Kontrola RODO nie omija branży reklamowej

ClickQuickNow jest firmą działającą w branży reklamowej oferującą zaawansowane rozwiązania marketingowe dotarcia z reklamą do użytkowników.

Spółka wykorzystuje pozyskane dane osobowe uczestników konkursów w celu realizacji zamówień na prowadzenie marketingu na rzecz innych podmiotów.

Wydawałoby się zatem, że firma zajmująca się działalnością w sieci w sposób prawidłowy wdroży RODO. Jak się jednak okazało prezes UODO był odmiennego zdania.

Aż 200 tys. korekty finansowej

16 października 2019 r. prezes UODO wydał decyzję, w której nałożył na ClickQuickNow karę w wysokości 201 559,50 złotych.

Przyznasz, że to całkiem sporo!!

Za jakie naruszenie, aż tak duża kara finansowa?

Oczywiście za naruszenie RODO, a dokładnie za lekceważenie prawa do wycofania zgody na przetwarzanie danych oraz prawa do bycia zapomnianym.

Wiem, że niekiedy nawet moim klientom z trudem przychodzi uznanie, że klient chce wycofać zgodę, albo żąda usunięcia danych z bazy prowadzonej przez administratora. Do tego dochodzą kwestie organizacyjne (jak to zrobić technicznie) i finansowe (kto za usprawnienie systemu zapłaci).

Jak to jest źle przetwarzać dane?

Jednym z podstawowych praw, o których mówi rozporządzenie o ochronie danych jest prawo do wycofania zgody na to, aby administrator przetwarzał moje dane.

Konsekwencją tego jest m.in. brak otrzymywania powiadomień SMS-owych czy mailowych o ofertach.

Jak wskazano w decyzji, problem polegał na tym, że mechanizm wycofania zgody  nie odbywał się poprzez jednorazowe kliknięcie w link wiadomości e-mail (zawierającej link „odwołanie zgody”), lecz było zaplanowane poprzez użycie linku zamieszczonego w treści informacji handlowej, który jednak odsyłał do dwóch stron.

Do pierwszej, na której użytkownik jest pytany o przyczynę odwołania zgody oraz do drugiej strony, na której informowany jest o sposobie jej odwołania nie skutkował szybkim wycofaniem zgody.

Błędem ClickQuickNow było zatem uzależnienia wycofania zgody od podania przyczyny. Jeżeli zatem użytkownik nie poinformował, dlaczego chce wycofać zgodę, wówczas spółka nadal przetwarzała jego dane osobowe.

Ponadto Spółka bez żadnej podstawy prawnej wymaga by osoba, która składa oświadczenie o odwołaniu zgody wskazała powód swojego żądania, uzależniając od tego dalszy proce odwołania zgody.

Nieudzielenie odpowiedzi na to pytanie nie pozwalało na kontynuację procesu odwołania zgody, co skutkowało w rzeczywistości tym, że zgoda nie była odwołana.

Jak bardzo trzeba naruszać przepisy, aby dostać karę finansową?

Zdaniem prezesa UODO spółka ClickQuickNow  dopuściła się aż pięć uchybień. Są to:

• niezapewnieniu osobom, których dane dotyczą łatwego skorzystania z ich uprawnienia w zakresie wycofania zgody na przetwarzanie ich danych osobowych (naruszenie art. 7 ust. 3 oraz art. 12 ust. 1 RODO);
• naruszeniu zasad przejrzystości i rzetelności w procesie odwołania zgody, poprzez kierowanie do osób, których dane dotyczą sprzecznych ze sobą komunikatów, co skutkuje tym, że osoba odwołująca zgodę wprowadzana jest w błąd i nie może odwołać zgody (naruszenie art. 5 ust. 1 lit. a RODO);
• naruszeniu prawa do usunięcia danych (prawo do bycia zapomnianym), poprzez stosowanie procesu odwołania zgody, który utrudnia skuteczne odwołanie zgody (naruszenie art. 17 ust. 1 lit. b RODO);
• przetwarzaniu bez podstawy prawnej danych osób, które nie są klientami Spółki (naruszenie art. 6 ust. 1 rozporządzenia 2016/679 oraz naruszenie zasady zgodności przetwarzania z prawem, o której mowa w art. 5 ust. 1 lit. a RODO);
• niezastosowaniu odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (naruszenie art. 24 ust 1 RODO).

Co ważne, nakładając karę nie uwzględniono okoliczności łagodzących z uwagi na to, że działania spółki był umyśle. Na czym umyśle, świadome działanie spółki polegało? Otóż na przekazywaniu sprzecznych ze sobą komunikatów, które utrudniały realizację praw wynikających z RODO.

Co należy poprawić na przyszłość?

Prezes UODO nakazał ClickQuickNow dostosować procedury przetwarzania danych osobowych do przepisów rozporządzenia o ochronie danych. Spółka ma na to termin 14 dni od dnia doręczenia decyzji.

Poprawa procedury ma polegać na:

1) zmodyfikowaniu procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych, w taki sposób, by osoby, których dane dotyczą mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia zapomnianym,

2) usunięciu danych osobowych osób, które nie są klientami ClickQuickNow Sp. z o.o., a od których ClickQuickNow Sp. z o.o., otrzymała żądanie zaprzestania przetwarzania danych osobowych.

Całą treść decyzji możesz przeczytać pod linkiem:  https://uodo.gov.pl/decyzje/ZSPR.421.7.2019