W ostatnim czasie widać wzrost aktywności Prezesa Urzędu Ochrony Danych Osobowych. W efekcie pojawiła się także informacja o kolejnej karze nałożonej przez UODO.
Ukarana Spółka działa w branży reklamowej i prowadzi m.in. kampanie e-mailowe. Kara wynosząca w przybliżeniu 201 tys. zł dotyczy ustalonych pięciu naruszeń. Co istotne UODO nie znalazł żadnej okoliczności łagodzącej, a także uznał, że działanie Spółki było umyślne. Spółka przekazywała bowiem sprzeczne komunikaty, czym utrudniała realizację praw opartych na RODO. UODO zobowiązał także Spółkę, by w ciągu 14 dni dostosowała proces obsługi wniosków o wycofanie zgody na przetwarzania danych do wymogów RODO (GDPR).
Zdaniem UODO, Spółka naruszyła przepisy RODO poprzez:
a) Niezapewnienie osobom, których dane dotyczą łatwego skorzystania z ich uprawnienia w zakresie wycofania zgody na przetwarzanie ich danych osobowych (uznane za naruszenie art. 7 ust. 3 oraz art 12 ust. 1 RODO);
b) Naruszenie zasady przejrzystości i rzetelności w procesie odwołania zgody, poprzez kierowanie do osób, których dane dotyczą sprzecznych ze sobą komunikatów, co prowadzi do tego, że osoba odwołująca zgodę jest wprowadzana w błąd i nie może odwołać zgody (naruszenie art. 5 ust. 1 lit. a RODO);
c) Naruszenie prawa do bycia zapomnianym (usunięcia danych), poprzez stosowanie procesu odwołania zgody, który utrudnia skuteczne odwołanie zgody (naruszenie art. 17 ust. 1 lit. b RODO);
d) Przetwarzanie bez podstawy prawnej danych osób, które nie są klientami Spółki (naruszenie art. 6 ust. 1 RODO oraz art. 5 ust. 1 lit. a RODO);
e) Brak zastosowania odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (naruszenie art. 24 ust. 1 RODO).
UODO ustalił, że mechanizm wycofania zgody polegał w przypadku Spółki na użyciu linka zamieszczonego w treści informacji handlowej, który jednak odsyła do dwóch stron. Na pierwszej użytkownik jest pytany o przyczynę odwołania zgody. Na drugiej użytkownik jest informowany o sposobie odwołania zgody. Zdaniem UODO nie skutkuje to możliwością szybkiego wycofania zgody. Natomiast zdaniem Spółki taki obowiązek nie uchybia obowiązkom w zakresie łatwego wycofania zgody, ponieważ na drugiej stronie, po udzieleniu odpowiedzi na pytanie o przyczynę potencjalnej rezygnacji, wyświetla się komunikat o sposobie odwołania zgody. Jest nim wysłanie żądania na wskazany adres e-mail. Zdaniem Spółki nie była to zatem procedura bardziej skomplikowana niż proces pozyskania zgody. Nie zgodził się z tym Prezes UODO, którego zdaniem, komunikaty wprowadzały w błąd osoby zainteresowane wycofaniem zgody. Dodatkowo Spółka wymuszała podanie przyczyny odwołania zgody, czego prawo nie wymaga. Co bardzo istotne, brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody. Zdaniem UODO, było to tworzenie wymogu pozbawionego podstaw prawnych.
Z decyzji UODO płynie zatem wniosek, że w jego ocenie za złożenie oświadczenia o wycofaniu zgody powinno zostać uznane już samo kliknięcie w link odwołania zgody zawarty w wiadomości. UODO nie podzielił argumentów, że taki model mógłby spowodować nieświadome odwoływanie zgody przez przypadkowe kliknięcia, kliknięcia przez osobę nieuprawnioną lub przez tzw. „boty” – automatyczne oprogramowanie internetowe. W efekcie, zdaniem UODO, Spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych.
Prezes UDODO wskazał również, że Spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych. Na adres Spółki są przesyłane liczne wnioski o zaprzestanie przesyłania reklam, w tym osób, które żądają zaprzestania przetwarzania ich danych przez inne podmioty niż spółka. Osoby te posiadają konta poczty elektronicznej we wskazanych serwisach, ale nie są klientami spółki. Ich dane były jednak w bazie spółki. Spółka twierdziła, że prowadziła z nimi korespondencję. Nie przekonało to jednak UODO, który ustalił, że na otrzymane maile nie odpisywała. W efekcie UODO uznał, że Spółka przetwarzała dane bez podstawy prawnej, a zatem naruszyła zasadę legalności.
Jest to kolejny przykład jak uważnego i kompleksowego podejścia wymaga wdrożenie RODO w przedsiębiorstwie. Jeśli potrzebujesz pomocy w tej kwestii zapraszam do mojej Kancelarii Radcy Prawnego zlokalizowanej w Częstochowie. Mamy za sobą już wiele wdrożeń, audytów i szkoleń, które miały miejsce na terenie całej Polski.