GDPR Case 052. MARKETING: THE ITALIAN SA FINES TIM €27.8 MILLION

日期：1 February 2020

國家：義大利

關鍵字：電話行銷；App；當事人同意

GDPR：§5(2) (accountability)

裁決：行政罰鍰（€27,802,496）、命令（適當處理資料）

摘要：

(1) 義大利監管機關以違法行銷為由，對控管者 Tim SpA 處以 €27,802,496 歐元的行政罰鍰。

(2) 監管機關收到對控管者 Tim SpA 數百起的投訴案件，爭議類型，包括：

• 當事人收到未經同意的行銷電話；
• 當事人雖然已經選擇退出（opt-out）——即曾經同意行銷，但後來表示拒絕，但仍然收到行銷電話；以及
• 當事人已經明示拒絕接受行銷電話，卻仍然收到行銷電話。

(3) 監管機關調查後，認為控管者對於處理個人資料的基本要求——當責性（accountability），並不熟悉。

(4) 監管機關認定，控管者委任的電話行銷中心在未經當事人同意的情況下，與當事人進行聯繫——在某案例中，當事人在一個月內就接到了155通行銷電話；有大約二十萬件案例——雖然不在 TIM 的電話行銷名單內，當事人卻還是收到行銷電話。

(5) 監管機關還發現控管者其他違法行為，例如：

• 未能監督電話行銷中心的內部管理以及更新黑名單——例如當事人已經明確表達不想收到行銷電話——等行為；
• 當事人必須明確表示同意，才能加入 Tim Party 的獎勵折扣計畫——而非強制加入。

App

(6) 至於使用 App 的部分，控管者並未提供清楚、明確的個人資料處理資訊，而且，關於取得當事人同意的的設計，不夠充分，例如在少數案例中，［竟然］還要求當事人就其同意——包括行銷行為——提供書面文件。

(7) 資料侵害管理系統也被認定為沒有效果，因為在系統設計階段，就沒有將個人資料保護予以納入考量。例如：

• 控管者的黑名單與電話行銷中心不同；
• 其他電話運營商的客戶——控管者基於網路提供者的身分取得——的資料儲存期間已經超過法定期間，但是在未經當事人同意的情況下，仍然用於電話行銷。

改正措施

(8) 未經當事人自主、明確的同意，控管者不得再將透過 MyTim、TimPersonal 以及 TimSmArtKid 等應用程式所收集的客戶個人資料用於提供相關服務以外的目的。

(9) 控管者有義務檢查黑名單的一致性，並且即時取得電話行銷中心所提供、彙整的名單，以更新控管者自己的黑名單。

(10) 控管者必須重新考慮 TimParty 計畫，使客戶不需要同意接受行銷，就可以獲得折扣或有獎競賽。

(11) 控管者必須重新檢查 App 所有程序，以清楚、易懂的語言，執行 App 的各項處理行為以及處理機制，並且獲得有效的當事人同意。

(12) 為了因應當事人主體權，控管者必須導入技術上及組織上的措施，以確保處理個人資料的品質、真實以及即時更新。