Jedna od vodećih telekomunikacionih kompanija na globalnom nivou, nije pridala dovoljno pažnje poštovanju GDPR odredbi, te joj je ponovno izrečena GDPR kazna.
Od kada je Opšta uredba o zaštiti podataka o ličnosti u Evropskoj uniji (General Data Protection Regulation, u daljem tekstu: GDPR) počela da se primenjuje, 25. maja 2018. godine, primetna su brojna kršenja odredaba od strane vodećih kompanija na svetu. Prva GDPR kazna izrečena je Google u Francuskoj, u iznosu od 50 miliona evra, a tokom prošle godine ustanovljena su kršenja GDPR-a, koja su povukla za sobom kao posledicu GDPR kazne i za Hennes & Mauritz (H&M), i ponovo za Google LLC i Google Irska, sa vrtoglavom kaznom u iznosu od 100 miliona evra.
Iako kazna za nepoštovanje GDPR-a, koju je Vodafonu 11. marta 2021. godine izrekla španska agencija za zaštitu podataka o ličnosti (AEPD), po visini, ne može da se meri sa rekordnim kaznama koje su navedene kompanije morale da plate, Vodafon itekako nije nameravao da postupa u skladu sa poštovanjem odredaba o zaštiti podataka o ličnosti.
Ono što je zajedničko za „velike igrače“ koji su morali da plate visoke GDPR kazne, jeste problematika zanemarivanja GDPR-a i nepravilno sprovođenje odredaba u praksi. Multinacionalne kompanije, koje su u isto vreme i poslodavci, ali i pružaoci usluga, podbacili su u obe uloge. Na taj način, u više navrata, neovlašćeno su prikupljani i podaci o ličnosti zaposlenih (eklatantan primer H&M), ali i o krajnjim korisnicima.
Koje nepravilnosti su uočene u delatnosti Vodafona u Španiji?
Agencija za zaštitu podataka o ličnosti u Španiji, objavila je 11. marta 2021. godine, konačan zaključak, da se Vodafon u Španiji, kažnjava GDPR kaznom u iznosu od 8.15 miliona evra, usled neovlašćenog prikupljanja i obrade podataka o ličnosti od krajnjih korisnika, zarad sprovođenja komercijalnih kampanja kompanije. Na koji način?
Sve je počelo još tokom prošle godine, kada je španska Agencija za zaštitu podataka o ličnosti pokrenula istragu protiv Vodafona u Španiji, na osnovu prijema 191 pritužbe krajnjih korisnika, povodom prijema poziva i poruka reklamnog sadržaja od strane mobilnog operatera. Protivpravnost u navedenim pozivima i porukama se sastojala u tome što korisnici nisu nikada dali ovlašćenje da im se reklamni materijal šalje, niti da budu deo marketinške kampanje mobilnog operatera.
Naime, utvrđeno je da je GDPR kazna koja je izrečena Vodafonu ekvivalentna i odgovarajuća nezakonitom postupanju – putem telefonskih poziva, slanja e-mail-ova i SMS poruka, sprovodili su marketinške i istražne tehnike i radnje, suprotno odredbama GDPR-a.
Britanskom operateru ovo nije prvi put da odluči da zaobiđe pravila GDPR-a. Kako se u odluci španskih nadležnih organa navodi, Vodafon je u periodu od januara 2018. godine, do februara 2020. godine u više navrata činio povrede prava ličnosti svojih korisnika. Takav zaključak je posledica postojanja čak 162 pritužbe na rad Vodafona, u kontekstu približno 200 miliona poziva i poruka koja su neovlašćeno upućena korisnicima, zarad sprovođenja marketinških kampanja Vodafona.
Na prvi pogled, postavlja se pitanje šta je tu bilo nezakonito, koje tačno odredbe GDPR-a su prekršili, te da im je usledila rekordna GDPR kazna. AEPD je odmeravala GDPR kazne u rasponu od „najniže“ od 150 hiljada evra, pa sve do 4 miliona evra, u zavisnosti od prava koja su povređena, te samim tim i odredaba GDPR-a. U nastavku teksta, biće izložene GDPR kazne, zajedno sa objašnjenjem, koji su to sve nezakoniti koraci preduzeti, zarad markentiškog cilja.
Ovakva odluka i nije toliko začuđujuća, imajući u vidu da je Vodafon već opšte poznat, kako po svojoj poziciji među vodećim telekomunikacionim kompanijama, tako i kao jedna od kompanija koja ne prestaje da krši odredbe GDPR-a. Specijalnost im je, kako je to u više navrata utvrdilo i špansko nadzorno telo, nezakonito prikupljanje i korišćenje podataka o ličnosti, u marketinške svrhe, na šta ukazuje i poseban deo obrazloženja ove odluke, o kršenju odredaba GDPR-a, tokom dve godine uzastopno.
Šta je nezakonito u postupanju Vodafona u Španiji, da je kazna za GDPR stupila na scenu?
Analizirajući zašto je bilo neophodno izreći GDPR kaznu Vodafonu i u 2021. godini, makar na teritoriji jedne od država članica u kojoj se GDPR primenjuje, su sledeći razlozi:
- iznos od 150 hiljada evra GDPR kazne, usled kršenja španskog zakona o uslugama društva za informisanje i elektronsku trgovinu[1], usled sprovođenja radnji u svrhu marketinga, gde je Vodafon koristeći nasumične brojeve i e-mail adrese korisnika, bez provere koje od navedenih lica su izabrala da im se ne šalje takva vrsta reklamnog materijala direktno, kao i bez provere Robinson liste (svi kontakti na toj listi ne smeju biti korišćeni u te svrhe)[2], koja je izuzetno važna, ipak slala reklamni materijal;
- iznos od 2 miliona evra GDPR kazne, zbog kršenja člana 44. GDPR-a, jer su dozvolili internacionalnu razmenu i korišćenje podataka o ličnosti, bez poštovanja svih procedura i mera koje GDPR propisuje;
- GDPR kazna u iznosu od 2 miliona evra zbog kršenja španskog zakona u oblasti telekomunikacija, u vezi sa članom 21. GDPR-a, i članom 23. Zakona o zaštiti podataka o ličnosti i garanciji digitalnih prava u Španiji, upravo iz razloga što je Vodafon, nastavio da obrađuje podatke o ličnosti korisnika, iako su se korisnici protivili takvom vidu obrade, i izričito izjasnili da ne žele da primaju nikakav reklamni materijal;
- najbolje za kraj – kazna u iznosu čak 4 miliona evra za kršenje člana 28. GDPR-a, jer procesori koje je rukovalac podacima o ličnosti – Vodafon u Španiji, koristio prilikom obrade podataka, nisu zadovoljili standarde postavljene GDPR-om, u pogledu odgovarajućih tehničkih i organizacionih mera, te nije postojalo ni prethodno pismeno obaveštenje, koje GDPR propisuje.
Kako poštovanje prava ličnosti treba da izgleda na teritoriji naše države?
Kako multinacionalne kompanije koje deluju na teritoriji Evropske unije moraju da poštuju GDPR, da ne bi usledile GDPR kazne, tako i sve kompanije koje obrađuju podatke o ličnosti lica na teritoriji Republike Srbije (bilo da imaju poslovno prisustvo u Srbiji ili bez njega), moraju da poštuju Zakon o zaštiti podataka o ličnosti (u daljem tekstu: ZZPL). ZZPL donet je po ugledu na GDPR, do te mere da u nekim delovima predstavlja i čisto prevođenje sa engleskog na srpski jezik. Međutim, to nikako ne umanjuje neophodnost poštovanja odredaba Zakona. Kompanije su svakako dužne, da usklade svoja poslovanja sa relevantnim zakonskim odredbama. Ukoliko niste sigurni da ste sve uradili u skladu sa slovom zakona, pročitajte naš blog posvećen toj temi – Tik-tak, sat otkucava… Da li ste se uskladili sa novim Zakonom o zaštiti podataka o ličnosti?
Sve kompanije treba da imaju na umu, ukoliko ne žele da postupaju u skladu sa pravilima, da uvek mogu da prođu kao „veliki igrači“, sa GDPR kaznama, koje u potpunosti mogu da anuliraju profit, i doprinesu negativnoj reputaciji. Sigurno da ne želite da vam se zbog jednog nesmotrenog poteza, izrekne kazna za kršenje ZZPL i povredu prava ličnosti, u iznosu do čak 2 miliona dinara po jednoj povredi.
U svakom slučaju, bolje je da vam kazne koje su izrečene za kršenje odredaba GDPR-a, služe kao nauk, te da na adekvatan i pravilan način postupate sa podacima o ličnosti, koji su, u vremenu ekspanzije interneta i on-line trgovine, poprilično izloženi, nego da plaćate kazne u našoj državi, po uzoru na GDPR kazne.
