FUTURA INTERNATIONALE grzywna RODO w wysokości 500 000 euro

UTURA INTERNATIONALE jest uproszczoną spółką akcyjną z jednym wspólnikiem w Rumuni, której siedziba znajduje się przy 1 avenue des Violettes, w Bonneuil-sur-Marne (94380). Jej działalność polega na instalowaniu urządzeń izolacyjnych, pomp ciepła i otworów.

W 2017 roku firma osiągnęła obrót w wysokości 27 647 300 euro, co daje wynik netto ponad 500 000 euro. Obrót ten wyniósł […] EUR, co daje wynik netto w wysokości około […] EUR za rok 2018. W marcu 2018 r. zatrudniała około 75 pracowników.

W dniu 6 lutego 2018 r. Pani […] złożyła skargę do Krajowej Komisji Informatyki i Wolności (zwanej dalej CNIL lub Komisją) dotyczącą akwizycji telefonicznej przez FUTURA INTERNATIONALE. Skarżący stwierdził również, że pomimo sprzeciwu wobec perspektywy wyrażonego ustnie przez operatorów telefonicznych oraz w piśmie skierowanym do siedziby głównej firmy, połączenia nie ustały kilka miesięcy po tych krokach.

20 marca 2018, na mocy decyzji nr o 2018-060C prezesa, delegacja CNIL przeprowadziła tzw. misję monitorującą w siedzibie firmy FUTURA międzynarodowych (w Polsce nazwalibyśmy to kontrolą UODO). Celem tej misji była weryfikacja zgodności wszystkich operacji przetwarzania związanych z działaniami handlowymi realizowanych przez spółkę lub w jej imieniu, pod kątem zgodności z przepisami znowelizowanej ustawy z dnia 6 stycznia 1978 r., A w szczególności ustalenie stanu faktycznego, na podstawie skargi pani […].

Przy okazji tego audytu delegacja została poinformowana, że w trakcie swojej działalności firma przetwarza dane klientów i potencjalnych klientów uzyskane bezpośrednio od zainteresowanych osób (nawiązując osobisty kontakt z firmą lub kontaktując się ramy operacji telefonicznego poszukiwania przez dostawców korzystających z własnych katalogów) są gromadzone od stron trzecich w ramach programu sponsoringowego.

Delegacja została poinformowana, że komercyjne poszukiwania telefoniczne spółki zostały przeprowadzone przez kilka centrów telefonicznych działających jako podwykonawcy, z których większość znajduje się w Afryce Północnej. Firma wskazała tym podwykonawcom grupę docelową, do której chciałaby ukierunkować kontakt, a operatorzy telecentrów zadzwonili do zainteresowanych osób, aby zaoferować im usługi firmy.

Jeśli osoby, do których telefonowano, zadeklarowały zainteresowanie, zostały albo skontaktowane bezpośrednio z pracownikiem firmy FUTURA INTERNATIONAL, albo wywołane w późniejszym terminie, aby zaoferować weryfikację/spełnienie kryteriów kwalifikowalności do świadectw oszczędności energii – oferta w Rumuni lepiej znana pod nazwa izolacji do jednego euro. Delegacja została poinformowana, że firma nie wprowadziła scentralizowanego mechanizmu uwzględniającego wnioski o sprzeciw wyrażone przez osoby, które zostały zaproszone. Potrzebowała kopii dziewiętnastu wiadomości e-mail wysłanych do firmy przez osoby prywatne, które wyraziły odmowę przyszłych operacji poszukiwawczych.

Delegacja została poinformowana, że dane klientów są przetwarzane w oprogramowaniu do zarządzania klientami Progibos, w którym teleoperatorzy mogą rejestrować komentarze klientów dla pracowników FUTURA INTERNATIONALE. Delegacja odnotowała wśród tych komentarzy, również te na temat stanu zdrowia osób, do których dzwoniono, a także obraźliwe uwagi przeciwko nim.

Po otrzymaniu kopii rozmów między teleoperatorami, a potencjalnymi klientami delegacja stwierdziła, że w dużej liczbie rozmów osoby nie zostały poinformowane o nagraniu rozmowy. Gdy osoby zostały powiadomione o rejestracji, nie dostarczono żadnych dalszych informacji dotyczących ochrony danych osobowych.

Ponadto po kontroli, służby Komisji zwróciły się do przedsiębiorstwa o przedłożenie szeregu dokumentów niezbędnych do wykonywania ich obowiązków w celu oceny odpowiedzialności przedsiębiorstwa. Obejmowały one umowy z call center. Firma otrzymała ośmiodniowy termin na przekazanie tych dokumentów. Na wniosek firmy przyznano dwa przedłużenia terminu, do 11 kwietnia i do 20 kwietnia 2018 r. Firma wysłała pewne dokumenty w dniach 11, 17, 19 i 20 kwietnia, ale nie wszystkie żądane dokumenty zostały przekazane, pomimo dwóch upomnień służb Komisji z dnia 23 kwietnia i 4 czerwca 2018 r., w tym jednego listem poleconym za potwierdzeniem odbioru.

Biorąc pod uwagę powyższe fakty, przewodniczący wydał decyzję, dotyczącą firmę z dnia 27 września 2018 wzywającą, w terminie dwóch miesięcy, aby podjąć następujące środki:

zapewnić adekwatność i ograniczyć zakres gromadzonych danych, zgodnie z art. 5-1-c) ogólnego rozporządzenia o ochronie danych 2016/679 z dnia 27 kwietnia 2016 r. , w szczególności poprzez:
- usunięcie nieodpowiednich i nadmiernych komentarzy dotyczących celu przetwarzania;
- podjęcie niezbędnych środków w celu zapobieżenia zapisywaniu nadmiernych komentarzy w oprogramowaniu PROGIBOS, na przykład poprzez utworzenie automatycznego systemu wykrywania nieodpowiednich, nieistotnych i nadmiernych słów w stosunku do celu przetwarzania, w celu ich wykluczenia komentowanie obszarów i podnoszenie świadomości personelu na temat potrzeby rejestrowania jedynie odpowiednich i nie nadmiernych danych
uzasadnić, dlaczego na zadane pytania, zostały udzielone tylko częściowe odpowiedzi oraz przekazać Komisji :
- wyczerpującą listę call center działających w imieniu firmy;
- dla każdego z call center, udostępnić pięćdziesiąt najnowszych zapisów dotyczących potencjalnych połączeń wykonanych w imieniu firmy;
- sto najnowszych zapisów rozmów telefonicznych między potencjalnymi klientami, a pracownikami firmy;
- opis działań podjętych w celu poinformowania osób, od których dane osobowe są gromadzone bezpośrednio, na warunkach określonych obecnie w art. 12 i 13 ogólnego rozporządzenia o ochronie danych nr 2016/679 z dnia 27 kwietnia 2016 r. , w szczególności poprzez przekazanie w momencie gromadzenia danych osobowych informacji dotyczących tożsamości administratora danych, celu przetwarzania, praw osób fizycznych i przekazywania danych do państwa trzeciego. Państwo członkowskie Unii Europejskiej oraz poprzez przekazanie informacji na temat przekazywania danych do państwa trzeciego przetworzone dane lub kryteria wykorzystane do ustalenia tych czasów trwania;
wzywa ponadto do informowania osób, od których dane osobowe są gromadzone pośrednio, na warunkach przewidzianych obecnie w art. 14 ogólnego rozporządzenia o ochronie danych 2016/679 z dnia 27 kwietnia 2016 r. , w szczególności poprzez zapewnienie przesłania informacji, najpóźniej w momencie pierwszej komunikacji z nimi, informacje dotyczące tożsamości administratora danych, celu przetwarzania, praw osób fizycznych i przekazywania danych do państwa trzeciego;
określić i wdrożyć skuteczną procedurę sprzeciwu w celu zapewnienia zgodności z przepisami art. 21-2 ogólnego rozporządzenia o ochronie danych 2016/679 z dnia 27 kwietnia 2016 r. , w szczególności w celu realizacji prawa do wniosek złożonego przez panią […];
zaprzestać przekazywania danych osobowych do państwa, które nie zapewnia wystarczającego poziomu ochrony prywatności oraz podstawowych praw i wolności, z wyjątkiem spełnienia jednego z warunków określonych w art. 46–49 rozporządzenia Ogólna ustawa o ochronie informacji 2016/679 z 27 kwietnia 2016 r . ;
powiadomić CNIL, że wszystkie wyżej wspomniane wnioski zostały spełnione w terminie .

Firma otrzymała formalne zawiadomienie w dniu 2 października 2018 r.

W dniu 29 listopada 2018 r. Prezes CNIL otrzymał wniosek o przedłużenie terminu przewidzianego w formalnym zawiadomieniu. W liście tym prawnik reprezentujący spółkę wyjaśnił, że została wyznaczona osoba na przedstawiciela ds. Ochrony danych w CNIL, bez powiadomienia, oraz że otrzymała to powiadomienie później. W rezultacie zarząd spółki złożył wniosek o podwojenie pierwotnie przyznanego dwumiesięcznego okresu, który został przyznany w dniu 13 grudnia 2018 r.

W dniu 15 lutego 2019 r. Zarząd spółki wysłał list do prezesa CNIL, informując ją, że pomimo kilku upomnień od niego nie był w stanie uzyskać dokumentów uzupełniających wymaganych od CNIL. Nie mógł zatem uzasadnić zgodności firmy FUTURA INTERNATIONAL, ale przekazał jednak niektóre dokumenty dostarczone przez firmę.

W celu zbadania tych elementów przewodniczący Komisji wyznaczył (…) na sprawozdawcę w dniu 29 kwietnia 2019 r. na podstawie art. 47 ustawy z dnia 6 stycznia 1978 r. (odwołanie do przepisu krajowego w Rumuni)

Pod koniec dochodzenia sprawozdawca powiadomił FUTURA INTERNATIONAL w dniu 11 czerwca 2019 r. W raporcie szczegółowo opisującym naruszenia na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

W niniejszym raporcie zaproponowano Komisji, ograniczenie się do wydania nakazu podjęcia działań naprawczych co do przepisów art. 5 ust. 1 lit. c), 12, 13, 14, 21 i 44 rozporządzenia, z karą pięćset euro dziennie z opóźnieniem pod koniec piętnastu dni po zawiadomieniu o naradzie o ograniczonym składzie, a także grzywna administracyjna w wysokości pięciuset tysięcy euro. Zaproponowano również upublicznienie tej decyzji, ale bez pozwolenia na identyfikację firmy po dwóch latach od jej opublikowania.

10 lipca 2019 r. za pośrednictwem nowego zarządu firma złożyła komentarz. Sprawozdawca udzielił odpowiedzi w dniu 25 lipca.

W dniu 31 lipca firma przedstawiła nowe uwagi w odpowiedzi na uwagi sprawozdawcy.

W dniu 19 września 2019 r. Sprawozdawca podtrzymał propozycje przedstawione w swojej decyzji nt. sankcji, z wyjątkiem nakazu dotyczącego adekwatności komentarzy, ponieważ firma spełniła wymogi w tym punkcie. Najlepiej decyzję odda przetłumaczony cytat:

”

CNIL, po naradzie, postanawia:

wyklucza przeciwko spółce FUTURA INTERNATIONAL nakaz przestrzegania obowiązków na mocy artykułu 5 ustęp 1 litera c), 12, 13, 14, 21 i 44 rozporządzenia n o 2016/679 z dnia 27 kwietnia 2016 r. W sprawie ochrony danych, w szczególności:

podejmować środki w celu skutecznego zapobiegania archiwizowaniu nadmiernych komentarzy w oprogramowaniu PROGIBOS, na przykład poprzez utworzenie automatycznego systemu wykrywania nieodpowiednich, nieistotnych i nadmiernych słów w odniesieniu do celu przetwarzania , aby wykluczyć je z obszarów komentarzy lub zapobiec ich wprowadzeniu;
poinformować osoby, których dane osobowe są zbierane bezpośrednio i pośrednio, zgodnie z artykułami 12, 13 i 14 rozporządzenia ogólnego w sprawie ochrony danych n ö 2016/679 z dnia 27 kwietnia 2016 na przykład poprzez bezpośrednie poinformowanie osoby zainteresowanej, za pośrednictwem usługi głosowej lub teleoperatora, o istnieniu i celu urządzenia, a także o przysługującym mu prawie do sprzeciwu, oraz oferując mu możliwość uzyskania informacji, aktywując klawisz na klawiaturze telefonu lub wysyłając wiadomość e-mail;
aby wdrożyć procedurę zapewniającą skuteczność praw do sprzeciwu wyrażonych przez potencjalne osoby. Procedura ta musi zarówno zapewnić, że sprzeciw wyrażony wobec podwykonawców prowadzących kampanie marketingowe zostanie przekazany spółce, a ta przekaże go pozostałym podwykonawcom, w celu zapewnienia, że połączenia wykonywane przez teleoperatorów outsourcingowych nie są kierowane do osób, którzy już wyrazili sprzeciw wobec przetwarzania ich danych osobowych w celach marketingowych i handlowych;
nadzorowanie relacji między firmą a jej podwykonawcami prowadzącymi telefoniczne kampanie poszukiwawcze;
nałożyć karę pieniężną w wysokości 500 (pięćset) euro za każdy dzień opóźnienia po upływie jednego (1) miesiąca po powiadomieniu o tej decyzji;
za naruszenie artykułów 5-1-c), 12, 13, 14, 21, 31 i 44, orzeka się, na rzecz spółki FUTURA INTERNATIONALE, grzywnę administracyjną w wysokości 500 000 (pięćset tysięcy) euro.