Wpisy

KOLEJNA KARA POD REŻIMEM RODO. SPÓŁKA ZAPŁACI 201 TYS. ZŁOTYCH.

Po raz kolejny Prezes Urzędu Ochrony Danych Osobowych skorzystał z uprawnienia przewidzianego przez RODO, jakim jest nałożenie administracyjnej kary pieniężnej na podmiot naruszający treść RODO. Sankcje nałożono na spółkę ClickQuickNow, która oferuje rozwiązania marketingowe.

CO STWIERDZONO W RAMACH KONTROLI?

Urząd Ochrony Danych Osobowych przeprowadził kontrolę spółki w pierwszym kwartale 2019 roku. Jak wskazano w decyzji spółka nie zapewniła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby realizację praw podmiotów danych. W przedmiotowej sprawie organ nadzoru stwierdził naruszenia z zakresie:

  • Znaczące utrudnianie przez spółkę prawa do wycofania zgody na przetwarzanie danych osobowych

RODO przewiduje w swojej treści zasadę, zgodnie z którą wycofanie zgody na przetwarzanie danych osobowych powinno być dla podmiotu tych danych równie łatwe jak jej udzielenie. Ponadto administrator ma obowiązek ułatwiać osobom realizację ich praw (o czym traktuje art. 12 ust. 2 RODO).

W przypadku ClickQuickNow zastosowano rozwiązanie, którego proces realizacji prawa do wycofania zgody polegał nie tylko na konieczności kliknięcia w podany link, ale także uzupełnieniu przyczyny wycofania zgody (czego żadne przepisy nie przewidują). W przypadku braku podania przyczyny cały proces realizacji prawa był przerywany. By zakończyć rzeczony proces koniecznym było wysłanie dodatkowej wiadomości e-mail na dedykowany adres poczty elektronicznej, pomimo faktu, że treść komunikatu przesyłanego osobie fizycznej wskazywała na jego zakończenie.

  • Naruszenie prawa do żądania usunięcia danych osobowych („prawa do bycia zapomnianym”)

Z treści decyzji wynika również, że spółka ignorowała wnioski osób, które nie były jej klientami o usunięcie ich danych osobowych. W związku z tym przetwarzała je nie mając podstawy prawnej, co jest naruszeniem przepisów RODO.

Przy tym zarzucie sama spółka broni się przekonaniem, że tego typu żądania wysyłane przez osoby za pomocą e-maila nie umożliwiały właściwej i pewnej identyfikacji podmiotów.

WYMIAR KARY

Za powyższe stwierdzone naruszenia Prezes UODO nałożył na spółkę karę w wysokości 201 559,50 zł. Ponadto organ nadzoru nakazał dostosowanie procesów realizacji praw osób, których dane są przetwarzane oraz sposobów wycofywania zgód do wymogów zgodnych z RODO.

Warto odnotować, że Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnych okoliczności łagodzących, które mogłyby mieć wpływ na wymiar kary. Uznał też wszystkie wskazane działania ClickQuickNow za umyślne.

PODSUMOWANIE

Kara nałożona decyzją Prezesa UODO jest wyraźnym ostrzeżeniem dla administratorów przetwarzających dane przed traktowaniem ochrony danych osobowych jedynie w kontekście posiadania odpowiedniej dokumentacji czy procedur. Równie ważne jest również odpowiednie dostosowanie procesów, jakie zachodzą w firmie i jakie – w tym wypadku – przybrały postać realizacji praw podmiotów danych.

 

Zgoda na pliki Cookies- wyrok TSUE

 Zapewne każdy z nas podczas przeglądania stron internetowych miał do czynienia z wyskakującymi okienkami informującymi o zbieraniu plików cookies. 1 października został wydany przez TSUE wyrok dotyczący wyrażania zgody na ich instalowanie. Pliki cookies ułatwiają korzystanie z Internetu, ale także stanowią poważne zagrożenie dla naszej prywatności. Zamieszczane w nich dane, na podstawie adresu IP, są wymieniane pomiędzy konkretną stroną internetową a przeglądarką. Dzięki temu strona otrzymuje informacje o urządzeniu, na którym ją otwieraliśmy, a także o czytanych przez nas treściach, oglądanych produktach, liczbie odwiedzin i czasie ich trwania. Te informacje pozwalają na ich wykorzystanie w celach marketingowych, np. na dopasowania oglądanych przez nas treści czy reklam.

              Przedmiotem omawianej sprawy był sposób wyrażenia zgody na instalację owych ciasteczek przez użytkowników, którzy chcieli wziąć udział w loterii organizowanej przez spółkę Planet49. Formularz na stronie spółki zawierał domyślnie zaznaczoną zgodę na instalację plików cookies. Ponadto spółka zbierała i wykorzystywała dane do współpracy z firmą reklamową. Co za tym idzie, osoba, która nie zauważyła zaznaczonego okienka zgody, przypadkowo godziła się na zbieranie dotyczących jej informacji w celu reklamowania produktów przez partnera Planet49. Oprócz tego instalowane w urządzeniach pliki cookies zawierały numer przypisany do danych rejestracyjnych użytkownika, którymi były imię i nazwisko oraz adres podany w formularzu uczestnictwa w loterii. Oznacza to, że powiązanie ze sobą tych dwóch informacji pozwalało na bezpośrednią identyfikację danej osoby, co stanowiło już przetwarzanie danych osobowych, które regulowane jest przez RODO i które w tym celu wymaga zebrania dobrowolnej i konkretnej zgody.

Niemiecki związek organizacji konsumenckich podjął wątpliwości co do legalności działania spółki w omówionym zakresie i wystąpił z pytaniem prejudycjalnym do TSUE, który stwierdził, że:

  • Domyślne zaznaczenie okienka zgody jest niedopuszczalne, a zgoda w ten sposób udzielona jest nieważna,
  • Do stwierdzenia powyższego nie ma znaczenia, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika stanowią dane osobowe,
  • Usługodawca powinien poinformować użytkownika strony internetowej o okresie, przez jaki pliki cookies będą działać, a także wskazać odbiorców, którym zebrane dane zostaną udostępnione.

Podsumowując, niedozwolonym działaniem jest stosowanie domyślnie zaznaczonych checkboxów, tak aby niewyrażenie zgody wiązało się z koniecznością usunięcia zaznaczenia. Internauta musi sam tej zgody udzielić w sposób dobrowolny i konkretny. Trybunał stanął w obronie prywatności użytkowników, wskazując że nie może dojść do sytuacji, w której do ich urządzeń bez ich wiedzy zostaną wprowadzone ukryte identyfikatory lub inne podobne narzędzia. Ponadto usługodawca musi dokładnie poinformować użytkowników w jakim celu pliki cookies są instalowane, jak długo będą działać i kto może mieć do nich dostęp.

 

 

Kodeks postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej

IAB Polska – Związek Pracodawców Branży Internetowej wystosował projekt Kodeksu postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej. Projekt został przedstawiony do konsultacji publicznych. Należy podkreślić, że jest to jeden z pierwszych projektów kodeksu postepowania i dobrych praktyk, który został stworzony po rozpoczęciu stosowania przepisów RODO w dniu 25 maja 1018 r.

Jak przystąpić do kodeksu?

Projekt stworzony przez IAB Polska stanowi kodeks postępowania w rozumieniu art. 40 RODO, a zatem ma pomóc we właściwym stosowaniu przepisów rozporządzenia z uwzględnieniem specyfiki sektora reklamy internetowej. Po zatwierdzeniu ostatecznej wersji przez PUODO przystąpienie do kodeksu będzie dobrowolne i będzie mógł dokonać go każdy przedsiębiorca działający na terytorium Polski, który jednocześnie jest członkiem IAB Polska. Zgłoszenia będzie można dokonać poprzez złożenie do IAB Polska odpowiedniego oświadczenia, stanowiącego załącznik do kodeksu. Podmioty, które zdecydują się na przystąpienie do kodeksu będą zobowiązane do przestrzegania zawartych w nim postanowień pod groźbą wykluczenia.

Co znajduje się w kodeksie?

Kodeks zaproponowany przez IAB Polska zawiera 6 rozdziałów dotyczących szerokiego spektrum kwestii poruszonych w treści RODO:

  1. Dane osobowe na podstawie RODO;
  2. Określenie roli w procesie przetwarzania: administrator i podmiot przetwarzający;
  3. Podstawy prawne przetwarzania danych osobowych;
  4. Profilowanie;
  5. Obowiązki informacyjne;
  6. Realizacja praw podmiotów danych osobowych.

Ostatni, siódmy rozdział dotyczący przystąpienia do kodeksu i jego stosowania. Autorzy kodeksu postarali się, aby przedstawić kwestie prawne w sposób praktyczny, podając dodatkowo np. odpowiednie technologie, które mogą się w danej sytuacji okazać użyteczne. Oprócz podstawowych kwestii prawnych poruszono także kwestie identyfikacji podmiotów jako administratorów lub procesorów danych osobowych w kontekście plików cookies, relację prawa ochrony danych z prawem telekomunikacyjnym, istotne elementy profilowania. Szeroko został omówiony temat anonimizacji i pseudonimizacji danych. Bardzo dużą uwagę poświęcono plikom cookies w wielopłaszczyznowym ich ujęciu oraz podstawom ich przetwarzania. Początkowa treść każdego z rozdziałów zawiera także „dobre praktyki branżowe”, czyli nieobligatoryjne, lecz warte stosowania zalecenia dla podmiotów z branży reklamy internetowej.

Inne branże powinny wziąć przykład z IAB Polska, ponieważ oprócz niewątpliwej właściwości merytorycznej, projekt kodeksu ma także pionierski charakter w realizacji uprawnień przyznanych przez art. 40 RODO. Wierzymy, że inne branże również dołożą starań i przygotują podobne kodeksy dla swoich sektorów, a Związkowi Pracodawców Branży Internetowej IAB Polska gratulujemy refleksu oraz zaangażowania. Zachęcamy także do zapoznania się z kodeksem.