Kara UODO za utrudnianie wycofania zgody na przetwarzanie danych
Prezes UODO wydał decyzję stwierdzającą naruszenie przez warszawską spółkę ClickQuickNow przepisów RODO dotyczących prawa do bycia zapomnianym oraz zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych. Wysokość kary wynosi 201 tys. złotych.
- Dorota Kraskowska
- /
- 5 grudnia 2019
Zakres kontroli dotyczył przetwarzanych przez przez ClickQuickNow danych osobowych (z wyłączeniem danych zatrudnionych tam pracowników). Na podstawie zgromadzonego materiału dowodowego UODO stwierdził, że spółka naruszyła następujące przepisy o ochronie danych osobowych:
art. 5 ust. 1 — zasadę zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych, a konkretnie chodziło o kierowanie do klientów, których dane dotyczą błędnych i sprzecznych ze sobą komunikatów, przez co nie mogli odwołać wcześniej udzielonych zgód na przetwarzanie danych. Firma wbrew przepisom wymuszała podanie przyczyny wycofania zgody, a jeśli klient tego nie zrobił, cały proces wycofania zgody ulegał przerwaniu.
art. 6 ust. 1 — firma przetwarzała bez podstawy prawnej dane osób, które nie były już jej klientami (mimo otrzymania od nich żądania zaprzestania przetwarzania ich danych osobowych).
art. 7 ust. 3 oraz art. 12 ust. 1 — zapewniający osobom, których dane dotyczą łatwe skorzystanie z uprawnienia w zakresie wycofania zgody na przetwarzanie danych osobowych. Zgodnie z przepisami wycofanie zgody powinno być tak samo łatwe, jak jej wyrażenie, a firma stosowała do wycofania zgody skomplikowane rozwiązania techniczne i organizacyjne.
art. 17 ust. 1 — prawo do bycia zapomnianym, czyli prawo osób do usunięcia swoich danych poprzez stosowanie procesu odwołania zgody. Spółka uniemożliwiła swoim klientom realizację prawa do niezwłocznego usunięcia swoich danych osobowych.
art. 24 ust. 1 — mówiący o konieczności zastosowania odpowiednich środków technicznych i organizacyjnych umożliwiających osobie, której dane dotyczą skuteczne skorzystanie z jej praw. W ocenie kontrolerów spółka nie wdrożyła takich środków.
UODO w decyzji wydanej 16 października 2019 roku nakazał firmie podjęcie w terminie 14 dni od otrzymania pisma następujących działań:
Zmianę procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych. W wyniku tej modyfikacji osoby, których dane dotyczą, mają mieć możliwość skutecznego skorzystania z prawa do bycia zapomnianym oraz z prawa do wycofania zgody na przetwarzanie swoich danych osobowych.
Usunięcie danych wszystkich osób niebędących już klientami, a którzy przesłali swoje żądania zaprzestania przetwarzania danych osobowych.
Prezes UODO nie zastosował wobec spółki żadnych okoliczności łagodzących i nałożył na nią karę pieniężną w wysokości 201 tys. zł. Praktyki stosowane przez spółkę (utrudnianie a wręcz uniemożliwianie wycofania zgód) uznano za działania umyślne.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?