Dlaczego ClickQuickNow dostało karę za naruszenie RODO?

Wczorajsza decyzja w sprawie nałożenia kary za przetwarzanie danych osobowych przez ClickQuickNow poruszyła co najmniej część internetów (chyba najbardziej rozbawiły mnie komentarze w guście „polegli na tym, co jest standardem w branży”) — zatem mamy chyba dobry moment na kilka akapitów analizy uchybień jakich zdaniem Prezesa Urzędu Ochrony Danych Osobowych dopuściła się spółka (decyzja PUODO z 16 października 2019 r., ZSPR.421.7.2019).


kara przetwarzanie danych osobowych ClickQuickNow


Decyzja dotyczy znanego i lubianego podmiotu ClickQuickNow Sp. z o.o. zajmującego się dość specyficznie pojętym pozyskiwaniem danych internautów na cele marketingowe (98% przetwarzanych danych osobowych pochodziło z „konkursów”, dane z formularzy (opatrzonych kompletem zgód) były przekazywane do partnerów spółki, którzy korzystali we własnych kampaniach sprzedażowych).

Zdaniem Prezesa UODO w procesie przetwarzania danych osobowych administrator dopuścił się naruszenia części zasad, m.in.:

  • kliknięcie w link „odwołaj zgodę” nie traktowano jako odwołania zgody — co uznano za niezapewnienie możliwości łatwego skorzystania z uprawnienia do wycofania zgody na przetwarzanie danych osobowych (art. 7 ust. 3 RODO i art. 12 ust. 1 RODO);
  • proces odwołania zgody był trudny do przejścia, bo po kliknięciu w link użytkownik był najpierw pytany o przyczynę („A. otrzymuję reklamy, które mnie nie interesują”, „B: otrzymuję reklamy za często”), po czym wyświetlano mu dodatkową informację („Pani odwołanie zgody dziś […]’. Dziękuję za odpowiedź! W takiej sytuacji informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem […], w tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (…)”), a następnie i tak wymagano wysłania listela z takim żądaniem — co naruszało prawo do bycia zapomnianym (art. 17 ust. 1 lit. b RODO);
  • informacje prezentowane osobom zamierzającym cofnąć zgodę były nieprzejrzyste i sprzeczne (naruszenie art. 5 ust. 1 lit. a RODO).
art. 7 ust. 3 RODO
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

W ocenie ClickQuickNow zarzuty były nietrafne, a to dlatego, że (argumenty były bardzo liczne, wyłuskałem te najciekawsze):

  • procedura polegająca na kliknięciu w link, odpowiedzi na pytanie oraz konieczności wysłania odrębnego żądania nie może być traktowana jako bardziej skomplikowana niż proces pozyskania zgody — bo „dwustopniowe dojście” do adresu, na jaki należy wysyłać żądania jest ponadstandardowym środkiem technicznym i organizacyjnym (art. 24 ust. 1 RODO);
  • przetwarzanie odpowiedzi na pytanie o przyczynę rezygnacji jest dopuszczalne jako polegające na uzasadnionym interesie administratora (jeśli użytkownik się rozmyśli i zgody nie odwoła — w przeciwnym razie kasowane były wszystkie dane);
  • umożliwienie odwołania zgody tylko przez samo kliknięcie w odnośnik mogłoby prowadzić do przypadkowych, omyłkowych działań użytkowników lub przez boty (tu argumentem było stosowanie mechanizmu captcha w serwisie Krajowego Rejestru Sądowego, który także chroni usługodawcę przed botami);
  • zaś samo kliknięcie w link pt. „odwołanie zgody” nie może być traktowany jako odwołanie zgody;
  • ClickQuickNow wie, że w dwóch portalach są formularze ułatwiające wysłanie wiadomości z żądaniem zaprzestania przetwarzania danych osobowych — ale nie dość, że otrzymywane stamtąd wiadomości były puste (a pusta wiadomość nie jest oświadczeniem woli, a skoro nie można domniemywać zgody, to nie można także domniemywać odwołania zgody), to w dodatku „duża skala zjawiska” oznacza, że działanie było „systemowe lub przypadkowe”; spółka interweniowała u tych podmiotów, ale bezskutecznie.
art. 12 ust. 2 RODO
Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22. W przypadkach, o których mowa w art. 11 ust. 2, administrator nie odmawia podjęcia działań na żądanie osoby której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 15-22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.

Urząd nie uwzględnił tych argumentów, zaś w wydanej decyzji nakazał dostosowanie sposobu przetwarzania danych osobowych poprzez zmodyfikowanie procesu obsługi wniosków o odwołanie zgody na przetwarzanie, usunięcie danych osób, które tego zażądałby — a także nałożył na ClickQuickNow karę pieniężną w wysokości 201 tys. złotych (47 tys. euro).

Zdaniem UODO spółka nie stosuje się do zasad, które sama opracowała — kliknięcie w link, który ma służyć do cofnięcia zgody, nie skutkuje odwołaniem zgody na przetwarzanie danych osobowych, zaś wyświetlane komunikaty na tyle wprowadzają w błąd użytkowników, że odwołanie zgody nie jest skuteczne. Tymczasem uzależnienie uzasadnienia żądania jest pozbawione podstawy prawnej, zwłaszcza jeśli brak odpowiedzi przerywa proces, przez co nie dochodzi do skutecznego odwołania zgody na przetwarzanie danych osobowych. Zamiast tego klient otrzymuje kolejną litanię oświadczenia, aby zostać pouczonym, że i tak musi wysłać odrębną wiadomość do administratora — zaś zgodnie z art. 7 ust. 3 RODO odwołanie zgody powinno być równie łatwe, jak jej wyrażenie. ClickQuickNow pośrednio sama potwierdziła to, że proces może być bezskuteczny — wskazując, że jeśli użytkownik się rozmyśli, jego dane osobowe będą nadal przetwarzane.
Zastosowanie takich rozwiązań narusza zasadę przejrzystości i rzetelności — obowiązkiem administratora jest ułatwienie wykonania praw wynikających z RODO (art. 12 ust. 2 RODO), zamiast tego użytkownikom wysyłano odpowiedź, która w pierwszych słowach sugerowała, że zgoda została odwołana, aby następnie informować, że i tak konieczne jest wysłanie dodatkowego żądania…

Sumarycznie prowadzi to do konkluzji, że administrator nie opracował i nie wdrożył wymaganych środków technicznych i organizacyjnych, które umożliwiłyby użytkownikom uzyskanie jasnej i zrozumiałej informacji dotyczącej procedury cofnięcia zgody na przetwarzanie danych osobowych (art. 24 ust. 1 RODO). Stosowane przez ClickQuickNow rozwiązania są nieskuteczne, czego dowodzi choćby fakt, że nikt nie odpowiadał na „puste” wiadomości, co do których od wielu miesięcy było wiadomo jakie jest ich źródło i cel.
Co więcej dane osób, które złożyły oświadczenie o żądaniu zaprzestania przetwarzania danych osobowych były nadal przetwarzane — ClickQuickNow twierdziła wprawdzie, iż wyłącznie w celu prowadzenia korespondencji, co jednak okazało się nieprawdą (bo żadnej korespondencji nie prowadzono). 

Biorąc pod uwagę rodzaj i skalę naruszeń PUODO stwierdził, iż naruszenia, których dopuściła się spółka ClickQuickNow miały charakter umyślny — już choćby przez to, że nie stosowano się do własnych procedur, a także wymuszano udzielanie odpowiedzi, po rygorem nieuwzględnienia odwołania zgody. Biorąc natomiast pod uwagę, że sposób wyrażenia zgody jest prosty i łatwy (zwykły „checkbox” na formularzu konkursowym, równie proste i łatwe powinno być jej cofnięcie.

Wnioski na przyszłość (pewnych ocen nie zmieniam od wielu, wielu lat):

  • nie upieraj się przy przetwarzaniu danych osobowych, jeśli nie jest to naprawdę niezbędne — usuwaj, nie prowadź zbytecznych polemik, nie chowaj głowy w piasek, nie piętrz trudności;
  • jako cofnięcie zgody traktuj każdą wypowiedź, która raczej wyraża désintéressement (także wszystkie „wyp!”, „odp!”, etc.,etc.);
  • z dużą ostrożnością podchodź do uzasadnionego interesu administratora jako podstawy przetwarzania danych osobowych (nie każdy pomysł na biznes jest owym uzasadnionym interesem).

Q.E.D.

PS opublikowałem także przesłane przez ClickQuickNow sp. z o.o. oświadczenie dotyczące do decyzji Prezesa UODO.

4
Dodaj komentarz

avatar
2 Comment threads
2 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
RYBY
Gość
RYBY

Zgadzam się z końcowymi wnioskami.
Szkoda, że kary nie wpływają na zmiany u osób, których dane wyciekły.
Sam dostaję codziennie kilka idiotycznych spamów po wycieku adresów z morele.net

b52t
Gość
b52t

Bardzo słuszne wnioski.

Ostatnio byłem celem z wycieku skądś (bo nie byłem nigdy klientem morele.net i ich innych sklepów), a był mój PESEL, teraz próbuję dochodzić gdzie jest źródło.
W tym celu zapytałem ex-bank (którego usługi RedNacz reklamuje), o to komu i co podawał. Niestety, bank ten odmówił. To znaczy podano, że mogę sobie w placówce złożyć wniosek, ale nie bardzo to przyjmuję, skoro przez lata przesyłała via e-mail moje grubsze dane, niż dane podmiotów wpisanych do publicznych rejestrów. Jako nagrodę załatwiłem im audyt od Jana Nowaka.