Nasza strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować stronę do twoich potrzeb.
Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.   Dowiedz się więcej
Nie pokazuj tej informacji

"Non in legendo, sed in intelligendo leges consistunt"

Blog

Ponad 201 tys. zł kary za naruszenie RODO


Spółka ClickQuickNow prowadzi działalność gospodarczą w przedmiocie pozyskiwania danych internautów na cele marketingowe. Zgodnie z ustaleniami Prezesa UODO 98 % przetwarzanych danych osobowych pochodziło z konkursów, następnie dane z formularzy były przekazywane na rzecz innych podmiotów.

Z ustaleń dokonanych w postępowaniu Prezesa UODO wynika, że procedura wycofania zgody na przetwarzanie danych osobowych w spółce przedstawia się następująco:

1) klikając w link „odwołanie zgody” użytkownik przekierowywany jest na stronę internetową, gdzie otrzymuje pytanie o powód rezygnacji wraz ze wskazaniem odpowiedzi : „A: otrzymuję reklamy, które mnie nie interesują”, „B: otrzymuję reklamy za często”,

2) po udzieleniu odpowiedzi na pytanie użytkownik zostaje przekierowany na stronę, na której otrzymuje odpowiedź : „Pani odwołanie zgody dziś […]! Pod tym komunikatem znajduje się zapis: „Dziękuję za odpowiedź! W takiej sytuacji informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem […], w tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Z mojej strony to wszystko. […] […],

3) zatem ostatnim krokiem, by zrealizować prawo do wycofania zgody jest wysłanie maila na odpowiedni adres wraz z żądaniem wycofania zgody na przetwarzanie.

Zdaniem spółki powyższa procedura nie jest bardziej skomplikowana, niż procedura uzyskania zgody na przetwarzanie danych osobowych. Natomiast zdaniem Prezesa UODO brak odpowiedzi na pytanie o powód rezygnacji uniemożliwia osobie, której dane dotyczą skuteczne odwołanie zgody. Ponadto, z ustaleń organu wynika, że komunikat jaki otrzymuje użytkownik po udzieleniu odpowiedzi: „Pani odwołanie zgody dziś […] !” wprowadza w błąd, ponieważ użytkownicy są przekonani, że już dokonali wycofania zgody, a w rzeczywistości to nie nastąpiło. Dodatkowo, w związku z komunikatem o potrzebie wysłania maila spółka otrzymuje wiele wiadomości niezawierających treści żądania, na które w żaden sposób nie reaguje, tłumacząc się, że „Spółka nie może realizować żądań osoby niezidentyfikowanej, a ponadto nie wiadomo o co adresat e-maila wnosi.” Zdaniem PUODO „puste” maile „zawierają takie informacje jak: adres e-mail nadawcy, datę i godzinę oraz wskazanie adresata”, co powoduje, że „określenie adresata w taki sposób wskazuje świadome działania nadawcy takiego e-maila, tzn., że odwołuje on zgodę.”

W decyzji Prezes UODO wskazał, że uchybienia polegają na:

1. Niezapewnieniu osobom, których dane dotyczą łatwego skorzystania z ich uprawnienia w zakresie wycofania zgody na przetwarzanie ich danych osobowych (naruszenie art. 7 ust. 3 oraz art. 12 ust. 1 rozporządzenia 2016/679).

2. Naruszeniu zasad przejrzystości i rzetelności w procesie odwołania zgody, poprzez kierowanie do osób, których dane dotyczą sprzecznych ze sobą komunikatów, co skutkuje tym, że osoba odwołująca zgodę wprowadzana jest w błąd i nie może odwołać zgody (naruszenie art. 5 ust. 1 lit. a rozporządzenia 2016/679).

3. Naruszeniu prawa do usunięcia danych (prawo do bycia zapomnianym), poprzez stosowanie procesu odwołania zgody, który utrudnia skuteczne odwołanie zgody – naruszenie art. 17 ust. 1 lit. b rozporządzenia 2016/679.

4. Przetwarzaniu bez podstawy prawnej danych osób, które nie są klientami Spółki (naruszenie art. 6 ust. 1 rozporządzenia 2016/679 oraz naruszenie zasady zgodności przetwarzania z prawem, o której mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679).

5. Niezastosowaniu odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (naruszenie art. 24 ust 1 rozporządzenia 2016/679).

 

Spółka nie zgadza się w wielu miejscach z argumentacją Prezesa UODO i zamierza złożyć skargę na decyzję do sądu administracyjnego.

Treść decyzji można znaleźć tutaj: https://uodo.gov.pl/decyzje/ZSPR.421.7.2019

 

Mikołaj Milecki

 

Tagi: kara za naruszenie RODO, decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 16 października 2019 r. ZSPR.421.7.2019, prawo do wycofania zgody na przetwarzanie danych osobowych,