Stan faktyczny
W lutym 2019 r. Urząd Ochrony Danych Osobowych przeprowadził kontrolę, mającą na celu weryfikację zgodności przetwarzania danych w ClickQuick Sp. z o.o. (dalej jako „Spółka”) z obowiązującymi przepisami o ochronie danych osobowych. Z informacji zawartych w KRS wynika, że przedmiotem prowadzonej przez Spółkę działalności gospodarczej jest przetwarzanie danych, zarządzanie stronami internetowymi (hosting) i podobna działalność; działalność agencji reklamowych; działalność centrów telefonicznych; pozostałe doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania oraz działalność portali internetowych.
Zakresem kontroli objęte zostało przetwarzanie przez Spółkę danych osobowych, z wyłączeniem danych dotyczących osób zatrudnionych (obszar HR). W toku kontroli stwierdzono brak adekwatnych środków technicznych oraz organizacyjnych, które pozwoliłyby na skuteczną realizację prawa do wycofania zgody na przetwarzanie danych osobowych oraz usunięcia danych.
W ocenie Urzędu, Spółka świadomie utrudniała realizację wyżej wymienionych praw poprzez wprowadzanie skomplikowanego procesu wycofywania zgody, zawierającego sprzeczne ze sobą komunikaty. Mechanizm ten obligował osobę, której dane dotyczą, do wskazania przyczyny woli wycofania zgody, w praktyce uzależniając od tego jej odwołanie (w przypadku braku odpowiedzi proces odwoływania zgody „urywał się”). Ponadto, nawet w przypadku wskazania przyczyny chęci wycofania zgody, konieczne było dodatkowo wysłanie wiadomości e-mail na stworzony w tym celu adres poczty elektronicznej, mimo że z komunikacji kierowanej do osób, których dane dotyczą mogło wynikać, że doszło do realizacji prawa. Urząd uznał takie działanie za sprzeczne z wymogami przewidzianymi przez RODO.
Podstawy nałożenia kary przez Prezesa UODO
- Uniemożliwianie lub znaczące utrudnianie możliwości wycofania zgody na przetwarzanie danych osobowych i realizacji prawa do bycia zapomnianym. Skutkiem działań Spółki jest złamanie zasady zgodności z prawem, przejrzystości i rzetelności (art. 5 ust. 1 lit. a, art. 6 ust. 1, art. 7 ust. 3, art. 12 ust. 1, art. 17 ust. 1 lit. b RODO).
- Brak podstawy prawnej przetwarzania danych osób niebędących klientami Spółki, a tym samym złamanie zasady legalizmu (art. 5 ust. 1 lit. a oraz art. 6 ust. 1 RODO).
Główne uchybienia wskazane przez Prezesa Urzędu Ochrony Danych Osobowych:
- wprowadzanie w błąd osób chcących odwołać udzieloną zgodę poprzez wysyłkę sprzecznych ze sobą komunikatów oraz świadome utrudnianie procesu realizacji praw wynikających z RODO;
- praktyczne uzależnianie odwołania zgody od podania przyczyny jej odwołania;
- uniemożliwianie realizacji praw osoby, której dane dotyczą, poprzez niewprowadzenie adekwatnych środków technicznych i organizacyjnych zapewniających skuteczną realizację praw wynikających z RODO;
- ignorowanie żądań osób niebędących klientami, dotyczących sprzeciwu wobec przetwarzania ich danych (niepodjęcie żadnych działań, np. w celu przekierowania żądań) i jednocześnie przetwarzanie danych takich osób bez podstawy prawnej.
Podsumowanie decyzji Prezesa Urzędu Ochrony Danych Osobowych
- Mamy do czynienia z pierwszą w Polsce karą finansową nałożoną na podmiot zajmujący się działaniami marketingowymi. Jej wysokość to 201 tys. złotych.
- Zastosowanie przez Prezesa UODO kary administracyjnej ma charakter prewencyjny
i ma na celu zniechęcić innych administratorów danych do podobnych działań. - Kara finansowa nie zwalnia podmiotów z odpowiedzialności za dalsze niezgodne z prawem przetwarzanie danych osobowych w firmie. Spółka otrzymała bowiem 14 dni na realizację praw osób, których dane przetwarza oraz dostosowanie wniosków o wycofanie zgody do przepisów RODO.
- Omawiana decyzja ma na celu zwrócenie uwagi administratorów danych na istotność realizacji praw osób, których dane przetwarzają w ramach prowadzonych przez siebie działalności.
Praktyczny wymiar decyzji
Trzonem działalności wszystkich przedsiębiorców jest przetwarzanie danych osobowych
w mniejszym lub większym zakresie. Wymagania, które stawiają przepisy dotyczące ochrony danych osobowych nie ograniczają się jedynie do fizycznego zabezpieczania tych danych oraz posiadania dokumentacji wewnętrznej i procedur. Decyzja Prezesa UODO jasno wskazuje, że równie ważna jest faktyczna kontrola nad danymi oraz realizacja praw przysługujących osobom, których dane są przetwarzane w ramach firmy. Zastosowanie kary finansowej może wpłynąć na świadomość przedsiębiorców i zachęcić ich do weryfikacji prawidłowości przetwarzań dokonywanych w ramach prowadzonych działalności.
Zapraszamy do zapoznania się z pozostałymi artykułami na temat kar nałożonych przez Prezesa UODO:
Czwarta kara Prezesa UODO nałożona
Gigantyczna kara nałożona przez Prezesa UODO na sklep internetowy
Prezes UODO nałożył kare finansową na związek sportowy za ujawnienie danych sędziów
Pierwsza kara za naruszenie przepisów RODO
