Nie wolno utrudniać wycofania zgody na przetwarzanie danych – 200 tys. zł kary za RODO

fundator — Sat, 09 Nov 2019 15:23:29 +0000

Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną (piątą już) karę pieniężną za RODO w Polsce.

Tym razem 201 tys. zł kary dostała spółka ClickQuickNow, która zdaniem UODO utrudniała realizację prawa do wycofania zgody na przetwarzanie danych.

O co chodzi?

Jak dobrze wiecie, zgoda jest jedną z podstaw przetwarzania danych osobowych i zgodnie z przepisami RODO powinna ona być dobrowolna, świadoma, konkretna i jednoznaczna.

Dalej przepisy RODO w sposób wyraźny akcentują możliwość wycofania udzielonej zgody na przetwarzanie swoich danych osobowych. Wymagania jakie stawia unijny ustawodawca to przede wszystkim obowiązek poinformowania – jeszcze przed wyrażeniem zgody – :

– o możliwości jej wycofania;
– o tym, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem,
oraz obowiązek zapewnienia przez administratora, aby wycofanie zgody było równie łatwe co jej wyrażenie.

W odniesieniu do punktu trzeciego możemy powiedzieć, że administrator planując pozyskanie zgody powinien już na etapie projektowania przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak zgodę tę będzie można odwołać. (przykład polityki privacy by design, o której pisaliśmy tutaj).

Generalnie kluczowe do zapamiętania jest tutaj to, że proces wycofania zgody na przetwarzanie danych ma być równie łatwy co proces jej wyrażenia. Tymczasem stosowany przez spółkę mechanizm polegał na użyciu linku zamieszczonego w treści informacji handlowej, który to link prowadził do komunikatów wprowadzających w błąd. Spółka wymuszała też podanie przyczyny wycofania zgody, co zdaniem UODO było zbędnym utrudnieniem. Z decyzji wynika też, że spółka ignorowała e-maile wyraźnie świadczące o wycofaniu zgód (zdaniem spółki te e-maile nie identyfikowały dobrze osób i nie dawały wyraźnej informacji o żądaniu).

UODO nałożył karę w wysokości 201 559,50 zł. Nakazał też zmodyfikować proces odwoływania zgody oraz usunąć dane osób, które nie są klientami firmy i jednocześnie zażądały zaprzestania przetwarzania danych osobowych.

Co ciekawe, UODO ustalając wysokość administracyjnej kary pieniężnej nie uwzględnił żadnej okoliczności łagodzącej i stanął na stanowisku, że działanie Spółki było umyślne.

Treść decyzji znajdą Państwo tutaj: (ZSPR.421.7.2019).

Artykuł Nie wolno utrudniać wycofania zgody na przetwarzanie danych – 200 tys. zł kary za RODO pochodzi z serwisu .

Obowiązek informacyjny wobec klientów pozyskanych przed wejściem w życie RODO

fundator — Thu, 12 Jul 2018 08:52:05 +0000

W ostatnim artykule poświęciliśmy trochę miejsca zgodzie na przetwarzanie danych osobowych. Wskazaliśmy, że istnieje szereg innych podstaw przetwarzania danych oraz, że w Polsce panuje mylne przeświadczenie nt. samej istoty zgody. Z tym tematem wiąże się jeszcze jedna, ciekawa kwestia, czyli obowiązek informacyjny. Pozostając w klimatach motoryzacyjnych posłużymy się kolejnym przykładem z naszej praktyki:

Otóż jeżeli stacje kontroli pojazdów wysyłały przed 25 maja 2018 r. powiadomienia sms-em o terminie następnego badania technicznego i nie mają na to zgody użytkownika pojazdu, to czy w świetle nowych przepisów nie mogą wysyłać takiego powiadomienia dopóki użytkownik nie wyrazi na nie zgody ???

W naszej ocenie może wysyłać takie powiadomienia.

Zgodnie ze stanowiskiem jakie zajęliśmy w poprzednim wpisie właściciel Stacji Diagnostycznej nie ma konieczności uzyskania zgody na wysyłanie powiadomień o terminie zbliżającego się badania technicznego z uwagi na działanie w swoim interesie (uzasadniony interes Administratora jako jedna z podstaw przetwarzania danych odnosząca się do marketingu bezpośredniego usług własnych). Brak konieczności (na gruncie RODO) uzyskania odrębnej zgody na przetwarzanie danych osobowych w zakresie marketingu – nie wyłącza natomiast obowiązku informacyjnego wobec klienta, którego dane są przetwarzane w celach marketingowych.

Odnosząc się do opisanego przykładu obowiązek informacyjny (Klauzula Informacyjna) zaktualizuje się dopiero wobec nowych klientów, pozyskanych po 25 maja.

Dlaczego?

Motyw 61 RODO wskazuje, że „informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych” – zapis ten przesądza o tym, iż obowiązek informacyjny powstaje wobec nowych klientów. Choć z zastrzeżeniem, że wobec dotychczasowych klientów należy poprzestać na wiadomości SMS z terminem badania, nie zaś z szerszym marketingiem, czy profilowaniem. Gdyby bowiem nastąpiła zmiana celu przetwarzania danych osobowych, to wówczas pojawiłby się nowy obowiązek informacyjny (art. 13 ust. 3 RODO).

Co więcej, w przypadku fizycznego braku posiadania wystarczających danych, wykonanie powyższego obowiązku wymagałoby niewspółmiernie dużego wysiłku co także przemawia za brakiem konieczności informowania dotychczasowych klientów.

Potwierdzenie tego stanu rzeczy ponownie znajduje się w motywach RODO – tym razem numer 61 i 62:

(61) Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności. Jeżeli dane osobowe można zgodnie z prawem ujawnić innemu odbiorcy, należy poinformować o tym osobę, której dane dotyczą, w momencie pierwszorazowego ujawnienia danych temu odbiorcy. Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny.
(62) Nałożenie obowiązku udzielenia informacji nie jest jednak konieczne, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami, jeżeli utrwalenie lub ujawnienie danych są wyraźnie przewidziane prawem, lub jeżeli poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym. Uwzględnić przy tym należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.

W końcu… każda osoba, która zostawiła przed 25 maja numer telefonu w Stacji Kontroli Pojazdów, u Fryzjera, czy Dentysty zrobiła to w konkretnym celu, którego była przecież świadoma. Osoba ta spodziewa się zatem, że przed terminem kolejnej wizyty dostanie SMS z informacją o terminie badania – wszystko jest zatem zgodne z RODO i żadnych nowych obowiązków tutaj nie ma.

Niezależnie jednak od rozporządzenia RODO w polskim porządku prawnym obowiązują również inne przepisy – np. ustawa prawo telekomunikacyjne, która już od dawna wymaga uzyskania zgody danego podmiotu na zautomatyzowane rozsyłanie informacji handlowych.

W przypadku profilowania w zakresie danych pozyskanych od osoby, od której dane pochodzą (reguluje go art. 13 ust. 2 f RODO) i danych pozyskanych z innych źródeł (reguluje go art. 14 ust. 2 g RODO) istnieje szerszy obowiązek informacyjny, tj. administrator musi dodatkowo podać osobie, której dane dotyczą: „informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą„. Trzeba zatem w klauzuli informacyjnej zawrzeć dodatkowe informacje o profilowaniu.

Art. 22 ust. 1 i 4 dotyczy przypadków, gdy wobec danej osoby podejmowane są automatyczne decyzje, a profilowanie nie jest niezbędne do wykonania umowy, nie ma swojej podstawy w przepisach prawa i nie jest dokonywane na podstawie zgody, oraz gdy decyzje podjęte w takim procesie opierają się na szczególnej kategorii danych (danych wrażliwych). W takiej sytuacji należy dodatkowo przekazać: – informacje o zasadach podejmowania takich decyzji (czyli w jaki sposób ta ocena następuje oraz przy pomocy jakich narzędzi będzie dochodzić do takiej oceny) – informacje o znaczeniu i przewidywanych konsekwencjach dla osoby, której dane te dotyczą (tu chodzi o wyjaśnienie, jakie skutki prawne może nieść za sobą taka decyzja lub w jaki sposób prawnie będzie ta decyzja na daną osobę wpływać – np. zwiększona składka ubezpieczeniowa, zmiana zakresu ubezpieczenia, odrzucenie lub odroczenie wniosku o zawarcie umowy.

Artykuł Obowiązek informacyjny wobec klientów pozyskanych przed wejściem w życie RODO pochodzi z serwisu .

zgoda na przetwarzanie danych osobowych

Nie wolno utrudniać wycofania zgody na przetwarzanie danych – 200 tys. zł kary za RODO

Obowiązek informacyjny wobec klientów pozyskanych przed wejściem w życie RODO