GDPR Case 092. Aggressive telemarketing practices: Vodafone fined over €12 million by Italian DPA

日期：19 November 2020

國家：義大利

關鍵字：問責原則；資料保護設計原則；同意原則；適當安全措施

GDPR：§5(2) (accountability)、§6(1)(a) (consent as a legal basis for the processing of data)、§24 (1) (implement appropriate technical and organisational measures)、§25 (data protection by design and by default)

裁決：行政罰鍰（€12 million）、命令（遵循資料主體行使權利之要求、適當處理資料）

摘要：

(1) 義大利監管機關對控管者沃達豐——Vodafone——課處行政罰鍰（€12 million），因為該公司將違法取得的數百萬筆個人資料，用來進行電話行銷。

(2) 監管機關調查過程中，發現一項結構性的關鍵問題，其不僅與控管者違反用戶同意處理個人資料有關，也違反 GDPR 規定的問責原則、資料保護設計原則（data protection by design），這些違法行為，涉及潛在客戶的個人資料處理活動。

(3) 更具體地說，控管者使用虛假的電話號碼，或者是使用未公開登記的公司電話號碼撥打行銷電話，如此的操作方式，猶如控管者在公開的組織之外，另外設立一個處在陰影中，未經授權的服務中心，控管者利用該服務中心執行電話行銷業務，並且完全無於 GDPR 所設的相關規定。

(4) 此外，控管者向外部人購買潛在客戶名單的行為，也違反 GDPR 的規定。這些名單是控管者的業戶合作夥伴從其他公司獲得，並且在未經資料主體事前同意的情況下，即移轉予控管者沃達豐公司，供該公司進行電話行銷之用。

(5) 監管機關還發現控管者的客戶管理系統（Customer Resource Management, CRM）未採取適當的安全維護措施，因為有多起投訴指出，接到自稱為控管者代理商透過 WhatsApp 發送的訊息，要求投訴者提供個人 ID，這些訊息很可能是出於垃圾郵件、網路釣魚或其他詐欺活動有關的目的。

(6) 考慮上述違法行為，監管機關決定課處控管者 €12 million 之行政罰鍰。

(7) 同時，監管機關命令控管者應採取適當之系統，用以證明其電話行銷行為均已事前取得資料主體的同意，控管者還必須提供證據，證明其係透過公開登記電話號碼撥打電話行銷電話，才能開啟後續的合約安排。此外，控管者還必須採取更有效的安全維護措施，以防止個人資料外洩，並且應該全面回覆資料主體的權利請求。

(8) 最後，監管機關進一步禁止控管者繼續使用未經資料主體同意而取得的個人資料。