Firmele din România care trimit mesaje comerciale, fie sub formă de SMS, fie prin e-mail, trebuie să implementeze și metode prin care clienții lor pot refuza să le mai primească, și să se asigure că acestea funcționează corespunzător și permanent, pentru a nu risca să primească amenzi GDPR.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) tocmai a sancționat firma English Home SRL cu amendă în valoare totală de 5.000 EUR după ce o persoană a reclamat că primea pe SMS-uri comerciale nesolicitate din partea operatorului.
„Deși persoana fizică a solicitat dezabonarea, în scris, prin e-mail, în temeiul art. 21 din Regulamentul (UE) 2016/679, inclusiv prin accesarea unui link pus la dispoziția persoanelor vizate, operatorul a continuat să transmită acesteia noi mesaje comerciale”, susține ANSPDCP.
Autoritatea de supraveghere a prelucrării datelor personale arată că firma nu a dat curs cererii persoanei ca adresa de e-mail și numărul de telefon să nu-i mai fie prelucrate în scop de marketing direct. „Totodată, a rezultat că operatorul nu a răspuns solicitării petiționarului în termenele legale”, conform ANSPDCP.
Investigația finalizată în luna noiembrie 2024 a relevat, de asemenea, că English Home SRL nu a pus în aplicare măsuri tehnice şi organizatorice adecvate prin care să asigure respectarea drepturilor persoanelor vizate, în special, a dreptului la opoziție reglementat prin Regulamentul (UE) 2016/679, încălcând dispozițiile articolului 25 din același Regulament.
Articolul reglementează obligația firmelor de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării.
„Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane”, conform art. 25 alin. (2), din Regulamentul UE.
Ca atare, firma a fost sancționată cu:
- amendă în cuantum de 4.976,5 lei (echivalentul a 1.000 EUR), pentru încălcarea art. 12 alin. (3) și (4), prin raportare la art. 21 din Regulamentul (UE) 2016/679;
- amendă în cuantum de 19.906 lei (echivalentul a 4.000 EUR), pentru încălcarea art. 25 din Regulamentul (UE) 2016/679.
De asemenea, firma trebuie să:
- dea curs efectiv cererii de opoziție față de prelucrarea datelor petentului în scop de marketing direct și de a-i transmite un răspuns scris la cererea sa;
- asigure conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât operatorul să fie capabil să analizeze, să soluționeze în mod corect și să răspundă la toate cererile prin care persoanele vizate își exercită drepturile, în cadrul termenelor și potrivit condițiilor prevăzute de art. 12-23 din RGPD;
- asigure funcționarea corespunzătoare și permanentă a procedurilor de ”dezabonare” de la primirea de mesaje promoționale prin telefon/sms sau poștă electronică, respectiv, de retragerea consimțământului de prelucrare a datelor în scop de marketing direct;
- ia măsuri de facilitare a primirii cererilor de exercitare a drepturilor și de informare corespunzătoare cu privire la aceste modalități inclusiv pe site-ul propriu.