Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną (piątą już) karę pieniężną za RODO w Polsce.
Tym razem 201 tys. zł kary dostała spółka ClickQuickNow, która zdaniem UODO utrudniała realizację prawa do wycofania zgody na przetwarzanie danych.
O co chodzi?
Jak dobrze wiecie, zgoda jest jedną z podstaw przetwarzania danych osobowych i zgodnie z przepisami RODO powinna ona być dobrowolna, świadoma, konkretna i jednoznaczna.
Dalej przepisy RODO w sposób wyraźny akcentują możliwość wycofania udzielonej zgody na przetwarzanie swoich danych osobowych. Wymagania jakie stawia unijny ustawodawca to przede wszystkim obowiązek poinformowania – jeszcze przed wyrażeniem zgody – :
- – o możliwości jej wycofania;
- – o tym, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem,
- oraz obowiązek zapewnienia przez administratora, aby wycofanie zgody było równie łatwe co jej wyrażenie.
W odniesieniu do punktu trzeciego możemy powiedzieć, że administrator planując pozyskanie zgody powinien już na etapie projektowania przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak zgodę tę będzie można odwołać. (przykład polityki privacy by design, o której pisaliśmy tutaj).
Generalnie kluczowe do zapamiętania jest tutaj to, że proces wycofania zgody na przetwarzanie danych ma być równie łatwy co proces jej wyrażenia. Tymczasem stosowany przez spółkę mechanizm polegał na użyciu linku zamieszczonego w treści informacji handlowej, który to link prowadził do komunikatów wprowadzających w błąd. Spółka wymuszała też podanie przyczyny wycofania zgody, co zdaniem UODO było zbędnym utrudnieniem. Z decyzji wynika też, że spółka ignorowała e-maile wyraźnie świadczące o wycofaniu zgód (zdaniem spółki te e-maile nie identyfikowały dobrze osób i nie dawały wyraźnej informacji o żądaniu).
UODO nałożył karę w wysokości 201 559,50 zł. Nakazał też zmodyfikować proces odwoływania zgody oraz usunąć dane osób, które nie są klientami firmy i jednocześnie zażądały zaprzestania przetwarzania danych osobowych.
Co ciekawe, UODO ustalając wysokość administracyjnej kary pieniężnej nie uwzględnił żadnej okoliczności łagodzącej i stanął na stanowisku, że działanie Spółki było umyślne.
Treść decyzji znajdą Państwo tutaj: (ZSPR.421.7.2019).