Novu veliku kaznu zbog nedostatka implementacije sigurnosnih mjera u području privatnosti izreklo je talijansko nadzorno tijelo Garante prema tvrtki Tim Spa u iznosu od 27.802.946 eura, s obzirom na brojne nezakonite obrade podataka povezane s marketinškim aktivnostima. Kršenje privatnosti pogodilo je nekoliko milijuna ljudi.
Od siječnja 2017. do prvih mjeseci 2019. godine, tijelo je zaprimilo stotine izvještaja koja se posebno odnose na primanje neželjenih promotivnih poziva upućenih bez pristanka ili usprkos upisu telefonskih korisnika u javni registar prigovora, odnosno čak unatoč činjenici da su kontaktirane osobe koje su ranije izrazile želju da ne primaju promotivne pozive. Prijave u pogledu nepravilnosti u obradi podataka odnosile su se i na ponude glede nagradnih natječaja, tj. obrazaca koje je Tim slao korisnicima.
Brojne i ozbiljne povrede propisa o zaštiti osobnih podataka proizašle su iz složene preliminarne istražne aktivnosti koja je provedena uz doprinos Posebne jedinice za zaštitu i privatnost prijevara Guardia di Finanza.
Tim je pokazao da nema dovoljno znanja o temeljnim aspektima provedene obrade podataka (accountability).
Među milijunima promotivnih poziva upućenih osobama bez statusa klijenta tijekom razdoblja od šest mjeseci, Agencija je utvrdila da su tvrtke iz pozivnog centra koje je naručio Tim u mnogim slučajevima kontaktirale zainteresirane strane bez njihovog pristanka. Jedna osoba je zvana 155 puta tijekom jednog mjeseca. U oko dvjesto tisuća slučajeva kontaktirali su brojeve “s popisa”, odnosno osobe za koje je Tim znao da ih ne smije kontaktirati. Otkrivena su i druga nezakonita ponašanja, poput nepostojanja kontrole tvrtke nad radom nekih pozivnih centara, pogrešnog odnosno neuspješnog upravljanja ažuriranjem “crnih lista” na kojima su registrirane osobe koji ne žele primati reklame, obveznog stjecanja suglasnosti u promotivne svrhe kako bi se pridružilo programu “Tim Party” sa svojim popustima i nagradama.
Nadalje, prigodom upravljanja nekim aplikacijama za kupce pružene su netočne i netransparentne informacije o obradi podataka i korištene nevažeće metode pribavljanja pristanka. U nekim su se slučajevima koristili papirnati obrasci sa zahtjevom za jedinstvenu suglasnost za različite svrhe, uključujući marketing.
Kontrola kršenja privatnosti (data breach) tada je bila neučinkovita, baš kao što su implementacija i upravljanje sustavima koji obrađuju osobne podatke od strane tvrtke (s kršenjem načela privacy by design) bili neadekvatni. Neslaganja su se pojavila između Timovih crnih popisa i onih korištenih od strane pozivnih centara, kao i za audio snimke ugovora sklopljenih telefonom (usmeni nalog). Informacije o uslugama pružanim prema kupcima od strane drugih tvrtki, o kojima Tim ima saznanja kao upravitelj mreža, zadržane su dulje od zakonskih ograničenja i uključene su, bez pristanka zainteresiranih strana, u neke promotivne kampanje.
Pored kazne, Garante je Timu izrekao 20 korektivnih mjera, uključujući zabrane i preporuke. Konkretno, zabranio je Tima da koristi podatke u marketinške svrhe onih koji su izrazili odbijanje primanja promotivnih poziva u pozivne centre, onih na crnoj listi i “ne-kupaca” koji nisu dali svoj pristanak.
Tvrtka više neće moći koristiti podatke o kupcima prikupljene putem aplikacija “Moj Tim”, “Tim Personal” i “Tim Smart Kid” u druge svrhe osim za pružanje usluga za koje nije potrebna posebna privola.
Među preporukama je ukazano Timu da provjeri dosljednost korištenih crnih lista i odmah usvoji one koje bi eventualno mogli formirati pozivni centri kako bi ih prenio na svoj crni popis. Tim će također morati pregledati program “Tim Party” i omogućiti kupcima pristup popustima i nagradnim igrama uklanjanjem obveznog pristanka na promociju. Tvrtka će također morati provjeriti postupak aktiviranja svih aplikacija, uvijek na jasnom i razumljivom jeziku navesti postupke provedene uz naznaku svrhe i korištenih privola, kao i dobiti valjanu suglasnost. Tvrtka će također morati provoditi tehničke i organizacijske mjere koje se odnose na rješavanje zahtjeva za ostvarivanje prava zainteresiranih strana i pojačati mjere usmjerene na osiguranje kvalitete, točnosti i pravovremenog ažuriranja osobnih podataka koje obrađuju različiti sustavi tvrtke.
Potrebne mjere i provedbe moraju se uvesti i priopćiti nadležnom tijelu u zadanom roku, dok se plaćanje kazne mora provesti u roku od trideset dana.
izvor: gpdp.it
