由于多项非法营销的数据处理行为,意大利数据保护机构(Garante per la protezione dei dati personali,以下简称“ Garante”)对TIM SpA(一家以“意大利电信”名义运营的意大利电信公司)处以总计2780万欧元的罚款。侵权涉及到数以百万计的个人。
从2017年1月到2019年初,Garante收到了数百起有关TIM的投诉,尤其是未经客户同意(或客户已经在选择退出的(opt-out)名单(Public Opposition Register)上进行了注册)就主动拨打营销电话;甚至在客户已经明确拒绝接听此类营销电话时,该公司仍然进行电话营销。投诉中还提到了关于奖品竞赛和TIM提交给用户的有关表格中存在不公平的处理做法。
在意大利金融警察局的一个专门部门的支持下,Garante还开展了复杂的调查,并发现了数起严重违反个人数据保护法规的行为。
事实证明,TIM对他们正在进行的行为之基本特性不够熟悉,并且公司普遍不遵守问责制原则。
在6个月的时间里,数以百万计的营销电话中有很多被打给了“非客户”,Garante可以确定,TIM所依赖的呼叫中心运营商在没有任何同意的情况下联系了数据对象。在一个案例中,一个人在一个月内被联系了155次。在大约20万个案例中,“名单外”的号码被拨打,也就是不包括在TIM营销列表中的号码。同时被发现的还有其他类型的非法行为,例如TIM未能监督某些呼叫中心的活动或未能正确管理和更新其黑名单(列出不希望接收市场营销电话的个人),以及加入“Tim Party”激励折扣计划的强制条件是用户同意接受TIM的营销活动。
针对客户的某些应用程序提供了不准确、不清晰的数据处理信息,并且获得客户同意的安排也不够充分。在某些需要填写纸质表格的情况下,往往一份同意书却用于多种不同的目的,其中包括同意营销。
数据泄露管理系统也被证明是无效的,并且没有适当的实施和管理系统来处理个人数据,这在设计上不符合隐私要求。TIM的黑名单被发现与承包商呼叫中心的黑名单不一致,二者关于“口头订单”即电话合同的记录也不一致。TIM以网络提供商的身份持有其他电话运营商的客户号码,这些号码被存储的时间超过了法律允许的期限,且未经客户同意就用于营销活动。
除了罚款外,Garante还对TIM实施了20项纠正措施,包括禁令和命令。特别值得一提的是,Garante禁止TIM出于营销目的,使用那些在呼叫中心联系时拒绝接听营销电话的用户、黑名单中的用户以及没有同意接听的“非客户”的数据。
未经用户自由、明确的同意,TIM公司不得再将通过“MyTim”,“TimPersonal”和“TimSmartKid”app收集的客户数据用于提供相关服务以外的目的。
Garante发布的命令包括TIM有义务检查其黑名单的一致性,并及时获取呼叫中心汇总的黑名单,以便更新他们自己的黑名单。TIM将不得不重新考虑“TimParty”计划,使客户在无需同意营销活动的情况下即可使用折扣计划和有奖竞赛。TIM还需要检查app的激活程序;必须以清晰易懂的语言,详细说明他们所进行的活动,以及有关的目的和处理机制;并取得有效同意。TIM须就资料当事人的合法要求实施技术及组织措施,并加强措施以确保在其各自系统中处理的个人数据的质量,准确性和及时更新。
TIM的措施和执行方案安排必须到位,并根据特定时间表通知Garante,同时罚款必须在30天内支付。
文章来源数据法盟 翻译张楠奇,转载请标明出处,如有侵权请联系删除。