6:50
18/11/2019

No i mamy piątą pieniężną karę za RODO w Polsce. Tym razem 201 tys. zł kary dostała spółka ClickQuickNow, która zdaniem UODO utrudniała realizację prawa do wycofania zgody na przetwarzanie danych.

Generalnie RODO wymaga, by proces wycofania zgody na przetwarzanie danych był równie łatwy jak proces wyrażenia zgody. Tymczasem stosowany przez spółkę mechanizm polegał na użyciu linku zamieszczonego w treści informacji handlowej, który to link prowadził do komunikatów wprowadzających w błąd (w ocenie UODO). Spółka wymuszała też podanie przyczyny wycofania zgody, co zdaniem UODO było zbędnym utrudnieniem. Z decyzji wynika też, że spółka ignorowała e-maile wyraźnie świadczące o wycofaniu zgód (zdaniem spółki te e-maile nie identyfikowały dobrze osób i nie dawały wyraźnej informacji o żądaniu).

UODO nałożył karę w wysokości 201 559,50 zł. Nakazał też zmodyfikować proces odwoływania zgody oraz usunąć dane osób, które nie są klientami firmy i jednocześnie zażądały zaprzestania przetwarzania danych osobowych.

Warto przeczytać decyzję o nałożeniu kary (ZSPR.421.7.2019). Dowiecie się z niej, że spółka w wielu kwestiach nie zgadza się z ustaleniami UODO. Tymczasem UODO ustalając wysokość administracyjnej kary pieniężnej nie uwzględnił żadnej okoliczności łagodzącej i stanął na stanowisku, że działanie Spółki było umyślne.

Aktualizacja 18.11.2019 6:51

Prezes firmy ClickQuickNow przesłał do naszej redakcji oświadczenie, które stanowi odpowiedź na oświadczenie Urzędu Ochrony Danych Osobowych wydane w związku z nałożeniem kary na spółkę.

Przede wszystkim prezes Marcin Kostecki stwierdza, że ClickQuickNow nie zgadza się z ustaleniami stanowiącymi podstawę Decyzji, a jej uzasadnienie prawne uważa za błędne. Skarga na decyzję trafi do sądu administracyjnego.

Poza tym spółka zaznaczyła, iż:

  1. decyzja nie wymaga zmiany lub zaprzestania realizacji działań biznesowych (w tym wykorzystywania bazy spółki do celów marketingowych);
  2. prezes UODO nie zakwestionował podstaw do przetwarzania danych, ani zasad i warunków na jakich spółka przetwarza dane.

Ponadto w oświadczeniu prezes ClickQuickNow tak przedstawił okoliczności nałożenia kary:

a) Przezes UODO uznał, że wyrażenie zgody na przetwarzanie danych osobowych w formularzu na stronie internetowej wymaga zapewnienia formularza do odwołania tej zgody. Spółka zapewniła zaś możliwość odwołania tej zgody na powszechnie komunikowany adres e-mail. Prezes UODO stwierdził, żę “Proces odwoływania zgody powinien przebiegać w sposób łatwy, nie skomplikowany, a co najważniejsze za pomocą tego samego kanału komunikacyjnego tj. za pomocą internetu”, co oznacza de facto, że w ocenie Prezesa UODO, odwołanie zgody na przetwarzanie danych za pomocą wiadomości e-mail nie stanowi odwołania zgody za pomocą internetu’

b) Prezes UODO uznał, że w przypdaku, gdy do skrzynki e-mail spółki trafia korespondencja, która nie pochodzi od klientów Spółki, to rzekomo “Spółka po ustaleniu, że żadnych informacji o osobie Spółka dotychczas nie posiadała – powinna pozyskane dane usunąć z uwagi na brak podstaw prawnych do dalszego ich przetwarzania (przechowywania)”. Oznacza to, w ocenie Prezesa UODO, że w każdej sytuacji, w której na ogólnodostępny adres e-mail przedsiębiorcy trafia korespondencja od nadawcy nieznanego adresatowi, to po stronie adresata (przedsiębiorcy) dochodzi rzekomo do bezpodstawnego przetwarzania danych nadawcy.

Czytając oświadczenie ClickQuickNow należy pamiętać, że decyzja nie dotyczy tylko kanału mailowego czy definiowania “internetu”. Należy ją czytać w szerszym kontekście tzn. jako odnoszącą się do problemu wycofywania zgody, który to proces powinien być równie łatwy jak udzielenie zgody. Czy faktycznie był w przypadku CQN? To jest kluczowe pytanie w tej sprawie.

Zadając to pytanie nie chcemy sugerować, że racja jest po stronie UODO. Powiedzmy raczej, że przed sąd administracyjny trafi ciekawa sprawa, a firma ClickQuickNow raczej łatwo się nie podda. Wynik sporu może w dużej mierze wpłynąć na to, jak będą się w przyszłości kształtować praktyki firm w obszarze obsługi zgód na przetwarzanie danych.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

20 komentarzy

Dodaj komentarz
  1. To moze ktos sie wezmie za “firmy” hostingowe ktore w wieksozci sa tylko firmami z NAzwy.PL musi zrobic porzadek w tej kwesti bo to jest niedopuszczalne co te “firmy” z nazwy wyrabiaja.

  2. Mało, no ale chociaż tyle dobrego, że coś zaboli spamera.

  3. Wreszcie coś normalnego.

  4. A mnie dojechał jakiś spamer tak, że w każdym mailu jest inny nadawca i inny link do wypisania się z listy – każdorazowo domena jest inna. Wypisanie się jest całkowitym fejkiem. Cóż… dostaję w ten sposób średnio maila co minutę, 24/7 ;D

    • Po prostu zmień adres e-mail i po prosblemie jeżeli nie mają reszty danych.

    • Zmiana adresu nie jest rozwiązaniem.
      Filtr spamowy – tak.

      Zwłaszcza, gdy mówimy o adresie we własnej domenie ;)

  5. “Z decyzji wynika też, że spółka ignorowała e-maile wyraźnie świadczące o wycofaniu zgód (zdaniem spółki te e-maile nie identyfikowały dobrze osób i nie dawały wyraźnej informacji o żądaniu)” – z opisu IMHO wynika, że chodziło o puste maile, bez treści. I choć nie podano, co było w temacie, co do zasady w tym akurat punkcie jestem skłonny się że spółka zgodzić: skoro nie wiadomo, o co chodzi, to dlaczego zakładać, że chce akurat usunięcia danych?

    • W sumie to teraz można wysłać do byle jakiej firmy pusty mail i zgłosić to do UODO. Ci zaś i nałożą na nich karę, za to że firma ta otrzymała maila i przetwarzała dane bez zgody nadawcy.

    • Wg mnie UODO stanęło na słusznym stanowisku, że jak dostajesz maila, z którego wiele nie wynika, to odpisujesz i pytasz “ale o co biega?”. Na pewno mogli to za łatwić przy pomocy szablonu lub automatycznej odpowiedzi. A oni zlali temat.

    • Podejrzewam, że firma chciała działać tak jak Facebook lata temu, czyli w żądaniu usunięcia danych wymagali podania więcej danych, żeby wiedzieli że “margerita69@example.com” to meil pana Wacława Iksińskiego urodzonego 1 maja 1973 roku, legitymującego się takim-a-takim dowodem który nie życzy sobie przetwarzania jego danych.

  6. I to jest sensowna kara nałożona na spamerów, bo wycofanie zgody na jakieś subskrypcje czy newslettery poprostu czasem graniczy z cudem.

  7. Z tego co widzę, to wielu spamerów działa po prostu tak, że teoretycznie możesz usunąć swoje dane z bazy jednym kliknięciem, tyle tylko, że następnym razem dostaniesz po prostu maila od “innej” firmy, a jak z niej się usuniesz, to od “jeszcze innej” i tak w koło Macieju.

  8. Te wszystkie “generatory leadów” i inne podobnego typu biznesy przeniosą się na Białoruś i to całe RODO może ich cmoknąć!

  9. Firma, u której przedsiębiorca ma skrzynkę email, również bezpodstawnie “przetwarza dane” osób piszących do ich klienta? (adresy email, a co gorsza jak będzie coś więcej w treści maila!)
    To jest jakaś paranoja, a i tak to całe RODO to w wielu ważnych sprawach fikcja i kolejne narzędzie w rękach złodziei szmalu.

    PS
    Jak mam maila znajonego, a on mojego to musimy podpisać zgody na przetwarzanie danych osobowych?

    • Nie masz pojęcia o czym mówisz (chociażby dlatego, że RODO nie dotyczy przetwarzania danych przez osoby prywatne).

    • Fakt, specjalistą od RODO nie jestem, ale bardziej chciałem podkreślić absurd pewnych kwestii z RODO związanych. Takie trochę może wyolbrzymienie. Może nie do końca wyraźnie to widać, ale ciężko mi ocenić skoro sam to pisałem.

  10. Ciekawe, dobrze, że odwoływanie zgody nie odbywa się przez np. ICQ… – też przez internet.

  11. O to jeszcze by się przydało dobrać do dupy tej firmie (lub firmom), która nagania do odbioru garnków/laptopów/tabletów/wibratorów i Bóg wie czego jeszcze dzwoniąc i każdego dnia podając się za inną firmę. A na prośbę o podanie nazwy firmy i NIPu echo. Zakaz przetwarzania na nich nie działa.

  12. A ja mam takie pytanko, jak zgłaszać naruszenia przetwarzania danych osobowych do UODO?
    Mam problem z firmą IMEN, która mi przysyła spam reklamowy. Napisałem mail-a z pytaniem skąd mają dane, a następnie z żądaniem usunięcia.
    Miało to zająć kilka dni, minął miesiąc a jak spam przychodził, tak przychodzi.

    Może jakiś artykuł jak takie sprawy zgłaszać?

  13. Ja czekam kiedy UODO odważy się dobrać do Google czy Facebooka czy Watsupa itp. Nie używam tego, nie mam tam konta, nie wyrażałem zgody na używanie moich danych… ale, mam znajome, które cykają mi fotki, wpisują dane do książki adresowej i udostępniają aplikacjom. I nie mogę z tych firm usunąć moich danych bez… założenia tam konta, a przecież tam konta zakładać nie chcę!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: