„Pytali dlaczego osoba chce odwołać zgodę i dostali 200 000 zł kary.”
W naszej poprzedniej publikacji pt. „Kara pieniężna RODO dla podmiotu publicznego” pisaliśmy o tym jakie nieprawidłowości w implementacji unijnych przepisów ochrony danych osobowych skutkowały nałożeniem na burmistrza miasta administracyjnej kary pieniężnej. Od momentu opublikowania naszego komentarza i jednocześnie oficjalnego komunikatu Urzędu Ochrony Danych Osobowych (UODO) w sprawie wymierzenia tej kary mija kilka dni, a polski organ nadzorczy informuje i upublicznia kolejną decyzję administracyjną w której została zastosowana kara pieniężna za naruszenia przepisów RODO.
Utrudniony proces wycofania zgody na przetwarzanie danych osobowych
Głównie za sprawą tej okoliczności Prezes Urzędu Ochrony Danych Osobowych skorzystał z przysługujących na mocy RODO uprawnień naprawczych i decyzją z dnia 16 października 2019 r. nakazał kontrolowanej spółce w terminie 14 dni:
1. „Zmodyfikowanie procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych, w taki sposób, by osoby, których dane dotyczą mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia zapomnianym.
2. Usunięcie danych osobowych osób, które nie są klientami spółki, a od których spółka, otrzymała żądanie zaprzestania przetwarzania danych osobowych.
oraz
3. wymierzył karę pieniężną w kwocie 201 559,50 PLN (dwieście jeden tysięcy pięćset pięćdziesiąt dziewięć złotych 50/100), co stanowi równowartość 47. 000 EUR.”
Jakie nieprawidłowości stwierdzono? Na co zwrócić uwagę?
Na podstawie opublikowanej przez UODO decyzji administracyjnej, opracowaliśmy wypunktowane zestawienie istotnych okoliczności sprawy wraz z naszym komentarzem i praktycznymi wskazówkami. Co ważne, badany w toku prowadzonego postępowania kontrolnego proces obsługi wniosków o realizację praw osób, których dane dotyczą jest bardzo częstym problemem praktycznym. Niejednokrotnie obserwujemy, że administratorzy mimo świadomości koniecznych do podjęcia w tym celu działań, wciąż decydują się na sformalizowane procedury przyjmowania wniosków osób fizycznych. Dlaczego tak się dzieje? Odpowiedź jest bardzo prosta. Im więcej wysiłku wymaga przeprocesowanie wniosku, tym mniej osób zdecyduje się na jego złożenie. W wyniku czego administrator po pierwsze, nie musi organizować dodatkowego czasu i środków finansowych na obsługę wniosków. Po drugie, jeśli dane przetwarzane są przykładowo w celach marketingowych, większa liczba odbiorców treści marketingowych może przyczynić się do wzrostu sprzedaży. Pod wieloma względami to wysoce ryzykowna i nierozsądna praktyka, której efekty uwydatnia analizowana decyzja Prezesa UODO. Jakie nieprawidłowości stwierdzono oraz na co zwrócić uwagę?
1. Utrudniony proces wycofania zgody na przetwarzanie danych osobowych.
Urząd Ochrony Danych Osobowych wskazuje, że spółka będąca administratorem danych osobowych, wdrożyła skomplikowany proces cofnięcia zgody na przetwarzanie danych osobowych, który w ocenie organu nadzorczego naruszał wymogi wynikające z RODO. Stosowany przez administratora utrudniony proces wycofania zgody, nie gwarantował skutecznej realizacji praw osób, których dane dotyczą.
Przepisy wymagają stosowania przez administratorów odpowiednich środków techniczno-organizacyjnych w celu zapewnienia łatwego i skutecznego wycofania zgody na przetwarzanie danych osobowych oraz realizacji prawa do usunięcia danych (prawa do bycia zapomnianym). Zgodnie z tymi wymogami, koniecznym do podjęcia przez administratora działaniem jest przede wszystkim wdrożenie mechanizmu, który umożliwi osobom fizycznym prostą i sprawną realizację przysługującym im praw.
Jeżeli chodzi o prawo wycofaniu zgody, to powinno być to możliwe co najmniej tak samo łatwo jej wyrażenie. Może być to zapewnione między innymi poprzez skorzystanie z dedykowanego adresu e-mail, bądź podlinkowanego tekstu typu: Nie chcesz już otrzymywać tego typu wiadomości? Kliknij i wycofaj zgodę. Po kliknięciu na tego typu link odpowiednio zaprojektowane rozwiązanie może automatycznie zapewnić podjęcie szeregu działań w celu obsługi zgłoszonego żądania. Przykładowo wnioskodawca otrzyma odpowiedź zwrotną o przyjęciu wniosku, jego analizie, bądź w zależności od okoliczności przetwarzania, jego natychmiastowym uwzględnieniu.
2. Stopniowy proces zgłoszeń prawa usunięcia danych (wycofania zgody).
Organ nadzorczy informuje, że spółka w procesie którego podstawą prawną była zgoda [art. 6 ust. 1 lit. a) RODO], zdecydowała się na umieszczanie w przesyłanych do osób fizycznych wiadomościach marketingowych, dedykowanego linku typu: Kliknij i odwołaj zgodę. Tak jak wskazaliśmy powyżej, to w naszej ocenie praktyczne i dobre rozwiązanie, pod warunkiem że jego funkcjonalność zostanie prawidłowo zamodelowana. Właśnie w tym zakresie UODO wykrył nieprawidłowości i uzasadnienie decyzji wskazuje na korzystanie przez administratora ze stopniowego procesu zgłaszania wniosku.
Co do ogółu, jeżeli chodzi o tzw. stopniowy proces przyjmowania zgłoszeń, to w naszej ocenie nie powinien on być niezgodny z wymogami RODO. Oczywiście pod warunkiem, że implementacja tego typu rozwiązania będzie znajdować uzasadnienie prawne, jak i nie będzie naruszać wymogu zapewnienia osobom fizycznym łatwego i skutecznego zgłoszenia chęci realizacji przysługującym im praw. W uzasadnieniu decyzji wskazuje się, że administrator wprowadził stopniowy proces zgłoszeń w celu wyeliminowania wykorzystania tzw. Botów, które mogłyby wysyłać zgłoszenia w sposób zautomatyzowany. Prawdą jest, że istnieją techniczne możliwości korzystania z tego typu automatów i fakt ten jest w naszej ocenie dobrym argumentem.
Zatem w czym tkwił problem? W warunkowej stopniowości, która w celu skutecznego przyjęcia zgłoszenia wymagała działania nieznajdującego uzasadnienia prawnego.
Po kliknięciu dedykowanego linku, w pierwszej kolejności osoba musiała odpowiedzieć na pytanie dotyczące powodu zamiaru wycofania zgody. Tutaj należy zwrócić uwagę szczególnie na dwa aspekty. Po pierwsze, okoliczność ta wiąże się z pozyskaniem dodatkowych danych osobowych w postaci powodu cofnięcia przez osobę wyrażonej uprzednio zgody. Fakt ten potwierdza zarówno UODO, jak i administrator. Po drugie, odpowiedź na pytanie warunkowała przejście do kolejnego etapu wnioskowania. Zatem de facto przy tej formie zgłoszenia cofnięcia zgody, niemożliwym stało się skuteczne zgłoszenie wniosku bez udzielenia odpowiedzi na pytanie.
3. Zapytanie o przyczynę wycofania zgody.
Powstaje pytanie, czy zapytanie o powód cofnięcia zgody należy uznać na bezwzględnie niedopuszczalne? W naszej ocenie nie i tym samym za dopuszczalne można byłoby przyjąć koncepcję, że Administrator może mieć uzasadniony interes w tym, aby osoba dobrowolnie wskazała jaka okoliczność zaważyła na tym, że zgodę wycofała. Kluczowa jest w tym zakresie jest swoboda w przekazaniu tej informacji, ponieważ realizacja praw osób, których dane dotyczą, nie wymaga podania powodu. Z tego względów odpowiedź na pytanie nie może warunkować zgłoszenia realizacji przysługującego prawa. Co istotne, uzyskanie tego typu informacji może mieć dla administratora kluczowe znaczenie, szczególnie w przypadku cofnięcia zgody na przetwarzanie danych osobowych w celach marketingowych i przyczynić się do poprawy przyszłych działań marketingowych.
Gdyby zatem administrator danych osobowych decydował się na pozyskanie tego typu informacji, należałoby odpowiednio zamodelować ten proces i funkcjonowanie ankiety. Z założenia dla administratora istotna jest wartość statystyczna, tj. czy powodem cofnięcia zgody był czynnik A, B lub C. W tym przypadku można byłoby zastanowić się nad wdrożeniem w pełni dowolnych i anonimowych ankiet już po dokonanym zgłoszeniu wniosku.
4. Wprowadzenie w błąd.
Organ nadzorczy wskazuje, że administrator wprowadzał w błąd wnioskodawców, którzy korzystali z dedykowanego linku do odwołania zgody. Administrator zamiast skutecznie przyjąć wniosek o cofnięcie zgody, przesłał komunikat „Pani odwołanie z dnia …. Jednocześnie informując o sposobach korzystania z praw.” Jak wskazuje UODO, okoliczność ta mogła budzić mylne przekonanie, że wniosek został skutecznie zgłoszony, kiedy w rzeczywistości uznawany został za niedokończony i nie podlegał rozpoznaniu.
5. Pozostawienie bez rozpoznania wiadomości osób, których dane dotyczą.
Kolejna istotna okoliczność na gruncie omawianej decyzji to bagatelizowanie przez administratora danych osobowych pustych wiadomości e-mail. Jak wskazuje UODO, tzw. puste wiadomości e-mail zawierają i zawierały co najmniej następujące informacje: e-mail nadawcy, e-mail adresata oraz datę i godzinę. „W ocenie Prezesa Urzędu Ochrony Danych Osobowych określenie adresata w taki sposób wskazuje świadome działania nadawcy takiego e-maila, tzn., że odwołuje on zgodę”. Nie są znane wszelkie okoliczności sprawy, jednakże w przypadku gdy istniałby dedykowany adres e-mail wyłącznie do cofania zgód, w naszej ocenie należałoby zgodzić się z interpretacją UODO, co do tego, że są to wystarczające informacje aby zidentyfikować osobę fizyczną i wdrożyć procedurę przyjęcia wniosku o cofnięcie zgody. W każdym innym przypadku gdyby był to adres e-mail nie wyłącznie do cofnięcia konkretnych zgód, lecz e-mail dedykowany do obsługi zapytań lub wniosków dot. ochrony danych osobowych, to zgodnie z dobrymi praktykami, administrator powinien podjąć działania w celu wyjaśnienia okoliczności przesłanej wiadomości. Przykładowo odpowiedzieć na otrzymaną wiadomość i doprecyzować w jakim celu został przesłany e-mail.
Podsumowanie
Omawiana decyzja wymierzająca karę w wysokości przeszło 200 tysięcy złotych na utrudniony proces wycofania zgody na przetwarzanie danych osobowych ma istotne znaczenie praktyczne. Zjawisko to nie jest jednostkowe i stanowi nierzadko występujący problem w stosowanych procedurach zgłaszania praw osób, których dane dotyczą.
Ponadto, zgoda wciąż jest chętnie i często wykorzystywaną w praktyce podstawą prawną przetwarzania danych osobowych. Należy jednak mieć na względzie, że oparcie procesu przetwarzania danych osobowych na tej właśnie podstawie wiąże się z licznymi ryzykami i niejednokrotnie za sprawą poczynionych błędów niesie za sobą skutki odwrotne do zamierzonych. Zagadnienie to planujemy poruszyć w oddzielnym wpisie.
Źródło: Aktualności UODO – https://uodo.gov.pl/pl/138/1246.