Obowiązek informacyjny

Kluczowe znaczenie dla oceny działań przedsiębiorcy jako administratora danych osobowych ma sposób informowania przez niego o przetwarzaniu danych osobowych. Przepisy obligują do przekazywania podmiotom danych szeregu informacji dotyczących podejmowanych działań i praw podmiotów danych, w zwięzłej formie, jasnym i prostym językiem. Odpowiednie klauzule informacyjne powinny być przekazywane osobie, której dane dotyczą w momencie zbierania od niej danych np. dołączane do formularzy kontaktowych, zgód marketingowych lub odczytywane na wstępie rozmów telefonicznych, a w przypadku gdy dane osobowe pochodzą z innych źródeł np. od brokerów danych – najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, nie później jednak niż w terminach określonych w RODO. W realiach działalności telemarketingowej problematyczne może być opracowanie odpowiedniego sposobu przekazywania informacji o przetwarzaniu danych.

Informacja, o której mowa powinna być przygotowania i zaprezentowana w sposób spełniający wspomniane wymagania RODO co do zawartości informacji, momentu jej przekazania i czytelności przekazu. Z kolei przedsiębiorcy zależeć będzie, żeby na skutek zbyt rozbudowanych informacji o przetwarzaniu danych osobowych rozmówca telefoniczny nie stracił zainteresowania rozmową. Realizacja zarówno regulacji RODO, jak i interesów przedsiębiorcy stanowi często trudne zadanie.

Monika Skocz, Radca prawny, Senior Managing Associate, Deloitte Legal

W związku z tym, w kontekście możliwych kontroli, przedsiębiorcy powinni upewnić się, że przekazywane przez nich informacje są kompletne, przejrzyste i przekazywane w sposób przewidziany przez RODO.

Realizacja praw osób, których dane dotyczą

Administratorzy prowadzący działania telemarketingowe nie mogą także zapominać, że RODO przewiduje szereg praw przysługujących podmiotom danych w związku z przetwarzaniem ich danych osobowych m.in.: prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych („prawo do bycia zapomnianym”), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, czy prawo do wycofania udzielonej zgody. Na administratorach danych ciąży obowiązek realizacji wskazanych praw podmiotu danych.

Ponadto, w przypadku przetwarzania danych na potrzeby marketingu bezpośredniego, RODO uprawnia każdy podmiot danych do wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania jego danych. Oznacza to, że podmioty prowadzące działalność telemarketingową powinny wdrożyć odpowiednie rozwiązania pozwalające osobom, których dane dotyczą na bezproblemowe zgłoszenie sprzeciwu, a także powinny zapewnić usunięcie tych danych m.in. z systemów teleinformatycznych. Często do wyrażenia sprzeciwu dochodzi podczas rozmowy telefonicznej z pracownikiem call center, dlatego niezbędna jest współpraca w tym zakresie pomiędzy administratorem, a podmiotem przetwarzającym dane w jego imieniu.

Mając powyższe na uwadze przedsiębiorcy prowadzący działania telemarketingowe powinni upewnić się, że przewidziane przez nich procedury wykonywania praw osób, których dane dotyczą, pozwalają tym osobom na pełną i terminową realizację przysługujących im uprawnień.

Grzegorz Olszewski, Radca prawny, Senior Associate, Deloitte Legal

Kary administracyjne

Za nieprzestrzeganie przepisów rozporządzenia grożą wysokie kary administracyjne. W sytuacji, gdy kontrola wykaże nieprawidłowości w przetwarzaniu danych osobowych, Prezes Urzędu Ochrony Danych może nałożyć karę nawet do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
 

Czy ta strona była pomocna?