RODO
Pierwsza kara PUODO dla podmiotu z branży reklamowej

PUODO nałożył karę w wysokości 201.559,50 zł na ClickQuickNow Sp. z o.o. za naruszenie RODO. Jest to pierwsza kara pieniężna nałożona na spółkę działającą w branży marketingowej. Co ciekawe PUODO nie dostrzegł żadnej okoliczności łagodzącej, która mogłaby mieć wpływ na wynik kary, a co za tym idzie uznał działania Spółki za umyślne.

Decyzją z dnia 16 października 2019 roku (nr ZSPR.421.7.2019) Prezes Urzędu Ochrony Danych Osobowych stwierdził następujące naruszenia RODO:

  • uniemożliwianie lub znaczące utrudnianie możliwości wycofania zgody na przetwarzanie danych osobowych i realizacji prawa do bycia zapomnianym. Skutkiem działań Spółki jest złamanie zasady zgodności z prawem, przejrzystości i rzetelności,
  • brak podstawy prawnej przetwarzania danych osób niebędących klientami Spółki, a tym samym złamanie zasady legalizmu.

PUODO nie tylko wymierzył karę finansową na Spółkę, ale także nakazał Spółce dostosowanie przetwarzania danych osobowych do przepisów RODO poprzez:

  • zmodyfikowanie procesu obsługi wniosków o wycofanie zgody na przetwarzanie danych oraz,
  • usunięcie danych osób, niebędących klientami Spółki, a od których Spółka otrzymała żądanie zaprzestania przetwarzania danych osobowych. 

Na dostosowanie Spółce wyznaczono krótki termin - 14 dni od dnia doręczenia decyzji.

Ukarana Spółka stosowała mechanizm utrudniający wycofanie zgody na przetwarzanie danych osobowych:

  • w procesie odwoływania zgody wprowadzono konieczność podania przyczyny odwołania zgody, a brak podania przyczyny przerywał proces odwołania zgody,
  • wskazanie przyczyn odwołania zgody również nie kończyło się skutecznym odwołaniem zgody, ponieważ Spółka kontynuowała proces wysyłając osobie zainteresowanej sprzeczne ze sobą komunikaty, co ostatecznie skutkowało brakiem odwołania zgody.

Powyższe działanie zostało zakwalifikowane jako umyślne utrudnianie, a wręcz uniemożliwianie, realizacji praw osób, których dane dotyczą. PUODO zajął jednoznaczne stanowisko – odwołanie zgody musi być tak samo łatwe jak jej wyrażenie, a już samo uzależnianie skutecznego cofnięcia zgody od podawania przyczyn, jest niezgodne z prawem. Spółka nie wdrożyła zatem odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby w sposób łatwy realizację prawa do bycia zapomnianym. Organ stwierdził także w decyzji, że Spółka nie stosowała się do zasad, które sama opracowała. Organ nie wskazał, ilu osób dotyczy w/w naruszenie.

Ponadto PUODO uznał, że Spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych.
W tym zakresie uzasadnienie decyzji pozostawia niedosyt, albowiem można odnieść wrażanie, że organ stoi na stanowisku, że Spółka powinna mieć non-stop kontrolę nad każdym mailem wpływającym do jej skrzynki odbiorczej (usuwanie maili nie wydaje się może jeszcze przesadnym obowiązkiem, natomiast usuwanie maili z kopii zapasowych może się okazać bardzo kłopotliwe). PUODO wskazał, że w/w naruszenie dotyczy osób, które omyłkowo skierowały do Spółki oświadczenia o wycofaniu zgody na przetwarzania danych (pomimo, że nie były klientami Spółki i nie wyraziły wcześniej Spółce zgody na przewarzanie danych) i wpłynęło ono w niewielkim zakresie na decyzję o nałożeniu kary.

Spółka nie zgadza się z ustaleniami PUODO i zapowiada skargę do WSA w Warszawie.

O innych karach nałożonych przez PUODO w ostatnim czasie dowiesz się z artykułów:

https://www.urowska.com.pl/pierwsza-kara-puodo-dla-organu-publicznego

https://www.urowska.com.pl/kontrowersyjna-kara-za-brak-skutecznych-zabezpieczen-co-wynika-z-decyzji-uodo-w-sprawie-morele-net

Autor: Katarzyna Brudnicka-Bielecka