Úřad pro ochranu osobních údajů v Itálii (Garante per la protezione dei dati personali) uložil pokutu ve výši 79 milionů EUR společnosti Enel Energia S.p.A. kvůli významným nedostatkům v jejich bezpečnostních protokolech, které umožnily neoprávněným telemarketingovým společnostem předkládat smlouvy uzavřené se spotřebiteli v rozporu se zákonem. Jedná se o nejvyšší pokutu, kterou kdy úřad uložil.

Vyšetřování prováděné finanční policií Guardia di Finanza vedlo k uložení pokut čtyřem společnostem a zabavení databází, které se týkaly nelegálně prováděných telemarketingových hovorů v letech 2015 až 2022. Tyto hovory měly za cíl propagovat služby společností v sektoru elektřiny a plynu. Jednou z těchto společností byla Enel Energia (‘správce’).

Další vyšetřování databází odhalilo, že Enel Energia získala až 978 smluv od těchto čtyř společností, přestože tyto společnosti přímo nepatřily do prodejní sítě Enel Energia. Dohody dosažené těmito společnostmi s potenciálními zákazníky byly zaslány do systému řízení vztahů se zákazníky (‘CRM’) společnosti Enel Energia, který skutečně uzavíral smlouvy jménem Enel Energia.

Další vyšetřování italským úřadem pro ochranu osobních údajů (‘Garante’) odhalilo, že tyto marketingové aktivity byly prováděny pomocí nelegálně získaných seznamů zákazníků, které obsahovaly adresy, telefonní čísla, obce bydliště zákazníků a příslušnou energetickou společnost zákazníka. Čtyři společnosti nebyly nikdy oficiálně určeny Enel ani žádnou z jejích prodejních agentur jako zpracovatelé údajů, ani Enel nebyla plně vědoma těchto nesrovnalostí. Nicméně zpracovatelské činnosti byly prováděny jménem Enel a s ekonomickým ziskem pro ni.

Úřad pro ochranu osobních údajů vyšetřoval zejména nedostatek bezpečnostních opatření při přístupu do CRM systému. Garante poznamenal, že bylo extrémně snadné pro externí společnosti – i bez jakéhokoli přímého smluvního vztahu s Enel – získat přihlašovací údaje potřebné k používání systému a „nahrávat“ smlouvy v rozporu se zákonem. V reakci na obvinění vznesená Garante, Enel Energia zdůraznila procesní nesrovnalosti. Napadli řízení mimo jiné tím, že tvrdili, že Garante porušil zásadu ne bis in idem, protože námitky se překrývaly s předchozími opatřeními proti Enel. Zejména Tribunál v Římě rozhodnutím č. 443/2021 již zrušil pokutu Garante proti Enel Energia.

Úřad pro ochranu osobních údajů zjistil následující porušení. Enel Energia porušila článek 5(1)(f) GDPR a článek 32 GDPR, když neprovedla adekvátní posouzení rizik spojených s jejím CRM systémem a nepřijala vhodná opatření k zajištění správného používání přístupových údajů a zabránění sdílení přístupových údajů. Garante uvedl, že to umožnilo zavedení návrhů smluv získaných zaměstnanci agentur, které nebyly oprávněny přistupovat a zpracovávat osobní údaje v rámci smluvního systému Enel Energia.

Garante také konstatoval, že Enel Energia porušila články 5(2), 24(1) a 25 GDPR. Tyto články se týkají povinností odpovědnosti a ochrany soukromí již při návrhu, které byly v tomto případě porušeny, protože nebyly účinně protiopatřeny nesprávné chování těch agentur, které měly v úmyslu získat smlouvy pro Enel Energia. Neschopnost Enel Energia prokázat výkon svých pravomocí a kontrolu nad funkčností a bezpečností svých systémů je tedy evidentní.

Nakonec Garante rozhodl, že Enel Energia porušila článek 28 GDPR, protože smlouvy, které uzavřela se svými prodejními agenturami, neodrážely skutečné a přesné nakládání s osobními údaji. Tyto smlouvy neobsahovaly podmínky týkající se odpovědnosti správce nebo nezajišťovaly, že prodejní agentury byly způsobilé uzavírat právní dohody s externími stranami. To vedlo k situaci, kdy neoprávněné telemarketingové společnosti nelegálně přistupovaly k přihlašovacím údajům Enel a nezákonně zpracovávaly osobní údaje ve prospěch společnosti.

Pokud jde o argument Enel Energia týkající se porušení zásady ne bis in idem, úřad pro ochranu osobních údajů zdůraznil rozdíl mezi předchozím opatřením přijatým Garante (č. 443) a současnými námitkami vznesenými proti Enel Energia. Předchozí opatření pokrývalo širokou škálu činností prováděných Enel Energia, včetně telemarketingu bez souhlasu, porušení pravidel registru opozice, zpoždění v odpovědích na žádosti o práva subjektu údajů a další.

Rovněž se zabývalo snahami Enel Energia zabránit zneužívání jejích služeb zákazníky. Na druhé straně bezpečnostní opatření a monitorování kritických událostí v CRM nebyly součástí předchozího zkoumání. V tomto smyslu Garante přijal nápravná opatření zaměřená na jiné porušení. Výsledkem bylo, že úřad pro ochranu osobních údajů uložil pokutu ve výši 79 107 101 EUR, což je nejvyšší sankce, kterou kdy italský úřad uložil.

Zdroj: gdprhub.eu