Jakich naruszeń dotyczyła kara?
Na spółkę QuickQuickNow PUODO nałożył 201 tys. zł kary finansowej, na wysokość kary składa się szereg naruszeń związanych w główniej mierze z prawem wysłowionym w art. 17 ust. 1 RODO, czyli z prawem do usunięcia danych (prawo bycia zapomnianym), które w omawianym przypadku dotyczyło błędnie ułożonego procesu wycofania zgody. Osoba, której dane dotyczą miała utrudnioną drogę do wycofania wcześniej udzielonej zgody na przetwarzanie danych osobowych. W pierwszej kolejności stawała w obliczu podania przyczyny wycofania zgody (już w tym miejscu możemy mówić o niezgodnym z prawem ułożeniem procesu wycofania zgody, ponieważ nie ma żadnego przepisu prawa pozwalającego na podawanie powodu wycofania zgody). Co bardziej doniosłe to, że brak podania powodu wycofania zgody, blokował dalszą możliwość jej rzeczywistego odwołania, bądź też pozostawiał mylne przeświadczenie u osoby, której dane dotyczą, mianowicie że udało jej się rzeczywiście wycofać zgodę. W konsekwencji tego osoba, której dane dotyczą miała utrudnioną drogę do wycofania zgody. Okoliczności nałożenia tak wysokiej kary dotyczą również niedochowania jednego z obowiązków administratora z art. 24 ust. 1 RODO, czyli wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem.
Administrator danych osobowych przetwarzając dane musi pamiętać, że jego podstawowym obowiązkiem jest zapewnienie takich środków technicznych, które umożliwią łatwą procedurę pozwalającą na wykonanie prawa do bycia zapomnianym oraz innych praw przysługujących osobie, której dane dotyczą w takim samym stopniu.
Proces wycofania zgody
Większość zgód zbieranych w Internecie może być wyrażona przez zaznaczenie okienka z wyborem (checkbox), co musi mieć ścisłe przełożenie na wycofanie zgody, które zgodnie z RODO powinno być umożliwione przez administratora w podobny, przejrzysty i przyswajalny dla osoby, której dane dotyczą sposób. Jeżeli wyraziliśmy zgodę zaznaczając checkbox to administrator powinien zagwarantować równie łatwy sposób jej wycofania np. umożliwiając skuteczne odznaczenie zgody. W przeciwnym razie dojdzie do naruszenia art. 7 ust. 3 RODO, czyli niedochowania łatwości wycofania zgody, o czym przekonała się spółka w omawianej karze, która nie dochowała obowiązku łatwego wycofania wcześniej udzielonej zgody.
Niedopuszczalne jest wprowadzanie osoby, której dane dotyczą w błąd, utrudnianie wycofania zgody poprzez nakładanie niezgodnych z prawem obowiązków (np. podanie powodu wycofania zgody, który nie jest określony w żadnych przepisach prawa, czy konieczność wysyłania osobnego maila o chęci skorzystania z prawa), czy wprowadzanie zabiegów, które jedynie pozorują wycofanie zgody (pojawiające się sprzeczne informacje, przekierowana na inne strony, niezrozumiałe treści).
Skutki naruszeń praw RODO dających gwarancję dla osób, których dane dotyczą mogą być wyjątkowo dotkliwe. Przekonała się o tym spółka QuickQuickNow, dla której kara wynosi 20% przychodu uzyskanego we wcześniejszym roku obrotowym. To już kolejny sygnał dla administratorów odnośnie typów naruszeń, które są dla UODO szczególnie doniosłe i w konsekwencji przekładają się na wysokie kary.
Respektowanie praw i czynności zaradcze
RODO jest regulacją gwarantującą szereg praw wysłowionych m.in. w art. 15-22 RODO, które mogą zostać wykorzystane w celu zapewnienia ochrony osobie, której dane są przetwarzane. W sytuacji, w której dochodzi do zaburzenia równości praw, łatwości ich dochodzenia, czy w ogóle możliwości ich wykonywania dochodzi do naruszenia przepisów. Naruszenie przepisów bezpośrednio aktualizuje odpowiedzialność administratora czego konsekwencją są wysokie kary finansowe nakładane przez właściwe organy państwowe.
Spółka mogłaby uniknąć kary jeżeli:
- już na początkowym etapie układania procesu zbierania zgód, przeprowadziła konsultację z Kancelarią w zakresie kompatybilności planowanego procesu z RODO (rozróżnienie etapów, właściwa realizacja praw, odpowiednio przygotowane obowiązki informacyjne, przygotowanie ścieżki dla realizacji obowiązków RODO),
- zaplanowałaby proces w konsultacji z Kancelarią dający wzorzec działania dla pracowników działających w sferze marketingowej (która jest pod szczególną kontrolą UODO), zakładający jakie czynności należy podejmować, jak pracować z przepisami,
- przeprowadziłaby profesjonalne szkolenie pod okiem specjalnym w zakresie RODO, które pozwoliłoby zrozumieć sposób działania przepisów,
- przeprowadzona zostałaby analiza ryzyka dla ochrony danych osobowych, która pozwoliłaby wyróżnić właściwe procesy przetwarzania danych osobowych, pozwalając uniknąć niezgodności.
Administrator przetwarzając dane osobowe na podstawie zgody wyrażonej przez osobę, której dane dotyczą powinien zapewnić, aby proces przetwarzania uwzględniał realną i łatwą realizację praw przysługujących osobie wyrażającej zgodę. Łatwość udzielenia zgody pozostaje w równym stopniu w związku z łatwością odwołania zgody, a stosowanie utrudnień związanych z realizacją praw przysługujących zgodnie z RODO może wpłynąć na szereg naruszeń, których konsekwencją są wysokie kary finansowe.