Izvori podataka također su ključni za postizanje usklađenosti poslovanja s propisima o zaštiti osobnih podataka i privatnosti.
Dana 15. svibnja 2025. francusko nadzorno tijelo (CNIL) kaznilo je tvrtku CALOGA s 80.000 eura zbog komercijalnog istraživanja bez pristanka ispitanika i prijenosa njihovih podataka drugim partnerima bez valjane pravne osnove. Pri izračunu iznosa kazne CNIL je uzeo u obzir velik broj uključenih osoba, povijesni položaj tvrtke na tržištu, financijsku korist ostvarenu prekršajima i potpuni prestanak aktivnosti tvrtke 2024. godine.
CALOGA (voditelj obrade) je tvrtka koja provodi komercijalne marketinška istraživanja, a ujedno i prikuplja, analizira i prodaje podatke o pojedincima ili organizacijama (data broker). Jedna od usluga koju je nudio voditelj bila je provođenje e-mail marketinških kampanja u ime tvrtki. Za to je koristio podatke koje su data brokeri prikupili putem obrazaca za prijavu na natjecanja u igrama ili online testiranja proizvoda. Ti su obrasci bili obmanjujući jer su gumbi za prihvaćanje korištenja podataka ispitanika bili mnogo istaknutiji od onih za njihovo odbijanje (ovo je poznato i kao "dark patterns"). Voditelj se oslanjao na prethodnu privolu danu prvotnim data brokerima i nije dopustio ispitaniku da povuče privolu tako lako kao što ju je dao.
Francusko nadzorno tijelo (CNIL) je 2022. godine provelo istragu i to neposrednim nadzorom. U lipnju 2024. izvjestitelj CNIL-a obavijestio je voditelja obrade o njegovim kršenjima članaka 5(1)(e), 6(1)(a) i 32 GDPR-a. Voditelj obrade je odgovorio s dva argumenta - prvo, nije mogao predvidjeti zaključke CNIL-a, budući da u vrijeme inspekcije nije bilo konkretnih preporuka o izravnom marketingu. Voditelj je također tvrdio da nije imao nikakvu ulogu u dobivanju privole kada su podaci prvi put prikupljeni te da su ugovorne i provjerne mjere za prikupljene podatke bile dovoljne.
DPA je smatrao da je CALOGA djelovao kao zajednički voditelj u svrhu prijenosa podataka partnerima (ti su partneri smatrani zajedničkim voditeljima).
DPA je prvo odbacio argument voditelja obrade o predvidljivosti, navodeći da postoje pravila koja se primjenjuju na izravni marketing i privolu već nekoliko godina, a preporuke o privoli putem kolačića mogu poslužiti kao smjernice za opće prikupljanje privole. DPA je također smatrao da su ugovorne i provjerne mjere koje je poduzeo voditelj nedovoljne. Prema članku 7. GDPR-a, voditelj obrade mora dokazati da je ispitanik pristao na obradu podataka koji se na njega odnose. Ako voditelj obrađuje podatke bez izravnog prikupljanja podataka, također mora preispitati način na koji njegovi partneri prikupljaju privolu.
DPA je utvrdio da je oslanjanje voditelja obrade na prethodnu privolu nezakonito.
Privola može biti slobodno dana, specifična, informirana i nedvosmislena (članak 4(11) GDPR-a) samo ako ispitanik da izričitu privolu nakon što je dobio odgovarajuće informacije o tome za što će se podaci koristiti. To potvrđuje sudska praksa Suda EU-a, kao što je Planet49, u kojoj Sud EU navodi da se korisnikova izjava odnosno želja mora točno odnositi na obradu i ne može se zaključiti. Nadalje, svaki neprimjeren utjecaj koji sprječava ispitanika da ostvari svoju volju čini privolu nevažećom; to se odnosi na korištenje obmanjujućih obrazaca, te stoga voditelj obrade nije mogao pozvati na privolu kao pravnu osnovu (članak 6 (1) (a)), s obzirom na to da uvjeti za privolu nisu bili ispunjeni.
DPA je smatrao da je postupak povlačenja privole problematičan. Nacionalni zakon kojim se prenosi Direktiva o e-privatnosti (Code des postes et des communications électroniques, Poštanski i elektronički komunikacijski zakonik) omogućuje ispitaniku da povuče privolu za izravni marketing. Osim toga, članak 7(3) GDPR-a navodi da povlačenje privole mora biti jednako jednostavno kao i davanje privole. Slijedeći ovu logiku, ispitanik bi trebao moći povući privolu iz svih baza podataka i od oglašivača putem jedne poveznice, slično kao što je na to pristao. Međutim, odjava putem poveznice u e-pošti samo povlači privolu za određenog oglašivača ili bazu podataka. Naime, tvrtka je organizirala svoju obradu oko četiri baze podataka (ili „robnih marki“): CALOGA, ZEPLAN, BASYLO i VOZEKO.
Prema sustavu koji je implementirao CALOGA, ispitanici nisu mogli jednim klikom odjaviti pretplatu iz različitih CALOGA baza podataka u kojima su bili registrirani. Da bi to učinili, morali su poslati zahtjev e-poštom službeniku za zaštitu podataka. Stoga ispitanicima nije bilo tako lako povući svoju privolu kao što ju je bilo dati. Štoviše, CALOGA je jednu od svoje četiri baze podataka (ili „brendove“) nazvala „CALOGA“, što je bilo zbunjujuće jer je ispitanik, klikom na poveznicu za odjavu pod nazivom „ne primajte daljnje ponude od CALOGA oglašivača“, mogao legitimno pretpostaviti da je njegov ili njezin zahtjev za odjavu iz svih baza podataka tvrtke valjan.
Voditelj obrade nije poštovao načelo ograničenja pohrane (članak 5(1)(e) GDPR-a). Voditelj obrade primijenio je dvanaestomjesečno razdoblje čuvanja od posljednje radnje koju je poduzeo ispitanik. To je uključivalo i otvaranje izravnih reklamnih e-poruka. Nakon tog razdoblja, podaci su i dalje pohranjeni četiri godine u aktivnoj bazi podataka. DPA je to smatrao pretjeranim.
Na kraju, DPA nije utvrdio kršenje članka 32. GDPR-a, jer su bile na snazi dovoljne mjere sigurnosti podataka.
Ovaj slučaj ukazuje nam na problematiku razmjene podataka s trećim stranama/ partnerima, nezakonitost privola koje se nude ispitanicima, a sve to dovodi i do kažnjavanja. Stoga, revidirajte na vrijeme pravne osnove, provjerite svoje privole, provedite svrhovitost određenih internih rokova i pazite na transparentnost obavještavanja ispitanika.
Zapamtite, privola je samo jedan od pravnih osnova i ako ju imate neće vas "spasiti" od kažnjavanja ako je nezakonito ili je pravni osnov u stvarnosti bio drugačiji no vi ga niste znali odrediti.
