GDPR: O firmă românească, amendată pentru oferte telefonice nesolicitate. Ce trebuie să știi despre această practică

Sancțiunea a fost aplicată de ANSPDCP, potrivit documentului amintit, unei companii de telefonie, ca urmare a unei plângeri prin care o persoană fizică, fost client, reclama că a fost contactată pe numărul său de telefon, pentru a i se prezenta noi oferte comerciale, de către un reprezentant al companiei, deși își retrăsese, în mod expres, consimțământul pentru utilizarea datelor sale cu caracter personal odată cu încetarea relației contractuale cu operatorul.

Amenda aplicată de autorități a fost de 2.000 de euro, plus un avertisment, însă acest lucru ar trebui să le dea de gândit firmelor astfel încât să verifice, ori de câte ori contactează telefonic pe cineva, dacă încalcă GDPR. Acestea pot primi câte o amendă pentru fiecare încălcare a regulamentului, ceea ce, în cazul companiilor mari, cu baze de date la fel de mari, poate duce la sume semnificative.

În situația menționată în cadrul comunicatului, respectiva persoană care a reclamat cazul autorităților i-a solicitat, din nou, după prima abatere, operatorului de telefonie ștergerea numărului său de telefon și a adresei de e-mail din baza de date, însă aceasta a fost iarăși contactată de un reprezentant al companiei, pentru a-i prezenta oferte comerciale. 

Abia în urma unei a treia solicitări de ștergere a datelor sale de contact, compania de telefonie a făcut demersurile necesare. Reprezentanții companiei cu pricina au motivat, potrivit comunicatului ANSPDCP, că acest lucru s-a întâmplat pentru că “un reprezentant (…), dintr-o eroare umană, nu și-a dat seama că nu avea permisiunea (…) de a-l apela”.

În cursul desfășurării investigației, ANSPDCP a constatat că respectiva companie de telefonie a prelucrat datele cu caracter personal în scop de marketing fără a avea temei legal, încălcând astfel prevederile din GDPR, cuprinse în art. 6, care reglementează că “[p]relucrarea este legală numai dacă (…) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice”.

De asemenea, din cauza faptului că firma respectivă a contactat telefonic, din nou, persoana care își exercitase dreptul de opoziție, a încălcat astfel prevederile art. 21 din GDPR, conform cărora, „[a]tunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv”.

Astfel, potrivit aceluiași articol din cadrul GDPR, în cazul în care o persoană se opune prelucrării în scopul marketingului direct, datele sale cu caracter personal nu trebuie să mai fie prelucrate în acest scop, “cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță”.

Pe lângă regulile generale din GDPR (care vizează orice prelucrare de date personale), în legislația noastră există și reguli speciale pentru comunicările comerciale telefonice, care sunt incluse în Legea nr. 506/2004. 

Practic, orice companie care vrea să transmită oferte prin telefon persoanelor fizice trebuie să obțină consimțământul acestora într-un fel în care să poată fi demonstrat în cazul unui control al autorităților. Evident, persoanele fizice pot alege în orice moment să-și retragă consimțământul.

Dacă comunicarea comercială telefonică, definită prin lege ca fiind orice formă de comunicare destinată să promoveze, direct sau indirect, compania, este făcută fără a avea consimțământul persoanelor fizice, companiile riscă să fie amendate de autorități cu sume consistente. În funcție de faptele sancționate, se pot da amenzi atât în baza legii de mai sus, cât și în baza GDPR. Ambele acte normative prevăd amenzi maxime care se raportează la cifra de afaceri a companiilor sancționate.

GDPR este un regulament european care se aplică direct în toate statele membre ale Uniunii Europene (UE), ale cărui prevederi trebuie respectate de către companiile care prelucrează date personale. În cadrul GDPR, amintește ANSPDCP, sunt reglementate drepturile persoanei vizate, care presupun: dreptul la informare, dreptul de acces, dreptul la rectificare, dreptul la ștergere („dreptul de a fi uitat”), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, dreptul de a depune o plângere la o autoritate de supraveghere. Companiile din cadrul UE trebuie însă să ia în calcul și prevederile din legislația autohtonă.