Telemarketing: Das „Nein“ des Nutzers muss sofort registriert werden
Sagt der Nutzer zu dem unerwünschten Werbeanruf „Nein“, muss das Callcenter bzw. das Unternehmen, das ihn kontaktiert hat, seinen Wunsch unverzüglich zur Kenntnis nehmen und den Namen aus den für das Telemarketing genutzten Listen löschen. Der im Telefonat geäußerte Widerspruch muss nicht, wie es bei den Betreibern häufig der Fall ist, per E-Mail oder auf andere Weise bestätigt werden und gilt auch für zukünftige Werbeaktionen.
Dieser Grundsatz wurde vom Datenschutzbeauftragten bestätigt , der am Ende einer komplexen Voruntersuchung verschiedene rechtswidrige Verhaltensweisen von Edison Energia spa gegenüber einer erheblichen Anzahl von Nutzern aufdeckte. Die Behörde ordnete daher an, dass das Unternehmen eine Reihe von Maßnahmen ergreifen müsse, um den Anforderungen nachzukommen, und verurteilte es zur Zahlung einer Geldstrafe in Höhe von 4 Millionen und 900.000 Euro.
Innerhalb der gesetzten Frist machte das Unternehmen von seinem Recht Gebrauch, den Streit beizulegen, und zahlte einen Betrag in Höhe der Hälfte der verhängten Geldbuße.
Die schwerwiegenden Unregelmäßigkeiten traten bei den von der Behörde im Anschluss an verschiedene Berichte durchgeführten Untersuchungen zutage und hoben Folgendes hervor: Entgegennahme von Telefonanrufen ohne Einwilligung; Versäumnis, auf Anfragen zu reagieren, unerwünschte Telefonanrufe nicht mehr zu erhalten; die Unmöglichkeit, innerhalb der Website oder App eine freie und spezifische Einwilligung für verschiedene Zwecke (Werbung, Profilierung, Weitergabe von Daten an Dritte) auszudrücken, das Vorhandensein mangelhafter oder unrichtiger Informationen.
Der Bürge forderte Edison daher auf, die Ausübung der in der Gesetzgebung zum Schutz personenbezogener Daten vorgesehenen Rechte zu erleichtern und unverzüglich Rückmeldung zu Anträgen zu geben, auch zu solchen, die sich auf das Recht auf Widerspruch beziehen.
Ein Recht, das – so die Behörde – „jederzeit“ (auch während des Werbetelefonats) ausgeübt werden kann und bei dem der Wille des Nutzers korrekt erfasst werden muss.
Der Garantiegeber hat dem Unternehmen außerdem jede weitere Verarbeitung zu Werbezwecken unter Verwendung von Kontaktlisten anderer Unternehmen untersagt, die keine kostenlose, spezifische, informierte und dokumentierte Einwilligung zur Übermittlung von Benutzerdaten eingeholt haben. Möchte das Unternehmen in Zukunft von Dritten bereitgestellte Telefonnummern für Werbemaßnahmen nutzen, muss es laufend, auch durch angemessene Stichprobenkontrollen, überprüfen, ob die Datenverarbeitung unter Einhaltung der Datenschutzgesetze erfolgt.
Schließlich wurde dem Unternehmen untersagt, die ohne freiwillige und ausdrückliche Einwilligung erhobenen Daten zu Marketing- und Profilierungszwecken zu verarbeiten, und es wurde verpflichtet, den Nutzern korrekte Informationen zur Verfügung zu stellen, in denen nur die tatsächlich durchgeführten Verarbeitungstätigkeiten angegeben werden.
Gesundheitswesen: Für grenzüberschreitende Verschreibungen sind größere Garantien erforderlich.
Die Hinweise des Datenschutzgaranten an das Gesundheitsministerium
Für grenzüberschreitende Verschreibungen sind größere Garantien erforderlich, und der Garant für den Schutz personenbezogener Daten ist bereit, dem Gesundheitsministerium seine Zusammenarbeit für ein datenschutzsicheres grenzüberschreitendes Assistenzsystem anzubieten.
Dies ist der Inhalt der Stellungnahme, die die Behörde dem Gesundheitsministerium zu einem Dekretentwurf vorgelegt hat, der die Modalitäten des Zugangs zu Rezepten für auf italienischem Hoheitsgebiet ausgestellte Arzneimittel für Patienten festlegt, die beabsichtigen, diese in einem anderen Mitgliedstaat der Europäischen Union zu verwenden.
Der Garant betonte zunächst, dass Gesundheitsdaten aufgrund ihrer besonderen Natur einen verstärkten Schutz erfordern und den spezifischen Rechtsvorschriften zum Datenschutz unter Wahrung ihrer Grundsätze entsprechen müssen. Er gab dem Ministerium daher genaue Hinweise zur Lösung der verschiedenen derzeit im Text enthaltenen kritischen Probleme. Insbesondere müssen die Beziehungen zwischen den verschiedenen am Prozess der Erstellung und Verwendung der grenzüberschreitenden Verschreibung beteiligten Stellen (verschreibende Ärzte, Gesundheitsministerium, Ministerium für Wirtschaft und Finanzen usw.) neu formuliert und besser geklärt werden das Eigentum an den Behandlungsdaten. In der Vorlage müssen die Informationen, die der interessierten Partei zur Verfügung gestellt werden sollen, besser spezifiziert und die korrekte Rechtsgrundlage und der Grund des relevanten öffentlichen Interesses angegeben werden, die die Verarbeitung der Daten ermöglichen. Außerdem müssen die Vorgänge, die durchgeführt werden können, und die dafür vorgesehenen angemessenen Schutzmaßnahmen angegeben werden Grundrechte der Betroffenen.
Das Ministerium muss auch die Methoden, mit denen das Gesundheitskartensystem Daten für elektronische Patientenakten und Arzneimitteldossiers zur Verfügung stellt, den Angaben des Bürgen entsprechen, die ebenfalls in einer früheren Stellungnahme (22. August 2022, Nr. 294) abgegeben wurden der nationalen Infrastruktur. Abschließend muss angegeben werden, wer zu welchen Zwecken darauf zugreifen kann. Um die Qualität und Sicherheit der Informationen zu gewährleisten, müssen zudem geeignete Maßnahmen ergriffen werden, wie zum Beispiel eine präventive Folgenabschätzung.
Cloud in der PA: Die EU-Behörden fordern Respekt für die Privatsphäre
Der Europäische Datenschutzausschuss (EDPB) hat einen Bericht über die Ergebnisse seiner ersten koordinierten Durchsetzungsmaßnahme im Zusammenhang mit der Nutzung von Cloud-Diensten durch den öffentlichen Sektor angenommen.
Der Bericht ist das Ergebnis der Tätigkeit von 22 Datenschutzbehörden des Europäischen Wirtschaftsraums, die im Rahmen des Coordinated Enforcement Framework (CEF) koordinierte Untersuchungen zur Nutzung der Cloud in öffentlichen Verwaltungen eingeleitet und dabei rund hundert Unternehmen befragt haben , aktiv in wichtigen Sektoren wie Gesundheitswesen, Steuern und Bildung, aber auch Einkaufszentren und IKT-Lieferanten.
In dem Bericht betonte der EDSA die Notwendigkeit, dass öffentliche Stellen in voller Übereinstimmung mit der DSGVO handeln, und gab den öffentlichen Verwaltungen eine Reihe von Empfehlungen, beginnend mit der Neuverhandlung von Cloud-Verträgen unter Einbeziehung des Datenschutzbeauftragten. Der Europäische Ausschuss fordert die Datenschutzbehörden außerdem auf, die Konformität von Cloud-Lösungen durch die Veröffentlichung unverbindlicher Stellungnahmen (oder Empfehlungen) zu den Pflichten der Datenverantwortlichen und zur Bedeutung der Durchführung einer Folgenabschätzung zu fördern.
An der Untersuchung beteiligte sich auch der Datenschutzgarant. Aus dem italienischen Kontext ergibt sich ein allgemeiner „Mangel an Bewusstsein“ für Übermittlungen in Drittländer und für Anträge auf Zugang zu im Europäischen Wirtschaftsraum gespeicherten Daten durch Behörden von Drittländern sowie für die weitere Verarbeitung von Daten durch Lieferanten von Cloud-Diensten per Telemetrie (zur Überwachung der Funktionsfähigkeit der Infrastruktur). Ein weiterer heikler Aspekt betrifft die Prüfung: Einige Unternehmen haben sich darüber beschwert, dass Cloud-Anbieter die Durchführung von Überprüfungs- und Inspektionsaktivitäten nicht zulassen und es schwierig sei, sich auf bestimmte Klauseln zu einigen.
„Der Bericht – kommentierte Andrea Jelinek, Präsidentin des EDSA – stellt einen nützlichen Maßstab dar und ich bin zuversichtlich, dass er zu einem wichtigen Bezugspunkt für Verwaltungen werden wird, die nach Cloud-Diensten suchen, die mit der europäischen Verordnung konform sind . “
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9857857