Ostatnio na blogu LB&P Legal pisaliśmy o pierwszej karze dla podmiotu publicznego za naruszenie RODO. Kary nakładane przez PUODO, jak i jego odpowiedników z innych państw UE, będą częstymi tematami naszego kancelaryjnego bloga. W końcu nic bardziej nie kształtuje praktyki stosowania przepisów niż… nauka na cudzych błędach. Tym razem więc o tym, co jest utrudnianiem wycofania zgody na przetwarzanie danych osobowych.
Trochę teorii
Zgodnie z RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Dlatego administrator musi zapewnić odpowiednie mechanizmy.
Wycofanie zgody niesie za sobą istotne konsekwencje. Jeżeli nie ma innej podstawy prawnej przetwarzania, administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe osoby, której dane dotyczą. Nie wpływa to jednak na działania administratora w przeszłości, sprzed wycofania zgody.
Decyzja Prezesa UODO
Jak to często bywa w tego typu sytuacjach, teoria znów rozminęła się z praktyką. Z lektury kolejnej decyzji Prezesa UODO o nałożeniu kary na pewną spółkę- wynika, że u jej podstaw leżały następujące powody:
- niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie swoich danych osobowych oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym),
- przetwarzanie bez podstawy prawnej danych osób, które nie są klientami spółki, a od których spółka, otrzymała żądania zaprzestania przetwarzania danych osobowych.
PUODO ocenił, że stosowany przez ukaraną spółkę mechanizm wycofywania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem zgody:
- uruchomienie linku generowało komunikat kierowany do osoby zainteresowanej wycofaniem zgody wprowadzał ją w błąd,
- spółka wymuszała podanie przyczyny wycofania zgody, choć z przepisów o ochronie danych osobowych takie prawo nie wynika,
- brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody.
Prezes UODO nie podzielił przy tym argumentacji spółki, że „proste” odwołanie zgody – poprzez jednorazowe kliknięcie w link wiadomości e-mail (zawierającej link „odwołanie zgody”) – rodzi pewne komplikacje i zagrożenia. Spółka broniła się twierdzeniem, że taki mechanizm powodowałby, iż żądanie mogłoby być składane nieświadomie (omyłkowo przez przypadkowe kliknięcie) albo przez osobę nieuprawnioną (lub przez tzw. „boty”).
Ponadto, w decyzji Prezes Urzędu wskazał również, że spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc także tzw. prawo do bycia zapomnianym.
Wymiar kary
W wyniku stwierdzonych naruszeń, Prezes UODO wymierzył karę pieniężną w kwocie 201 559,50 PLN (równowartość 47. 000 EUR). Bardzo istotny dla praktyki jest przy tym fakt, że ustalając wysokość administracyjnej kary pieniężnej, organ nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary. Wśród okoliczności, na które próbowała powoływać się spółka były między innymi:
- brak dowodów wskazujących na uzyskanie przez spółkę korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem,
- brak dowodów, że osoby, których dane dotyczą doznały szkody majątkowej,
- dobra współpraca ze strony spółki, w toku przeprowadzonej kontroli.
Spółka nie dopuściła się również naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla prowadzonego postepowania.
Organ uznał jednak, że działanie spółki było umyślne, ponieważ przekazywanie osobie zainteresowanej wycofaniem zgody sprzecznych ze sobą komunikatów powodowało brak skuteczności wycofania zgody. Według PUODO w ten sposób spółka utrudniała, czy wręcz uniemożliwiała realizację praw osób, których dane dotyczą.
Mając jednak na względzie wagę oraz charakter zarzucanych spółce naruszeń, organ uznał nałożenie administracyjnej kary pieniężnej na spółkę za konieczne i uzasadnione. Pokazuje to jasno, że na wojnie o ochronę danych osobowych, PUODO nie będzie brał jeńców.
Ponadto, Prezes UODO nakazał spółce, w terminie 14 dni od dnia doręczenia decyzji, dostosowanie procesu obsługi wniosków o wycofanie zgody na przetwarzanie danych do przepisów RODO. Spółka została również zobowiązana do usunięcia danych osób, które nie są jej klientami i żądały zaprzestania przetwarzania ich danych osobowych.
Wnioski
Analiza omawianej decyzji PUODO skłania więc do następujących wniosków:
- wycofania zgody nie można obwarować koniecznością spełnienia dodatkowych warunków czy przesłanek;
- mechanizm wycofywania zgody musi być prosty i przejrzysty, aby umożliwić szybkie wycofanie zgody (nie oznacza to, że udzielenie i cofnięcie zgody musi odbywać się w ten sam sposób. Ale osoba, której dane dotyczą, musi być w stanie wycofać zgodę poprzez ten sam interfejs elektroniczny).
Warto przy tym pamiętać, że osoba, której dane dotyczą, powinna być w stanie wycofać zgodę bez ponoszenia niekorzystnych konsekwencji. Administrator musi zapewnić, by wycofanie zgody było bezpłatne lub nie pociągało za sobą obniżenia poziomu usług (por. „Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679”, Grupa Robocza Art. 29).
Autor:
radca prawny Tomasz Miś