Urząd Ochrony Danych Osobowych opublikował już piątą decyzję nakładającą karę finansową za naruszenie RODO. Jest to jednak pierwsza kara za lekceważenie prawa do wycofania zgody na przetwarzanie danych oraz prawa do bycia zapomnianym. Spółka ClickQuickNow działająca w branży reklamowej, przeprowadzająca m.in. kampanie e-mailowe ma zapłacić 201 559,50 złotych (ok. 47 tys. euro) w sumie za pięć uchybień. Ustalając wysokość kary pieniężnej UODO nie uwzględnił żadnej okoliczności łagodzącej. Uznał też, że działanie spółki było umyślne, gdyż przekazując sprzeczne ze sobą komunikaty, utrudniała realizację praw wynikających z RODO. Ponadto UODO zobowiązał spółkę do dostosowanie procesu obsługi wniosków o wycofanie zgody na przetwarzanie danych do RODO w ciągu 14 dni od dnia doręczenia decyzji. 

 


    Nie można wymuszać informacji o przyczynie wycofania zgody

    Postępowanie UODO wykazało, że mechanizm wycofania zgody polegał na użyciu linku zamieszczonego w treści informacji handlowej, który jednak odsyła do dwóch stron. Do pierwszej, na której użytkownik jest pytany o przyczynę odwołania zgody oraz do drugiej strony, na której informowany jest o sposobie jej odwołania nie skutkował szybkim wycofaniem zgody. Zdaniem spółki taki obowiązek nie uchybia obowiązkom w zakresie łatwego odwołania zgody, ponieważ na drugiej stronie, po udzieleniu odpowiedzi na pytanie o przyczynę potencjalnej rezygnacji, wyświetla się komunikat o sposobie odwołania zgody. Jest nim wysłanie żądanie na wskazany adres e-mail.  Zdaniem spółki nie jest to procedura bardziej skomplikowana niż proces pozyskania zgody. Inaczej uznał prezes UODO. Jego  zdaniem komunikaty wprowadzały w błąd osoby zainteresowane wycofaniem zgody. Ponadto spółka wymuszała podanie przyczyn rezygnacji, a prawo tego nie wymaga. Co więcej, brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody. 

    - Spółka w pierwszej kolejności, bez żadnej podstawy prawnej, wymaga by osoba, która składa oświadczenie o odwołaniu zgody wskazała powód swojego żądania. Istotne znaczenie ma fakt, że nieudzielenie odpowiedzi na to pytanie nie pozwala na kontynuację procesu odwołania zgody, co skutkuje tym, że zgoda nie jest odwołana - czytamy w decyzji.

    Jeden klik do wycofania zgody

    Z decyzji  można wnioskować, że w ocenie UODO  za złożenie oświadczenia woli o odwołaniu zgody powinno zostać uznane kliknięcie w link „odwołanie zgody" zawarty w wiadomości marketingowej. UODO nie przekonały argumenty, że zastosowanie takiego modelu mogłoby spowodować nieświadome składanie oświadczeń przez przypadkowe kliknięcie oraz przez osobę nieuprawnioną lub przez tzw. „boty” - zautomatyzowane oprogramowanie internetowe. Zdaniem UODO spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym). W ocenie Marcina Kosteckiego, prezesa ClickQuickNow, UODO niesłusznie zakwestionował praktykę firmy polegającą na umożliwieniu odwołania zgody na przetwarzanie danych osobowych przez dedykowany do tego e-mail firmy, w sytuacji, gdy zgoda na przetwarzanie danych została pozyskana przez firmę za pomocą formularza na stronie internetowej.

    - To kolejny sygnał ze strony UODO, że nie ma zgody na to, by firmy i instytucje, które przetwarzają nasze dane, lekceważyły nasze prawa - ocenia Karolina Iwańska z Fundacji Panoptykon. Zdaniem Karola Wątrobińskiego, radcy prawnego, partnera w kancelarii WN Legal Wątrobiński Nartowski decyzja potwierdza, że nie warto stosować zabiegów, które utrudniałyby cofnięcie zgody przez osoby, których dane dotyczą. - Jeśli zgoda była wyrażona przez zaznaczenie checkboxa, to powinna być możliwość jej odwołania w podobny sposób - tłumaczy mec. Wątrobiński.

    UODO powinien zacząć karać gigantów internetowych

    Karolina Iwańska zauważa jednak, że ważniejsze jest, by UODO przyjrzał się internetowym gigantom, które na dużo większą skalę naruszają prawa użytkowników.  - Posługują się zawiłymi politykami prywatności, profilują użytkowników i dopasowują reklamy na podstawie niezbędności do świadczenia umowy, uniemożliwiają realizację prawa sprzeciwu wobec profilowania czy utrudniają dostępu do wywnioskowanych na nasz temat danych - tłumaczy Karolina Iwańska.

    Nałożone do tej pory kary w Polsce wyniosły blisko 3 mln zł dla moerele.net za brak zabezpieczeń, co spowodowało wyciek danych, 1 mln zł dla Bisnode za niewysłanie informacji do ponad 30 tys. osób prowadzących działalność gospodarczą o tym, że przetwarza jej dane, 56 tys. złotych dla związku sportowego  za ujawnienie numerów PESEL 585 sędziów oraz 40 tys. zł dla burmistrza Aleksandrowa Kujawskiego za nie zawarcie umowy powierzenia przetwarzania danych osobowych

    Brak podstawy prawnej do przetwarzania danych

    W omawianej decyzji prezes UODO wskazał również, że spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych. Otóż na adres spółki są przesyłane liczne wnioski o zaprzestanie przesyłania reklam, w tym osób, które żądają zaprzestania przetwarzania ich danych przez inne podmioty niż spółka. Osoby te posiadają konta poczty elektronicznej we wskazanych serwisach, ale nie są klientami spółki.  Ich dane były jednak w bazie spółki. Spółka broniła się, że prowadziła z nimi korespondencję. Nie przekonała jednak UODO, który ustalił, że na maile  nie odpisywała. Zdaniem UODO spółka przetwarzała dane bez podstawy prawnej, a zatem naruszyła zasadę legalności. Z taką interpretacją nie zgadza się Marcin Kostecki. – Już podczas kontroli UODO firma wyjaśniała, że na jej ogólnodostępny adres pocztowy trafiają wiadomości e-mail, które są puste - nie zawierają żadnej treści, od adresów e-mail, których firma nie posiada we własnej bazie. Takie wiadomości były sukcesywnie i regularnie przez firmę usuwane. UODO uznał zaś, że skoro firma od razu nie odpowiada na takie puste e-maile, to powinna je rzekomo natychmiast usunąć - tłumaczy Marcin Kostecki. Co na argumentację UODO prawnicy?

    - O ile podstawowe usunięcie danych, np. e-maili  nie powinno być kłopotliwe, to już usuwanie danych z kopii zapasowych w praktyce jest trudne - zauważa Karol Wątrobiński. - Tymczasem przedsiębiorcy muszą pamiętać, że już samo przechowywanie danych jest ich przetwarzaniem. Z tego powodu realizacja nowego prawa do bycia zapomnianym może być pewnym problemem dla przedsiębiorców - zauważa mec. Wątrobiński.

    W sumie UODO ukarał spółkę grzywną w wysokości 201 tys. zł za pięć naruszeń. Z opublikowanej decyzji wykreślono jednak liczbę osób, których dane spółka przetwarzała, co nie pozwala określić skali naruszenia i odnieść do niego wysokości kary. W 2018 roku spółka wykazała w sprawozdaniu finansowym przychody netto ze sprzedaży w wysokości 1 051 903 zł. To oznacza, że kara wynosi aż 20 proc. jej obrotu.

    Marcin Kostecki nie zgadza się z ustaleniami stanowiącymi podstawę wydania decyzji i zamierza złożyć skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

     


    Pięć zarzutów UODO

    W decyzji z 16 października prezes UODO wskazał, że spółka naruszyła RODO przez:

    1. Niezapewnieniu osobom, których dane dotyczą łatwego skorzystania z ich uprawnienia w zakresie wycofania zgody na przetwarzanie ich danych osobowych (naruszenie art. 7 ust. 3 oraz art. 12 ust. 1 RODO).
    2. Naruszeniu zasad przejrzystości i rzetelności w procesie odwołania zgody, poprzez kierowanie do osób, których dane dotyczą sprzecznych ze sobą komunikatów, co skutkuje tym, że osoba odwołująca zgodę wprowadzana jest w błąd i nie może odwołać zgody (naruszenie art. 5 ust. 1 lit. a RODO).
    3. Naruszeniu prawa do usunięcia danych (prawo do bycia zapomnianym), poprzez stosowanie procesu odwołania zgody, który utrudnia skuteczne odwołanie zgody (naruszenie art. 17 ust. 1 lit. b RODO)
    4. Przetwarzaniu bez podstawy prawnej danych osób, które nie są klientami Spółki (naruszenie art. 6 ust. 1 rozporządzenia 2016/679 oraz naruszenie zasady zgodności przetwarzania z prawem, o której mowa w art. 5 ust. 1 lit. a RODO).
    5. Niezastosowaniu odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (naruszenie art. 24 ust 1 RODO).