11,5 mln EUR kary za niewystarczającą podstawę prawną dla przetwarzania danych dla włoskich firmy sprzedających gaz, energię elektryczną oraz rozwiązania energetyczne
W dniu 17 stycznia 2020 r. Włoski organ nadzorczy (odpowiednik Urzędu Ochrony Danych Osobowych) nałożył na Eni Gas i Luce – dwie kary w łącznej wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w ramach:
- działań reklamowych
- uruchamiania niezamówionych umów.
Pierwsza kara – 8,5 mln EUR
Pierwsza kara dotyczy niezgodnego z prawem przetwarzania danych osobowych w ramach działalności telemarketingowej i telesprzedaży.
Połączenia promocyjne były między innymi:
- wykonywane bez zgody osoby, z którą się skontaktowano lub
- pomimo odmowy przez tę osobę odbioru połączeń promocyjnych lub
- bez uruchamiania specjalnych procedur sprawdzania publicznego rejestru opt-out.
Ponadto brakowało środków technicznych i organizacyjnych uwzględniających informacje przekazywane przez użytkowników. Dane były przetwarzane dłużej niż dopuszczalne okresy przechowywania – nie została wdrożona procedura retencji danych. Dodatkowo dane dotyczące potencjalnych klientów były zbierane od podmiotów (dostawców usług listowych), które nie uzyskały zgody na ujawnienie takich danych.
Naruszenia przepisów Rozporządzenia ochronie danych osobowych: Art. 5 | Art. 6 | Art. 17 | Art. 21
Druga kara – 3 mln EUR
Dotyczy naruszeń wynikających z zawarcia niezamówionych umów na dostawy energii elektrycznej i gazu na warunkach „gospodarki rynkowej”.
Wiele osób, których dotyczyło powyższe naruszenie złożyło do Urzędu skargę. Wskazywali w nich, iż o fakcie zawarcia nowej umowy dowiedziały się dopiero po otrzymaniu pisma o rozwiązaniu umowy z poprzednim dostawcą lub pierwszych faktur wystawionych przez ukaraną spółkę.
Naruszenia przepisów Rozporządzenia ochronie danych osobowych: Art. 5 | Art. 6
Decyzja Garante Per La Protezione Dei Dati Personali (wersja włoska)