Kolejna kara – tym razem za utrudnianie wycofania zgody na przetwarzanie danych

Dodano: 7 listopada 2019
e099443dcda727e9d4bf4112ef2bf228701ecf95-xlarge(5)

201 tys. zł – taką karę Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę, która utrudniała realizację prawa do wycofania zgody na przetwarzanie danych osobowych. Sprawdzamy, jakie konkretnie naruszenia doprowadziły do wymierzenia kary.

Naruszenia, które doprowadziły do ukarania

Jak wskazano w uzasadnieniu decyzji, ukarana spółka zaniechała wdrożenia odpowiednich środków technicznych i organizacyjnych, które pozwalałyby na łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych a także na realizację prawa do żądania usunięcia danych osobowych (tj. prawa do bycia zapomnianym).

Spółka, zdaniem organu nadzoru, dopuściła się naruszenia art. 7 ust. 3 RODO, a mianowicie stosowała dla wycofania zgody skomplikowane rozwiązania organizacyjne i techniczne. Naruszono też art. 12 ust. 2 RODO, nie ułatwiając realizacji uprawnień podmiotom danych.

Kontrowersyjny mechanizm wycofywania zgody

Naruszenia wynikały ze stosowanego przez spółkę mechanizmu wycofywania zgody, polegającego na użyciu linku zamieszczonego w treści informacji handlowej. Kliknięcie w ten link nie powodowało jeszcze wycofana zgody. Po uruchomieniu linku, pojawiały się bowiem komunikaty które wprowadzały podmiot danych w błąd. Spółka żądała przy tym podania przyczyny wycofania zgody, podczas gdy RODO nie przewiduje takiej możliwości. Bez podawania przyczyny wycofanie zgody okazywałoby się niemożliwe.

Jak wskazano w uzasadnieniu decyzji, spółka naruszała RODO także poprzez przetwarzanie bez podstawy prawnej danych osób niebędących jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych (tj. bycia zapomnianym).

Spółka działała umyślnie

W wymiarze kary uwzględniono fakt umyślnego działania spółki, w szczególności celowe utrudnianie wycofania zgody na przetwarzanie danych. Prezes UODO nie stwierdził natomiast żadnych okoliczności łagodzących.

Źródło:
  • Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 16 października 2019 r. ZSPR.421.7.2019

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x