Prezes UODO nakłada karę za utrudnianie realizacji praw osób, których dane dotyczą

Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną na ClickQuickNow Sp. z o.o. za utrudnianie realizacji praw osób, których dane dotyczą, naruszając przepisy RODO. Spółka kierowała do nich sprzeczne komunikaty, utrudniając skuteczne odwołanie zgody na przetwarzanie danych osobowych.

Tematyka: Prezes UODO, karę pieniężną, ClickQuickNow, naruszenie RODO, odwołanie zgody, ochrona danych osobowych

Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną na ClickQuickNow Sp. z o.o. za utrudnianie realizacji praw osób, których dane dotyczą, naruszając przepisy RODO. Spółka kierowała do nich sprzeczne komunikaty, utrudniając skuteczne odwołanie zgody na przetwarzanie danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych (dalej jako: „Prezes UODO”) stwierdził naruszenie przepisów
art. 5 ust 1 lit. a, art. 6 ust. 1, art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b oraz art. 24 ust. 1 rozporządzenia
Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L z 2016 r. Nr 119, s. 1 ze zm.;
dalej jako: RODO) i nałożył na ClickQuickNow Sp. z o.o. (dalej jako: „Spółkę”) karę pieniężną w kwocie 201
559,50 zł.
Kontrola przeprowadzona przez Prezesa UODO
W lutym 2019 r. Prezes UODO dokonał czynności kontrolnych w ClickQuickNow Sp. z o.o. Zakresem kontroli objęto
przetwarzanie przez Spółkę danych osobowych, z wyłączeniem danych dotyczących osób zatrudnionych. Na
podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych
osobowych Spółka, jako administrator, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:
1. niezapewnieniu osobom, których dane dotyczą łatwego skorzystania z ich uprawnienia w zakresie wycofania
zgody na przetwarzanie ich danych osobowych (naruszenie art. 7 ust. 3 oraz art. 12 ust. 1 RODO);
2. naruszeniu zasad przejrzystości i rzetelności w procesie odwołania zgody, poprzez kierowanie do osób, których
dane dotyczą sprzecznych ze sobą komunikatów, co skutkowało tym, że osoba odwołująca zgodę wprowadzana była
w błąd i nie mogła odwołać zgody (naruszenie art. 5 ust. 1 lit. a RODO);
3. naruszeniu prawa do usunięcia danych (prawo do bycia zapomnianym), poprzez stosowanie procesu odwołania
zgody, który utrudniał skuteczne odwołanie zgody (naruszenie art. 17 ust. 1 lit. b RODO);
4. przetwarzaniu bez podstawy prawnej danych osób, które nie są klientami Spółki (naruszenie art. 6 ust. 1 RODO,
naruszenie zasady zgodności przetwarzania z prawem, zgodnie z art. 5 ust. 1 lit. a RODO);
5. niezastosowaniu odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane
dotyczą skuteczne skorzystanie z jej praw (naruszenie art. 24 ust 1 RODO).
W związku z powyższym, Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych
uchybień, w celu wyjaśnienia okoliczności sprawy.
Z uzasadnienia Prezesa UODO
Spółka od 2012 r. posiada własną bazę danych. Wszystkie dane osobowe do bazy Spółki pozyskane zostały drogą
elektroniczną za pomocą formularzy rejestracyjnych. Do wszystkich konkursów stosowany był taki sam wzór
formularza. W trakcie wypełniania formularza rejestracyjnego użytkownik wyrażał następujące zgody: zgodę na
przetwarzanie danych osobowych w celach marketingowych podmiotów trzecich również w przyszłości, zgodę na
udostępnianie danych kontrahentom Spółki w celach marketingowych, zgodę na przekazywanie informacji
handlowych drogą elektroniczną przez Spółkę (w tym na zlecenie podmiotów trzecich) oraz przez kontrahentów
Spółki, zgodę na przekazywanie informacji marketingowych drogą telefoniczną i elektroniczną przez Spółkę (w tym
na zlecenie podmiotów trzecich) oraz przez kontrahentów Spółki. Z ustaleń dokonanych w toku kontroli wynika, że
Spółka obecnie wykorzystuje pozyskane dane osobowe uczestników konkursów w celu realizacji zamówień na
prowadzenie marketingu na rzecz innych podmiotów.
Do zawieranych umów zleceń na prowadzenie danej kampanii marketingowej Spółka dołącza dokument o nazwie
„Oświadczenie dotyczące przetwarzania danych osobowych aktualne od maja 2018 roku”. Za pośrednictwem linku
umieszczonego w wysyłanych wiadomościach e-mail lub SMS, a także w rozmowach telefonicznych za
pośrednictwem wskazanego w rozmowie adresu e-mail osoby, do których kierowana będzie kampania
marketingowa, będą mogły (zdaniem Spółki) w łatwy i prosty sposób odwołać udzielone zgody.
Spółka jednak nie stosuje się do zasad, które sama opracowała. Użycie linku zamieszczonego w treści informacji
handlowych wbrew zapewnieniom Spółki, nie skutkuje szybkim odwołaniem zgody na przetwarzanie danych
osobowych. Komunikaty przesyłane na skutek uruchomienia tego linku wprowadzają w błąd osobę, która wnosi
o odwołanie zgody, co skutkuje tym, iż odwołanie zgody nie jest skuteczne.





Spółka w pierwszej kolejności (bez żadnej podstawy prawnej) wymaga by osoba, która składa oświadczenie
o odwołaniu zgody wskazała powód swojego żądania. Dodatkowo nieudzielenie odpowiedzi na to pytanie nie
pozwala na kontynuację procesu odwołania zgody, co skutkuje tym, że zgoda nie jest odwołana. Ponadto, po
przekazaniu osobie komunikatu następującej treści „Pani odwołanie zgody dziś […] !”, Spółka informuje daną osobę
o sposobie odwołania zgody.
W ocenie Spółki, skuteczne złożenie oświadczenia woli odnośnie odwołania zgody na przetwarzanie danych może
nastąpić jedynie wówczas, jeżeli osoba po zapoznaniu się z treścią ww. komunikatu, skieruje jeszcze raz swoje
żądanie i dokładnie w nim określi czego od Spółki się domaga.
Po zapoznaniu się z treścią tak brzmiącego komunikatu większość podmiotów danych stwierdza, że oświadczenie
o odwołaniu zgody zostało przyjęte przez Spółkę w dacie wskazanej w komunikacie i w związku z tym dalszych
czynności w tym zakresie już nie podejmuje. Zdaniem Prezesa UODO stosowany przez Spółkę sposób
postępowania w procesie odwołania zgody nie spełnia kryteriów prostego i szybkiego odwołania zgody. Tym samym
bezsporne jest, że Spółka narusza przepis art. 7 ust. 3 RODO.
Zatem w ocenie Prezesa UODO Spółka w procesie odwołania zgody narusza zasady przejrzystości
i rzetelności, o których mowa w art. 5 ust. 1 lit. a RODO, gdyż do osób odwołujących zgodę Spółka kieruje
sprzeczne ze sobą komunikaty, co skutkuje tym, że osoba odwołująca zgodę, jest przekonana, że zgodę
swoją skutecznie odwołała. Do odwołania zgody jednak nie dochodzi, Spółka po wysłaniu komunikatu,
kieruje do tej samej osoby komunikat, w którym informuje o sposobie skutecznego odwołania zgody.
Stosowany przez Spółkę proces obsługi wniosków dotyczących odwołania zgody na przetwarzanie danych
uniemożliwia osobie, której dane dotyczą skuteczne skorzystanie z przysługującego jej prawa, o którym
mowa w art. 17 ust. 1 lit. b RODO.
Spółka tym samym nie opracowała i nie wdrożyła takich środków technicznych i organizacyjnych, które
powodowałyby, że osoba, której dane dotyczą otrzymuje w formie łatwo dostępnej, zwięzłej, przejrzystej i zrozumiałej
informacje na temat możliwości skutecznego odwołania drogą elektroniczną zgody na przetwarzanie danych
osobowych. Skutkuje to tym, że osoba, której dane dotyczą nie może skutecznie skorzystać ze swojego prawa do
wycofania w dowolnym momencie udzielonej zgody oraz prawa do bycia zapomnianym.
Spółka jako administrator ma obowiązek zastosować odpowiednie rozwiązania organizacyjne i techniczne, tak by
proces przetwarzania danych, w tym proces odwołania zgody, był prowadzony w sposób prosty i przejrzysty.
Z ustaleń kontroli wynika, że Spółka żadnej korespondencji z tymi osobami nie prowadzi, w szczególności Spółka nie
wysyła żadnej korespondencji zwrotnej do takich osób. Nie jest zatem zgodne ze stanem faktycznym twierdzenie
Spółki, że dane tych osób Spółka przetwarza w celu obsługi korespondencji. Na tej podstawie Prezes UODO, uznał,
że Spółka - po ustaleniu, że żadnych informacji o danej osobie Spółka dotychczas nie posiadała - powinna
pozyskane dane usunąć z uwagi na brak podstaw prawnych do dalszego ich przetwarzania (przechowywania).
W powyższym zakresie narusza art. 6 ust. 1 RODO, a tym samym narusza zasadę legalności, która na gruncie
RODO, nazwana jest zasadą zgodności przetwarzania z prawem (art. 5 ust. 1 lit. a RODO).
Nakładając karę pieniężną Prezes UODO wziął pod uwagę następujące okoliczności:
1.   stosowany przez Spółkę proces odwołania zgody skutkuje naruszeniem art. 7 ust. 3, art. 12 ust. 2 oraz art. 17
     ust. 1 lit. b RODO, poprzez niezapewnienie osobom, których dane dotyczą łatwego skorzystania z ich prawa do
     wycofania zgody na przetwarzanie ich danych oraz prawa do usunięcia danych (prawa do bycia zapomnianym);
2.   Spółka w procesie odwołania zgody nie zastosowała odpowiednich środków technicznych i organizacyjnych,
     które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (art. 24 ust 1 RODO).
     Wskazać należy, że od wszystkich osób, których dane osobowe przetwarzane są w bazie Spółki, zgoda na
     przetwarzanie danych pozyskiwana była zawsze w formie elektronicznej, poprzez użycie przycisku „checkboxu”,
     zamieszczonego w formularzu rejestracyjnym. Proces odwołania zgody powinien również przebiegać w sposób
     łatwy, nie skomplikowany, a co najważniejsze za pomocą tego samego kanału komunikacyjnego, tj. za pomocą
     Internetu (np. poprzez zamieszczenie na stronie internetowej formularza odwołania zgody lub zakładki
     przeznaczonej do jej odwołania). Spółka jako administrator ponosi odpowiedzialność za to, że w procesie
     odwołania zgody stosowane jest nieskutecznie działające narzędzie. W efekcie osoby, które używają tego
     przycisku w celu odwołania zgody, nie mogą skutecznie zrealizować swojego prawa.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO stanął na stanowisku, iż nałożenie
administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem zarzucanych Spółce
naruszeń. W przedstawionym stanie faktycznym za najpoważniejsze należy uznać, zdaniem Prezesa UODO,
naruszenie przez Spółkę prawa do usunięcia danych (prawo do bycia zapomnianym), o którym mowa w art. 17 ust. 1
lit. b RODO oraz naruszenie zasad przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit. a RODO.
Przemawia za tym poważny charakter tych naruszeń oraz krąg osób nim dotkniętych.





Nałożona kara ma na celu doprowadzić do stanu, w którym Spółka zastosuje takie środki techniczne i organizacyjne,
które zapewnią osobom, których dane dotyczą skuteczne skorzystanie z ich prawa do odwołania zgody oraz
realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym).
Poza nałożoną karą Prezes UODO zobowiązał Spółkę do dostosowania przetwarzania danych osobowych do RODO
poprzez:
1. zmodyfikowanie procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych, w taki sposób, by osoby,
których dane dotyczą mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia
zapomnianym;
2. usunięcie danych osobowych osób, które nie są klientami Spółki, a od których Spółka, otrzymała żądanie
zaprzestania przetwarzania danych osobowych.




Decyzja z 16.10.2019 r., ZSPR.421.7.2019







Prezes UODO nakładając karę wziął pod uwagę naruszenia Spółki dotyczące prawa do usunięcia danych i zasady przejrzystości oraz rzetelności w procesie odwołania zgody. Decyzja ma na celu doprowadzenie do skutecznego skorzystania przez osoby z ich praw.