GDPR Case 050. THE ITALIAN SUPERVISORY AUTHORITY FINES ENI GAS E LUCE €11.5 MILLION - On account of unsolicited telemarketing and contracts

日期：17 January 2020

國家：義大利

關鍵字：間接蒐集；電話行銷；訪問交易；當事人同意；合法、公平、透明度；資料真實

GDPR：§5(1)(a) (lawfulness, fairness and transparency)、§5(1)(d) (accuracy of data)、§7 (conditions for consent)

裁決：行政罰鍰（€8.5 million＋€3 million）、命令（適當處理資料）

摘要：

(1) 義大利監管機構對控管者 Eni Gas and Luce (Egl) 課處兩項行政罰鍰，總額 1,150 萬歐元，分別涉及在行銷活動和訪問交易（unsolicited contract）中，非法處理個人資料的行為。

　　備註：所謂訪問交易（unsolicited contract），指未經消費者邀請而進行拜訪所締結之契約，相當於我國《消費者保護法》§2(11) 規定之：「訪問交易：指企業經營者未經邀約而與消費者在其住居所、工作場所、公共場所或其他場所所訂立之契約。」

第一筆罰鍰（八百五十萬歐元）

(2) 第一筆罰鍰與控管者在電話行銷、電話銷售的過程中，違法處理個人資料有關；經過調查，監管機關指出控管者有「系統性」的違規行為，並且情節相當嚴重。

(3) 這些違規行為，包括：

• 未經當事人同意的電話行銷；
• 當事人已表示拒絕但仍然收到行銷電話；
• 當事人選擇退出行銷名單時，欠缺啟動驗證程序的機制，而仍然進行電話行銷；
• 缺乏技術上和組織上相對應的措施，以遵循當事人的指示辦理；
• 逾期儲存個人資料；以及
• 間接蒐集所得潛在客戶之個人資料——從名單供應商取得，未取得當事人同意即予以揭露。

(4) 義大利監管機關認定控管者上述行為違反GDPR，並命令控管者採取下列改正行為：

• 應設置相關驗證程序及系統，以便在銷售活動開始前，可確認已取得聯繫名單內當事人之同意；
• 控管者必須確保從資料庫到黑名單——即拒絕接收廣告之人——之間的資料流（data flows）完全自動化。
• 禁止控管者使用名單供應商提供的個人資料進行行銷，如果供應商沒有特別取得將該等資料交付予控管者之當事人同意。

第二筆罰鍰（三百萬歐元）

(5) 第二筆罰鍰涉及在自由市場下，控管者違法締結電力供應合約的行為。

(6) 監管機關收到多起投訴，表示他們在收到前供應商的契約終止通知書，或是控管者（Egl）第一筆收費帳單時，才發現已經與控管者締結新的電力供應契約；而在某些案例中，投訴人甚至主張供應契約內的個人資料是錯誤的，或者簽名是被偽造的，大約有7,200位消費者因為上述嚴重的違法行為而受到影響。

(7) 監管機關認為，控管者透過代表該公司的特定外部單位取得潛在客戶名單的行為，在組織及管理方面的相關處理行為，違反 GDPR 規定的公平性、真實性以及即時性（up-to-dateness）等原則，因而處以相對應的行政罰鍰。