Společnost Enel Energia nelegálně získala seznamy potencionálních zákazníků obsahujících osobní údaje jako adresy, telefonní čísla, obce bydliště a informace o dosavadním dodavateli energie. Společnost tyto údaje použila k telemarketingu.
Enel Energia tato data získala od čtyř dalších společností, které samy prováděly nelegální telemarketingové kampaně. Společností Enel ani jejími zprostředkovateli sice nebyly formálně zmocněni ke zpracování těchto osobních údajů, nicméně fakticky jednaly v zájmu Enel a přinášely jí ekonomický zisk.
Policie odhalila rozsáhlé zneužití dat
Vyšetřování finanční policie Guardia di Finanza odhalilo síť nekalých praktik fungujících od roku 2015 do roku 2022.
Čtyři společnosti realizovaly nelegální telemarketingové kampaně zaměřené na propagaci služeb v oblasti elektřiny a plynu. Jejich postup byl nastaven tak, aby spotřebitelé, jejichž osobní údaje byly k marketingu protiprávně použity, uzavírali nové smlouvy na dodávky energií nevědomky, s nedostatkem informací či pod tlakem. Právě v tomto protiprávním schématu byl zapleten Enel Energia, významný italský distributor energií.
Detailnější zkoumání odhalilo, že Enel Energia získala od těchto společností téměř tisíc nových odběratelů. Čtyřem externím společnostem se i bez přímého smluvního vztahu se společností Enel Energia podařilo získat přístup k jejímu systému správy vztahů se zákazníky (CRM). Tímto způsobem mohly volně doplňovat protiprávně získané obchodní nabídky a smlouvy do interního systému Enel Energia, přestože nebyly součástí jejího oficiálního prodejního řetězce a do jejího systému s klientskými daty neměly mít přístup.
Nechráněné CRM je bezpečnostní problém
Závažným problémem, na který italský dozorový úřad rovněž upozornil, byla absence bezpečnostních opatření v CRM systému společnosti Enel Energia. Snadnost, s jakou externí subjekty získaly přístup k systému a k datům zákazníků (a mohli do něj zadávat nové zákazníky), vyvolala u italského úřadu vážné obavy ohledně celkového nastavení ochrany osobních údajů u tohoto správce.
Italský úřad konstatoval, že Enel Energia porušila články GDPR týkající se posuzování rizik, bezpečnostních opatření, odpovědnosti a smluvních povinností ohledně zpracování osobních údajů. Nedostatečná kontrola společnosti nad vlastními systémy pro zpracování osobních dat a nedostatečná dodržování právních povinností ze strany prodejních agentur vedla k neoprávněnému přístupu a zpracování osobních údajů se závažnými negativními důsledky pro dotčené osoby.
V důsledku toho italský úřad uložil společnosti Enel Energia historicky nejvyšší pokutu ve výši 79.107.101 EUR. Úřad tak stanovil precedens pro přísné vymáhání obecného nařízení o ochraně údajů v Itálii. Tato kauza zdůrazňuje nutnost důsledného a systematického zavádění bezpečnostních opatření, a technické i organizační ochrany klientských aplikací, a to i v komplexních distributorských vztazích.
