Kara UODO za utrudnianie wycofania zgody na przetwarzanie danych

Prezes UODO wydał decyzję stwierdzającą naruszenie przez warszawską spółkę ClickQuickNow przepisów RODO dotyczących prawa do bycia zapomnianym oraz zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych. Wysokość kary wynosi 201 tys. złotych.

Kara UODO za utrudnianie wycofania zgody na przetwarzanie danych

Dorota Kraskowska

5 grudnia 2019

Zakres kontroli dotyczył przetwarzanych przez przez ClickQuickNow danych osobowych (z wyłączeniem danych zatrudnionych tam pracowników). Na podstawie zgromadzonego materiału dowodowego UODO stwierdził, że spółka naruszyła następujące przepisy o ochronie danych osobowych:

  • art. 5 ust. 1 — zasadę zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych, a konkretnie chodziło o kierowanie do klientów, których dane dotyczą błędnych i sprzecznych ze sobą komunikatów, przez co nie mogli odwołać wcześniej udzielonych zgód na przetwarzanie danych. Firma wbrew przepisom wymuszała podanie przyczyny wycofania zgody, a jeśli klient tego nie zrobił, cały proces wycofania zgody ulegał przerwaniu.

  • art. 6 ust. 1 — firma przetwarzała bez podstawy prawnej dane osób, które nie były już jej klientami (mimo otrzymania od nich żądania zaprzestania przetwarzania ich danych osobowych).

  • art. 7 ust. 3 oraz art. 12 ust. 1 — zapewniający osobom, których dane dotyczą łatwe skorzystanie z uprawnienia w zakresie wycofania zgody na przetwarzanie danych osobowych. Zgodnie z przepisami wycofanie zgody powinno być tak samo łatwe, jak jej wyrażenie, a firma stosowała do wycofania zgody skomplikowane rozwiązania techniczne i organizacyjne.

  • art. 17 ust. 1 — prawo do bycia zapomnianym, czyli prawo osób do usunięcia swoich danych poprzez stosowanie procesu odwołania zgody. Spółka uniemożliwiła swoim klientom realizację prawa do niezwłocznego usunięcia swoich danych osobowych. 

  • art. 24 ust. 1 — mówiący o konieczności zastosowania odpowiednich środków technicznych i organizacyjnych umożliwiających osobie, której dane dotyczą skuteczne skorzystanie z jej praw. W ocenie kontrolerów spółka nie wdrożyła takich środków.

UODO w decyzji wydanej 16 października 2019 roku nakazał firmie podjęcie w terminie 14 dni od otrzymania pisma następujących działań:

  1. Zmianę procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych. W wyniku tej modyfikacji osoby, których dane dotyczą, mają mieć możliwość skutecznego skorzystania z prawa do bycia zapomnianym oraz z prawa do wycofania zgody na przetwarzanie swoich danych osobowych.

  2. Usunięcie danych wszystkich osób niebędących już klientami, a którzy przesłali swoje żądania zaprzestania przetwarzania danych osobowych.

Prezes UODO nie zastosował wobec spółki żadnych okoliczności łagodzących i nałożył na nią karę pieniężną w wysokości 201 tys. zł. Praktyki stosowane przez spółkę (utrudnianie a wręcz uniemożliwianie wycofania zgód) uznano za działania umyślne.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!