Kolejna kara PUODO – utrudnianie wycofania zgody na przetwarzanie danych osobowych

Ostatnio na blogu LB&P Legal pisaliśmy o pierwszej karze dla podmiotu publicznego za naruszenie RODO. Kary nakładane przez PUODO, jak i jego odpowiedników z innych państw UE, będą częstymi tematami naszego kancelaryjnego bloga. W końcu nic bardziej nie kształtuje praktyki stosowania przepisów niż… nauka na cudzych błędach. Tym razem więc o tym, co jest utrudnianiem wycofania zgody na przetwarzanie danych osobowych.

Trochę teorii

Zgodnie z RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Dlatego administrator musi zapewnić odpowiednie mechanizmy.

Wycofanie zgody niesie za sobą istotne konsekwencje. Jeżeli nie ma innej podstawy prawnej przetwarzania, administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe osoby, której dane dotyczą. Nie wpływa to jednak na działania administratora w przeszłości, sprzed wycofania zgody.

Decyzja Prezesa UODO

Jak to często bywa w tego typu sytuacjach, teoria znów rozminęła się z praktyką. Z lektury kolejnej decyzji Prezesa UODO o nałożeniu kary  na pewną spółkę- wynika, że u jej podstaw leżały następujące powody:

  1. niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie swoich danych osobowych oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym),
  2. przetwarzanie bez podstawy prawnej danych osób, które nie są klientami spółki, a od których spółka, otrzymała żądania zaprzestania przetwarzania danych osobowych.

PUODO ocenił, że stosowany przez ukaraną spółkę mechanizm wycofywania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem zgody:

  1. uruchomienie linku generowało komunikat kierowany do osoby zainteresowanej wycofaniem zgody wprowadzał ją w błąd,
  2. spółka wymuszała podanie przyczyny wycofania zgody, choć z przepisów o ochronie danych osobowych takie prawo nie wynika,
  3. brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody.

Prezes UODO nie podzielił przy tym argumentacji spółki, że „proste” odwołanie zgody – poprzez jednorazowe kliknięcie w link wiadomości e-mail (zawierającej link „odwołanie zgody”) – rodzi pewne komplikacje i zagrożenia. Spółka broniła się twierdzeniem, że taki mechanizm powodowałby, iż żądanie mogłoby być składane nieświadomie (omyłkowo przez przypadkowe kliknięcie) albo przez osobę nieuprawnioną (lub przez tzw. „boty”).

Ponadto, w decyzji Prezes Urzędu wskazał również, że spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc także tzw. prawo do bycia zapomnianym.

Wymiar kary

W wyniku stwierdzonych naruszeń, Prezes UODO wymierzył karę pieniężną w kwocie 201 559,50 PLN (równowartość 47. 000 EUR). Bardzo istotny dla praktyki jest przy tym fakt, że ustalając wysokość administracyjnej kary pieniężnej, organ nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary. Wśród okoliczności, na które próbowała powoływać się spółka były między innymi:

  • brak dowodów wskazujących na uzyskanie przez spółkę korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem,
  • brak dowodów, że osoby, których dane dotyczą doznały szkody majątkowej,
  • dobra współpraca ze strony spółki, w toku przeprowadzonej kontroli.

Spółka nie dopuściła się również naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla prowadzonego postepowania.

Organ uznał jednak, że działanie spółki było umyślne, ponieważ przekazywanie osobie zainteresowanej wycofaniem zgody sprzecznych ze sobą komunikatów powodowało brak skuteczności wycofania zgody. Według PUODO w ten sposób spółka utrudniała, czy wręcz uniemożliwiała realizację praw osób, których dane dotyczą.

Mając jednak na względzie wagę oraz charakter zarzucanych spółce naruszeń, organ uznał nałożenie administracyjnej kary pieniężnej na spółkę za konieczne i uzasadnione. Pokazuje to jasno, że na wojnie o ochronę danych osobowych, PUODO nie będzie brał jeńców.

Ponadto, Prezes UODO nakazał spółce, w terminie 14 dni od dnia doręczenia decyzji, dostosowanie procesu obsługi wniosków o wycofanie zgody na przetwarzanie danych do przepisów RODO. Spółka została również zobowiązana do usunięcia danych osób, które nie są jej klientami i żądały zaprzestania przetwarzania ich danych osobowych.

Wnioski

Analiza omawianej decyzji PUODO skłania więc do następujących wniosków:

  1. wycofania zgody nie można obwarować koniecznością spełnienia dodatkowych warunków czy przesłanek;
  2. mechanizm wycofywania zgody musi być prosty i przejrzysty, aby umożliwić szybkie wycofanie zgody (nie oznacza to, że udzielenie i cofnięcie zgody musi odbywać się w ten sam sposób. Ale osoba, której dane dotyczą, musi być w stanie wycofać zgodę poprzez ten sam interfejs elektroniczny).

Warto przy tym pamiętać, że osoba, której dane dotyczą, powinna być w stanie wycofać zgodę bez ponoszenia niekorzystnych konsekwencji. Administrator musi zapewnić, by wycofanie zgody było bezpłatne lub nie pociągało za sobą obniżenia poziomu usług (por. „Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679”, Grupa Robocza Art. 29).

 

Autor:
radca prawny Tomasz Miś

NEWSLETTER XI 2019

Prawo jeszcze nigdy nie zmieniało się tak szybko, jak obecnie. Jako doradcy czujemy się odpowiedzialni za to, aby informacje o tym, co ważne, trafiły do Was „na czas”. Dlatego cieszymy się, że możemy udostępnić Wam nasz pierwszy newsletter. Z uwagi na zbliżający się koniec roku ma on szczególny charakter – nie tylko uprzedza o nadchodzących zmianach, ale też przypomina o tym, co już stało się w 2019 roku.

W kolejnych miesiącach będziemy udostępniać krótsze zestawienia newsów. Oczywiście niezależnie zapraszamy do regularnego odwiedzania naszego bloga, gdzie najważniejsze informacje publikujemy na bieżąco. 

Życzymy przyjemnej lektury!

NEWSLETTER LB&P_2019_11

 

Zespół LB&P

Nowelizacja Kodeksu Pracy wrzesień 2019

Dnia 7 września 2019 r. weszła w życie nowelizacja Kodeksu Pracy, wprowadzająca istotne zmiany w uprawnieniach pracowniczych. Poniżej przedstawiamy ich podsumowanie oraz informacje, w jaki sposób wpłyną na prawa pracownika oraz obowiązki pracodawcy.

Nowelizacja Kodeksu Pracy dotyczy:

  • dyskryminacji i równego traktowania – nowelizacja otworzyła katalog tzw. przesłanek dyskryminujących. Oznacza to, że obecnie każdy przejaw nierównego traktowania pracowników, którego nie sposób uzasadnić obiektywnymi przyczynami, będzie mógł zostać uznany za dyskryminację;
  • mobbingu – po nowelizacji pracownik może domagać się naprawienia szkody także w trakcie trwania stosunku pracy, a nie jak dotychczas, dopiero po jego zakończeniu;
  • szczególnych uprawnień członków najbliższej rodziny pracowników –przyznano tej grupie niektóre ze szczególnych uprawnień rodzicielskich m.in.:
      • ochronę przed zwolnieniem w okresie korzystania z urlopu macierzyńskiego/”tacierzyńskiego”,
      • możliwość skorzystania z urlopu wypoczynkowego bezpośrednio po urlopie macierzyńskim (pracodawca będzie musiał wyrazić zgodę na urlop),
      • uprawnienie do żądania od pracodawcy,, wynagrodzenia za czas pozostawania bez pracy (po przywróceniu do pracy); w razie bezprawnego rozwiązania umowy w okresie ochrony;
  • świadectw pracy:
      • wydłużono termin na złożenie wniosku o sprostowanie świadectwa pracy z 7 do 14 dni,
      • doprecyzowano moment wydania świadectwa pracy pracownikowi, który ustalono co do zasady na dzień rozwiązania lub wygaśnięcia stosunku pracy,
      • nieterminowe wydanie świadectwa pracy uznano za wykroczenie zagrożone karą grzywny od 1 000 do 30 000 zł;
      • rozszerzono katalog roszczeń przysługujących pracownikowi względem pracodawcy (żądanie wydania świadectwa pracy lub ustalenie uprawnienia do jego otrzymania);
  • przedawnienia roszczeń ze stosunku pracy – sąd nie uwzględni przedawnienia roszczeń pracownika ani pracodawcy automatycznie, „z urzędu”. W konsekwencji, będziemy zobowiązani pamiętać o konieczności podniesienia zarzutu przedawnienia przed sądem.

 

Powyższe zmiany można ocenić pozytywnie – w dużym zakresie doprecyzowały przepisy, których interpretacja dotychczas budziła wątpliwości. Jednocześnie faktycznie nie nakładają na pracodawców nowych obowiązków w związku z przyznaniem pracownikom ww. uprawnień. Koniecznie jest jednak oczywiście dostosowanie regulacji wewnątrzzakładowych (np. regulaminów pracy) i brzmienia niektórych dokumentów (świadectwa pracy – treść pouczenia o możliwości żądania sprostowania).

 

Autor:
radca prawny Natalia Wojciechowska

Pierwsza kara dla podmiotu publicznego za naruszenie RODO

Prezes UODO nałożył pierwszą karę za naruszenie RODO na podmiot publiczny – Burmistrza Aleksandrowa Kujawskiego. Burmistrz musi zapłacić 40 tys. zł kary pieniężnej oraz usunąć stwierdzone naruszenia w ciągu 60 dni. Podstawą do wydania takiej decyzji był przede wszystkim brak umów powierzenia danych do przetwarzania oraz przechowywanie m.in. oświadczeń majątkowych przez okres dłuższy niż dozwolony przepisami prawa.

Brak umów powierzenia

Burmistrz nie dopełnił obowiązku zawarcia umów powierzenia z firmą, która przechowywała na swoich serwerach zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego. Takiej umowy nie zawarto także z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Tym samym PUODO uznał, że Burmistrz udostępnił dane osobowe bez podstawy prawnej, czym naruszył zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

Przekroczenie dopuszczalnego okresu przechowywania

Ponadto podczas kontroli stwierdzono, że na stronie BIP dostępne były m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co zdaniem PUODO wynika z przepisów sektorowych. Burmistrz miał naruszyć w ten sposób zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).

Inne naruszenia

Postępowanie ujawniło również nieprawidłowości w zabezpieczeniu materiałów z posiedzeń rady miejskiej. Urząd przechowywał je wyłącznie na dedykowanym kanale na YouTube, nie wykonując żadnej kopii zapasowej tych nagrań, co zwiększyło ryzyko ich trwałej utraty. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Wymiar kary

Jak wskazuje PUODO, na wymiar kary miał wpływ m.in. brak współpracy z organem w toku kontroli, a także niepodjęcie działań w celu usunięcia stwierdzonych nieprawidłowości. Przez to PUODO uznał, że nie zachodziły podstawy do złagodzenia kary, którą ustalił na stosunkowo wysokim poziomie tj. 40% maksymalnej stawki dla sektora publicznego.

Kara dla Burmistrza Aleksandrowa Kujawskiego jest czwartą z kolei karą nałożoną przez Prezesa UODO za naruszenie przepisów RODO, lecz pierwszą dla podmiotu publicznego. Przypadek ten dobitnie wskazuje, że instytucje publiczne nie są zwolnione z obowiązku ochrony danych osobowych, a ich działalność będzie podlegała takiej samej ocenie jak działalność podmiotów prywatnych. Jednak bez względu na sektor, w którym funkcjonuje ukarany podmiot, wnioski płynące z uzasadnienia decyzji są uniwersalne dla wszystkich administratorów – przetwarzanie danych bez podstawy prawnej (w tym bez zawartej umowy powierzenia) jest wg PUODO jednym z najcięższych naruszeń, tak samo jak ich przechowywanie przez nieuzasadniony okres, a wszelkie braki w tym zakresie mogą wiązać się z poważnymi konsekwencjami.

Pełną treść komunikatu PUODO znajdziesz pod tym linkiem: https://uodo.gov.pl/pl/138/1240, a treść decyzji: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019.

 

Autor:
radca prawny Natalia Wojciechowska

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj