Prezes UODO nakłada karę za utrudnianie realizacji praw osób, których dane dotyczą


Prezes Urzędu Ochrony Danych Osobowych (dalej jako: „Prezes UODO”) stwierdził naruszenie przepisów art. 5 ust 1 lit. a, art. 6 ust. 1, art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b oraz art. 24 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L z 2016 r. Nr 119, s. 1 ze zm.; dalej jako: RODO) i nałożył na ClickQuickNow Sp. z o.o. (dalej jako: „Spółkę”) karę pieniężną w kwocie 201 559,50 zł.

Kontrola przeprowadzona przez Prezesa UODO

W lutym 2019 r. Prezes UODO dokonał czynności kontrolnych w ClickQuickNow Sp. z o.o. Zakresem kontroli objęto przetwarzanie przez Spółkę danych osobowych, z wyłączeniem danych dotyczących osób zatrudnionych. Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:

1. niezapewnieniu osobom, których dane dotyczą łatwego skorzystania z ich uprawnienia w zakresie wycofania zgody na przetwarzanie ich danych osobowych (naruszenie art. 7 ust. 3 oraz art. 12 ust. 1 RODO);

2. naruszeniu zasad przejrzystości i rzetelności w procesie odwołania zgody, poprzez kierowanie do osób, których dane dotyczą sprzecznych ze sobą komunikatów, co skutkowało tym, że osoba odwołująca zgodę wprowadzana była w błąd i nie mogła odwołać zgody (naruszenie art. 5 ust. 1 lit. a RODO);

3. naruszeniu prawa do usunięcia danych (prawo do bycia zapomnianym), poprzez stosowanie procesu odwołania zgody, który utrudniał skuteczne odwołanie zgody (naruszenie art. 17 ust. 1 lit. b RODO);

4. przetwarzaniu bez podstawy prawnej danych osób, które nie są klientami Spółki (naruszenie art. 6 ust. 1 RODO, naruszenie zasady zgodności przetwarzania z prawem, zgodnie z art. 5 ust. 1 lit. a RODO);

5. niezastosowaniu odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (naruszenie art. 24 ust 1 RODO).

W związku z powyższym, Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień, w celu wyjaśnienia okoliczności sprawy.

Z uzasadnienia Prezesa UODO

Spółka od 2012 r. posiada własną bazę danych. Wszystkie dane osobowe do bazy Spółki pozyskane zostały drogą elektroniczną za pomocą formularzy rejestracyjnych. Do wszystkich konkursów stosowany był taki sam wzór formularza. W trakcie wypełniania formularza rejestracyjnego użytkownik wyrażał następujące zgody: zgodę na przetwarzanie danych osobowych w celach marketingowych podmiotów trzecich również w przyszłości, zgodę na udostępnianie danych kontrahentom Spółki w celach marketingowych, zgodę na przekazywanie informacji handlowych drogą elektroniczną przez Spółkę (w tym na zlecenie podmiotów trzecich) oraz przez kontrahentów Spółki, zgodę na przekazywanie informacji marketingowych drogą telefoniczną i elektroniczną przez Spółkę (w tym na zlecenie podmiotów trzecich) oraz przez kontrahentów Spółki. Z ustaleń dokonanych w toku kontroli wynika, że Spółka obecnie wykorzystuje pozyskane dane osobowe uczestników konkursów w celu realizacji zamówień na prowadzenie marketingu na rzecz innych podmiotów.

Do zawieranych umów zleceń na prowadzenie danej kampanii marketingowej Spółka dołącza dokument o nazwie „Oświadczenie dotyczące przetwarzania danych osobowych aktualne od maja 2018 roku”. Za pośrednictwem linku umieszczonego w wysyłanych wiadomościach e-mail lub SMS, a także w rozmowach telefonicznych za pośrednictwem wskazanego w rozmowie adresu e-mail osoby, do których kierowana będzie kampania marketingowa, będą mogły (zdaniem Spółki) w łatwy i prosty sposób odwołać udzielone zgody.

Spółka jednak nie stosuje się do zasad, które sama opracowała. Użycie linku zamieszczonego w treści informacji handlowych wbrew zapewnieniom Spółki, nie skutkuje szybkim odwołaniem zgody na przetwarzanie danych osobowych. Komunikaty przesyłane na skutek uruchomienia tego linku wprowadzają w błąd osobę, która wnosi o odwołanie zgody, co skutkuje tym, iż odwołanie zgody nie jest skuteczne.

Spółka w pierwszej kolejności (bez żadnej podstawy prawnej) wymaga by osoba, która składa oświadczenie o odwołaniu zgody wskazała powód swojego żądania. Dodatkowo nieudzielenie odpowiedzi na to pytanie nie pozwala na kontynuację procesu odwołania zgody, co skutkuje tym, że zgoda nie jest odwołana. Ponadto, po przekazaniu osobie komunikatu następującej treści „Pani odwołanie zgody dziś […] !”, Spółka informuje daną osobę o sposobie odwołania zgody.

W ocenie Spółki, skuteczne złożenie oświadczenia woli odnośnie odwołania zgody na przetwarzanie danych może nastąpić jedynie wówczas, jeżeli osoba po zapoznaniu się z treścią ww. komunikatu, skieruje jeszcze raz swoje żądanie i dokładnie w nim określi czego od Spółki się domaga.

Po zapoznaniu się z treścią tak brzmiącego komunikatu większość podmiotów danych stwierdza, że oświadczenie o odwołaniu zgody zostało przyjęte przez Spółkę w dacie wskazanej w komunikacie i w związku z tym dalszych czynności w tym zakresie już nie podejmuje. Zdaniem Prezesa UODO stosowany przez Spółkę sposób postępowania w procesie odwołania zgody nie spełnia kryteriów prostego i szybkiego odwołania zgody. Tym samym bezsporne jest, że Spółka narusza przepis art. 7 ust. 3 RODO.

Zatem w ocenie Prezesa UODO Spółka w procesie odwołania zgody narusza zasady przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit. a RODO, gdyż do osób odwołujących zgodę Spółka kieruje sprzeczne ze sobą komunikaty, co skutkuje tym, że osoba odwołująca zgodę, jest przekonana, że zgodę swoją skutecznie odwołała. Do odwołania zgody jednak nie dochodzi, Spółka po wysłaniu komunikatu, kieruje do tej samej osoby komunikat, w którym informuje o sposobie skutecznego odwołania zgody. Stosowany przez Spółkę proces obsługi wniosków dotyczących odwołania zgody na przetwarzanie danych uniemożliwia osobie, której dane dotyczą skuteczne skorzystanie z przysługującego jej prawa, o którym mowa w art. 17 ust. 1 lit. b RODO.

Spółka tym samym nie opracowała i nie wdrożyła takich środków technicznych i organizacyjnych, które powodowałyby, że osoba, której dane dotyczą otrzymuje w formie łatwo dostępnej, zwięzłej, przejrzystej i zrozumiałej informacje na temat możliwości skutecznego odwołania drogą elektroniczną zgody na przetwarzanie danych osobowych. Skutkuje to tym, że osoba, której dane dotyczą nie może skutecznie skorzystać ze swojego prawa do wycofania w dowolnym momencie udzielonej zgody oraz prawa do bycia zapomnianym.

Spółka jako administrator ma obowiązek zastosować odpowiednie rozwiązania organizacyjne i techniczne, tak by proces przetwarzania danych, w tym proces odwołania zgody, był prowadzony w sposób prosty i przejrzysty. Z ustaleń kontroli wynika, że Spółka żadnej korespondencji z tymi osobami nie prowadzi, w szczególności Spółka nie wysyła żadnej korespondencji zwrotnej do takich osób. Nie jest zatem zgodne ze stanem faktycznym twierdzenie Spółki, że dane tych osób Spółka przetwarza w celu obsługi korespondencji. Na tej podstawie Prezes UODO, uznał, że Spółka – po ustaleniu, że żadnych informacji o danej osobie Spółka dotychczas nie posiadała – powinna pozyskane dane usunąć z uwagi na brak podstaw prawnych do dalszego ich przetwarzania (przechowywania). W powyższym zakresie narusza art. 6 ust. 1 RODO, a tym samym narusza zasadę legalności, która na gruncie RODO, nazwana jest zasadą zgodności przetwarzania z prawem (art. 5 ust. 1 lit. a RODO).

Nakładając karę pieniężną Prezes UODO wziął pod uwagę następujące okoliczności:

  1. stosowany przez Spółkę proces odwołania zgody skutkuje naruszeniem art. 7 ust. 3, art. 12 ust. 2 oraz art. 17 ust. 1 lit. b RODO, poprzez niezapewnienie osobom, których dane dotyczą łatwego skorzystania z ich prawa do wycofania zgody na przetwarzanie ich danych oraz prawa do usunięcia danych (prawa do bycia zapomnianym);
  2. Spółka w procesie odwołania zgody nie zastosowała odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (art. 24 ust 1 RODO). Wskazać należy, że od wszystkich osób, których dane osobowe przetwarzane są w bazie Spółki, zgoda na przetwarzanie danych pozyskiwana była zawsze w formie elektronicznej, poprzez użycie przycisku „checkboxu”, zamieszczonego w formularzu rejestracyjnym. Proces odwołania zgody powinien również przebiegać w sposób łatwy, nie skomplikowany, a co najważniejsze za pomocą tego samego kanału komunikacyjnego, tj. za pomocą Internetu (np. poprzez zamieszczenie na stronie internetowej formularza odwołania zgody lub zakładki przeznaczonej do jej odwołania). Spółka jako administrator ponosi odpowiedzialność za to, że w procesie odwołania zgody stosowane jest nieskutecznie działające narzędzie. W efekcie osoby, które używają tego przycisku w celu odwołania zgody, nie mogą skutecznie zrealizować swojego prawa. 


Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO stanął na stanowisku, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem zarzucanych Spółce naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze należy uznać, zdaniem Prezesa UODO, naruszenie przez Spółkę prawa do usunięcia danych (prawo do bycia zapomnianym), o którym mowa w art. 17 ust. 1 lit. b RODO oraz naruszenie zasad przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit. a RODO. Przemawia za tym poważny charakter tych naruszeń oraz krąg osób nim dotkniętych.

KOMENTARZ

Nałożona kara ma na celu doprowadzić do stanu, w którym Spółka zastosuje takie środki techniczne i organizacyjne, które zapewnią osobom, których dane dotyczą skuteczne skorzystanie z ich prawa do odwołania zgody oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym). Poza nałożoną karą Prezes UODO zobowiązał Spółkę do dostosowania przetwarzania danych osobowych do RODO poprzez:

1. zmodyfikowanie procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych, w taki sposób, by osoby, których dane dotyczą mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia zapomnianym;

2. usunięcie danych osobowych osób, które nie są klientami Spółki, a od których Spółka, otrzymała żądanie zaprzestania przetwarzania danych osobowych.

Decyzja z 16.10.2019 r., ZSPR.421.7.2019

Autorka: Katarzyna Morawska
2019-11-15

Więcej aktualności n.ius® – w Systemie Legalis.
Umów się na spotkanie i przetestuj bezpłatnie →

 
KUP TERAZ

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij
Oferta nie jest dostępna dla osób fizycznych.

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.

Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał zakładowy: 88 000 zł

Zasady przetwarzania danych osobowych