Analiza oświadczenia ClickQuickNow w/s decyzji PUODO

Publikując polemikę ClickQuickNow sp. z o.o. dotyczące wydanej przez Prezesa UODO decyzji (ZSPR.421.7.2019) obiecałem odniesienie się do uwag i zarzutów spółki. Dziś zatem kilka akapitów o tym czy skomplikowana procedura cofnięcia zgody na przetwarzanie danych osobowych może być traktowana jako naruszenie RODO? Dlaczego ClickQuickNow dostało karę za utrudnianie odwołania zgody? Czy można ignorować „puste” wiadomości, co do których wiadomo jaki jest ich cel? Czy kontrahenci spółki będą dotknięci negatywną decyzją PUODO?


ClickQuickNow utrudnianie odwołania zgody

Krótko, w punktach, odnosząc się do poszczególnych elementów oświadczenia ClickQuickNow:

W ramach Decyzji Prezes UODO nie zakwestionował podstaw do przetwarzania oraz zasad i warunków przetwarzania przez Spółkę danych osobowych do działań marketingowych.

  • decyzja wprost mówi o naruszeniu przez spółkę art. 6 ust. 1 rozporządzenia 2016/679, poprzez przetwarzanie bez podstawy prawnej danych osób, które nie są klientami ClickQuickNow Sp. z o.o., a od których ClickQuickNow Sp. z o.o., otrzymała żądania zaprzestania przetwarzania danych osobowych” — wskazanie naruszenie art. 6 ust. 1 RODO oznacza, że zdaniem organu spółka przetwarza zakwestionowane dane zupełnie bez podstawy prawnej (przepis ten określa podstawy prawne przetwarzania danych osobowych);
  • merytorycznie zakwestionowane działania polegały natomiast na utrudnianiu odwołania zgody (poprzez dość skomplikowaną procedurę, która została opisana w decyzji, co samo w sobie uznano za naruszenie art. 17 ust. 1 RODO) — tu związek przyczynowo-skutkowy jest prosty: skoro ktoś chciał odwołać zgodę, ale stawiane utrudnienia mu w tym przeszkodziły, to nie można przyjąć, iżby dane tych osób, które kliknęły „odwołaj zgodę” były nadal przetwarzane w oparciu o jakąkolwiek podstawę prawną (a zwłaszcza o zgodę);
  • co oznacza, że zdanie to po części rozmija się z prawdą: owszem, generalnie podstawy do przetwarzania danych osobowych zakwestionowane nie zostały, z wyjątkiem tych osób, które starały się „wypisać” z bazy ClickQuickNow, w czym spółka pasywnie przeszkodziła.

W ramach Decyzji Prezes UODO nie zakwestionował zasad i warunków, na jakich Spółka przetwarza dane osobowe w związku z działaniami realizowanymi z kontrahentami i klientami Spółki.

  • i znów: generalnie racja — z wyjątkiem właśnie tych osób, którym uniemożliwiono skuteczne odwołanie zgody na przetwarzanie danych osobowych;
  • pamiętajmy bowiem, że jednym z elementów prawa do zapomnienia jest powinność („podejmuje rozsądne działania”) poinformowania administratorów, którym dane upublicznił, o żądaniu usunięcia jej danych osobowych (art. 17 ust. 2 RODO) — ergo jeśli decyzja się uprawomocni, ClickQuickNow będzie musiała przekazać odbiorcom danych (swoim kontrahentom), że z tych akurat danych korzystać już nie mogą.

Decyzja nie wymaga zmiany lub zaprzestania realizacji działań biznesowych z kontrahentami i klientami Spółki, w tym wykorzystywania bazy danych Spółki do działań marketingowych.

  • to prawda, lecz znów: z uwzględnieniem konieczności przekazania hiobowej informacji, że jednak nie będzie można korzystać z danych tych osób, które próbowały odwołać zgodę na przetwarzanie, co się nie udało, bo (cyt. za decyzją) „stosowany przez Spółkę proces odwołania zgody utrudnia, a wręcz uniemożliwia osobie, której dane dotyczą skuteczne skorzystanie z przysługującego jej prawa do odwołania zgody”.

Prezes UODO przyjął za podstawę Decyzji i nałożenia kary pieniężnej dwie okoliczności:
a) Prezes UODO uznał, że wyrażenie zgody na przetwarzanie danych osobowych w formularzu na stronie internetowej wymaga zapewnienia formularza do odwołania tej zgody. Spółka zapewniała zaś możliwość odwołania zgody na powszechnie komunikowany adres e-mail (…) w ocenie Prezesa UODO, odwołanie zgody na przetwarzanie danych osobowych przez wiadomość e-mail nie stanowi odwołania zgody za pomocą Internetu.

  • ta wątpliwość dotyka meritum wątpliwości: czy proces odwołania zgody polegający na tym, że (i) odbiorca listela klika w odnośnik „odwołanie zgody”, po czym (ii) przeniesiony jest na stronę z pytaniami o przyczynę rezygnacji, natomiast po udzieleniu odpowiedzi (iii) trafia na stronę, gdzie jest napisane m.in. „Pani odwołanie zgody dziś […]! Dziękuję za odpowiedź! W takiej sytuacji informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem […], w tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Z mojej strony to wszystko” (ten wielokropek w nawiasie oznacza, że PUODO zanonimizował część informacji wyświetlanej przez ClickQuickNow, w tym adres poczty elektronicznej, na który należy wysłać żądanie) — zaś użytkownik tak czy inaczej musi jeszcze (iv) napisać listel, w którym jeszcze raz objaśni, że chce usunięcia swoich danych osobowych — jest procesem „równie łatwym” jak wyrażenie zgody (klik-klik w formularzu vs. łamigłówka ClickQuickNow vs. art. 7 ust. 3 RODO)?
  • zdaniem PUODO oznacza to, że stosowane przez ClickQuickNow metody na utrudnianie odwołania zgody pozwalają stwierdzić, iż procedura została celowo tak zakręcona, żeby zniecierpliwiony człowiek nie czytał tego elaboratu, co pozwoli na nieusunięcie danych (bo osoba, która nie przeszła całego toru przeszkód nic nie załatwiła);
  • tymczasem sofistyka ClickQuickNow (odwołanie na formularzu vs. odwołanie za pomocą listela) nakazuje sprowadzić to do nielogicznego zdania, że PUODO stwierdził, że „odwołanie zgody na przetwarzanie danych osobowych przez wiadomość e-mail nie stanowi odwołania zgody za pomocą Internetu” (stanowi, ale skoro mowa o „łatwym” i „via formularz”, to nie chodzi o cyrk z zapętlonym formularzem, który na końcu wyświetla adres do wysłania tego listela);
  • w uzasadnieniu decyzji mowa, że spółka ClickQuickNow stwierdziła, że wymyśliła taki schemat ze względu na boty, które wpadną na formularz i poodwołują wszystkie zgody… No ja jestem troszkę nietechniczny, ale kto i po co miałby tak zaprogramować bota, żeby podstawiał w formularzu różne adresy i odwoływał w ich imieniu zgodę na przetwarzane danych osobowych? Konkurencja?

Prezes UODO uznał, że w przypadku, gdy do skrzynki e-mail Spółki trafia korespondencja, która nie pochodzi od klientów Spółki, to rzekomo „Spółka — po ustaleniu, że żadnych informacji o danej osobie Spółka dotychczas nie posiadała — powinna pozyskane dane usunąć z uwagi na brak podstaw prawnych do dalszego ich przetwarzania (przechowywania)”. Oznacza to, w ocenie Prezesa UODO, że w każdej sytuacji, w której na ogólnodostępny adres e-mail przedsiębiorcy trafia korespondencja od nadawcy nieznanego adresatowi, to po stronie adresata (przedsiębiorcy) dochodzi rzekomo do bezpodstawnego przetwarzania danych osobowych nadawcy.

  • tu chyba są pomieszane dwie rzeczy: kwestia tych dwóch portali, które miały wystawić formularze celem ułatwienia ludziom wysyłania oświadczeń o odwołaniu zgód (listele wysyłane przez te portale były „puste”, tj. nie zawierały żadnej treści czy podpisu) z kwestią przetwarzania przez adresata przesłanej korespondencji danych osobowych nadawcy;
  • zaczynając od końca: tego „bezpodstawnego przetwarzania danych osobowych nadawcy” w decyzji nie znalazłem (jest natomiast parę akapitów z których wynika, że ClickQuickNow wiedziała o co chodzi — ba, nawet występowała do portali, żeby zaprzestali takiego DDoS-a (pun intended) — ale nie ma słowa o tym czy doszło przy tym do jakiegoś naruszenia w przetwarzaniu danych osobowych osoby wysyłającej korespondencję (to by było całkiem ciekawe, chociaż zwracam uwagę, że GDPR wprost przewiduje, że dane mogą być przetwarzane nawet bez zgody osoby, a to w celu „ustalenia, dochodzenia lub obrony roszczeń” (art. 18 ust. 2 RODO), co nb. przecież mieści się w „uzasadnionym interesie” administratora);
  • istota problemu leży jednak w czymś innym: otóż zdaniem PUODO skoro spółka miała świadomość, że wiadomości przekazane przez te portale dotyczą odwołania zgód, to nie powinna traktować ich jako „niepoprawnie złożonych wniosków”, lecz albo jako wniosek o cofnięcie zgody (zdaniem PUODO „określenie adresata w taki sposób wskazuje świadome działania nadawcy takiego e-maila, tzn., że odwołuje on zgodę” — co oznacza, że usługodawca powinien dane usunąć) — albo przynajmniej podjąć z tą osobą korespondencję „zapytaniem, czego taki e-mail dotyczy” (ja bym od siebie dodał, że oczywiście cofnięcia zgody domniemywać nie można, ale tu raczej nie było domniemania — no i nie ma obowiązku przetwarzania danych osobowych w celach marketingowych…);
  • no i znów: ignorowanie korespondencji, co do której było wiadomo, czego dotyczy, oznacza po stronie ClickQuickNow utrudnianie odwołania zgody na przetwarzanie danych osobowych — z naruszeniem art. 7 ust. 3 RODO.

Prezes UODO przyjął za podstawę Decyzji okoliczności, których nie stwierdził w ramach kontroli oraz przypisał Spółce odpowiedzialność za działania, które zostały zrealizowane przez podmioty trzecie bez wiedzy oraz zgody Spółki.

  • do tego akurat trudno się odnieść, niemniej jeśli chodzi o to, że ClickQuickNow nie chce ponosić odpowiedzialności za „działania” owych dwóch portali, które zautomatyzowały proces odwoływania zgód (być może dlatego, że spółka nie potrafiła zrobić), to oczywiście jest to pokręcenie z poplątaniem (decyzja nie przypisuje odpowiedzialności za owe „działania”, lecz za zignorowanie otrzymanych oświadczeń woli);
  • a jeśli owe „podmioty trzecie” to „podmioty przetwarzające” (art. 28 RODO), to zwracam uwagę, że jeśli doszło do naruszenia przepisów RODO przez procesora, może on ponosić odpowiedzialność (art. 82 ust. 3-4 RODO), zaś nawet nałożenie kary na administratora nie zwalnia go z takiej odpowiedzialności (art. 82 ust. 5 RODO).

I to by było na tyle, na razie.

subskrybuj
Powiadom o
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

7 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
7
0
komentarze są tam :-)x