GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Rumuński organ nadzorczy nałożył karę za sposób zebrania zgody

Pierwsza kara w Rumunii

Jeden z administratorów danych z Rumunii zastosował dość ciekawe rozwiązanie. Przy zbieraniu zgody, postanowił pozostawić nieznaczone pole wyboru, co naturalnie jest zgodne z wytycznymi wszystkich organów i Europejskiej Rady Ochrony Danych. Zamiast tego, w treści klauzuli zgody napisał, że pozostawienie niezaznaczonego pola oznacza wyrażenie zgody.

Niestety czego mogliśmy się spodziewać, rumuński organ zwietrzył podstęp i nie zaakceptował takiej praktyki.

Poniżej znajduje się tłumaczenie informacji w sprawie kary, która w języku angielskim jest dostępna tutaj.

26 września 2019 r., Krajowy Organ Nadzorczy zakończył postępowanie w sprawie INTELIGO MEDIA S.A., ustalając co następuje:

Naruszenie przepisów art. 5 ust. 1 lit. a) oraz b), Art. 6 ust. 1 lit. a) oraz art. 7 RODO doprowadziło do nałożenia kary administracyjnej w wysokości 9000 Euro.

Kara została nałożona w związku z otrzymanym powiadomieniem wskazującym, że w przypadku utworzenia nowego konta na stronie internetowej avocatnet.ro – należącej do administratora Inteligo Media SA wyświetla się niezaznaczone pole wraz z tekstem o następującej treści:

„Nie chcę otrzymywać „osobistej aktualizacji”, codziennej, darmowej informacji przesyłanej mailem przez avocatnet.ro».

Zgodnie z tymi warunkami, ustanowionymi przez administratora, jeżeli użytkownik nie zaznaczy tego pola, to jest automatycznie zapisywany, a jej lub jego email jest automatycznie wprowadzany do bazy subskrybentów tych informacji.

Tak więc zapisanie odbywa się przy braku wyrażenia woli ze strony użytkowników, co w jasny sposób oznacza zgodę na przetwarzanie dla celu określonego przez administratora.

W trakcie postępowania, administrator nie był w stanie wykazać, że otrzymał wyraźną zgodę (słowo to dotyczy zapewne tego, że osoby nie podejmowały żadnych czynności potwierdzających, więc zgoda nie była wyraźna. Nie chodzi tutaj o „wyraźną zgodę” w rozumieniu art. 9 RODO – przyp. tłumacz), na warunkach o których mowa w art. 7 RODO, w odniesieniu do 4357 użytkowników, których dane osobowe przetwarzał.

Dodatkowo w odniesieniu do przekazywania codziennych informacji przez email, administrator przetwarzał dane w oparciu o podstawę, która nie jest odpowiednia w odniesieniu do celu, a mianowicie „wykonanie umowy”.

W tym kontekście, chcielibyśmy podkreślić, że zgodnie z art. 7 RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Jednocześnie motyw 32 tego samego rozporządzenia stanowi, że:

„Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.”