KOLEJNA KARA POD REŻIMEM RODO. SPÓŁKA ZAPŁACI 201 TYS. ZŁOTYCH.

Po raz kolejny Prezes Urzędu Ochrony Danych Osobowych skorzystał z uprawnienia przewidzianego przez RODO, jakim jest nałożenie administracyjnej kary pieniężnej na podmiot naruszający treść RODO. Sankcje nałożono na spółkę ClickQuickNow, która oferuje rozwiązania marketingowe.

CO STWIERDZONO W RAMACH KONTROLI?

Urząd Ochrony Danych Osobowych przeprowadził kontrolę spółki w pierwszym kwartale 2019 roku. Jak wskazano w decyzji spółka nie zapewniła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby realizację praw podmiotów danych. W przedmiotowej sprawie organ nadzoru stwierdził naruszenia z zakresie:

  • Znaczące utrudnianie przez spółkę prawa do wycofania zgody na przetwarzanie danych osobowych

RODO przewiduje w swojej treści zasadę, zgodnie z którą wycofanie zgody na przetwarzanie danych osobowych powinno być dla podmiotu tych danych równie łatwe jak jej udzielenie. Ponadto administrator ma obowiązek ułatwiać osobom realizację ich praw (o czym traktuje art. 12 ust. 2 RODO).

W przypadku ClickQuickNow zastosowano rozwiązanie, którego proces realizacji prawa do wycofania zgody polegał nie tylko na konieczności kliknięcia w podany link, ale także uzupełnieniu przyczyny wycofania zgody (czego żadne przepisy nie przewidują). W przypadku braku podania przyczyny cały proces realizacji prawa był przerywany. By zakończyć rzeczony proces koniecznym było wysłanie dodatkowej wiadomości e-mail na dedykowany adres poczty elektronicznej, pomimo faktu, że treść komunikatu przesyłanego osobie fizycznej wskazywała na jego zakończenie.

  • Naruszenie prawa do żądania usunięcia danych osobowych („prawa do bycia zapomnianym”)

Z treści decyzji wynika również, że spółka ignorowała wnioski osób, które nie były jej klientami o usunięcie ich danych osobowych. W związku z tym przetwarzała je nie mając podstawy prawnej, co jest naruszeniem przepisów RODO.

Przy tym zarzucie sama spółka broni się przekonaniem, że tego typu żądania wysyłane przez osoby za pomocą e-maila nie umożliwiały właściwej i pewnej identyfikacji podmiotów.

WYMIAR KARY

Za powyższe stwierdzone naruszenia Prezes UODO nałożył na spółkę karę w wysokości 201 559,50 zł. Ponadto organ nadzoru nakazał dostosowanie procesów realizacji praw osób, których dane są przetwarzane oraz sposobów wycofywania zgód do wymogów zgodnych z RODO.

Warto odnotować, że Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnych okoliczności łagodzących, które mogłyby mieć wpływ na wymiar kary. Uznał też wszystkie wskazane działania ClickQuickNow za umyślne.

PODSUMOWANIE

Kara nałożona decyzją Prezesa UODO jest wyraźnym ostrzeżeniem dla administratorów przetwarzających dane przed traktowaniem ochrony danych osobowych jedynie w kontekście posiadania odpowiedniej dokumentacji czy procedur. Równie ważne jest również odpowiednie dostosowanie procesów, jakie zachodzą w firmie i jakie – w tym wypadku – przybrały postać realizacji praw podmiotów danych.

 

Zgoda na pliki Cookies- wyrok TSUE

 Zapewne każdy z nas podczas przeglądania stron internetowych miał do czynienia z wyskakującymi okienkami informującymi o zbieraniu plików cookies. 1 października został wydany przez TSUE wyrok dotyczący wyrażania zgody na ich instalowanie. Pliki cookies ułatwiają korzystanie z Internetu, ale także stanowią poważne zagrożenie dla naszej prywatności. Zamieszczane w nich dane, na podstawie adresu IP, są wymieniane pomiędzy konkretną stroną internetową a przeglądarką. Dzięki temu strona otrzymuje informacje o urządzeniu, na którym ją otwieraliśmy, a także o czytanych przez nas treściach, oglądanych produktach, liczbie odwiedzin i czasie ich trwania. Te informacje pozwalają na ich wykorzystanie w celach marketingowych, np. na dopasowania oglądanych przez nas treści czy reklam.

              Przedmiotem omawianej sprawy był sposób wyrażenia zgody na instalację owych ciasteczek przez użytkowników, którzy chcieli wziąć udział w loterii organizowanej przez spółkę Planet49. Formularz na stronie spółki zawierał domyślnie zaznaczoną zgodę na instalację plików cookies. Ponadto spółka zbierała i wykorzystywała dane do współpracy z firmą reklamową. Co za tym idzie, osoba, która nie zauważyła zaznaczonego okienka zgody, przypadkowo godziła się na zbieranie dotyczących jej informacji w celu reklamowania produktów przez partnera Planet49. Oprócz tego instalowane w urządzeniach pliki cookies zawierały numer przypisany do danych rejestracyjnych użytkownika, którymi były imię i nazwisko oraz adres podany w formularzu uczestnictwa w loterii. Oznacza to, że powiązanie ze sobą tych dwóch informacji pozwalało na bezpośrednią identyfikację danej osoby, co stanowiło już przetwarzanie danych osobowych, które regulowane jest przez RODO i które w tym celu wymaga zebrania dobrowolnej i konkretnej zgody.

Niemiecki związek organizacji konsumenckich podjął wątpliwości co do legalności działania spółki w omówionym zakresie i wystąpił z pytaniem prejudycjalnym do TSUE, który stwierdził, że:

  • Domyślne zaznaczenie okienka zgody jest niedopuszczalne, a zgoda w ten sposób udzielona jest nieważna,
  • Do stwierdzenia powyższego nie ma znaczenia, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika stanowią dane osobowe,
  • Usługodawca powinien poinformować użytkownika strony internetowej o okresie, przez jaki pliki cookies będą działać, a także wskazać odbiorców, którym zebrane dane zostaną udostępnione.

Podsumowując, niedozwolonym działaniem jest stosowanie domyślnie zaznaczonych checkboxów, tak aby niewyrażenie zgody wiązało się z koniecznością usunięcia zaznaczenia. Internauta musi sam tej zgody udzielić w sposób dobrowolny i konkretny. Trybunał stanął w obronie prywatności użytkowników, wskazując że nie może dojść do sytuacji, w której do ich urządzeń bez ich wiedzy zostaną wprowadzone ukryte identyfikatory lub inne podobne narzędzia. Ponadto usługodawca musi dokładnie poinformować użytkowników w jakim celu pliki cookies są instalowane, jak długo będą działać i kto może mieć do nich dostęp.

 

 

Jakie prawa przysługują osobom, których dane dotyczą?

Realizując przetwarzanie danych osobowych, administrator musi mieć na uwadze, że RODO przyznaje osobom, których dane dotyczą, szereg uprawnień związanych ze sprawowaniem kontroli nad własnymi danymi. Oznacza to, że oprócz zapewnienia bezpieczeństwa danym, administrator jest obowiązany do realizacji praw podmiotów danych. Opieszałość w tej materii może narazić administratora danych na kontrolę organu nadzorczego, a nawet wysokie kary finansowe. Warto wobec tego wiedzieć, jakich działań może domagać się każda osoba, której dane przetwarzamy.

Jakie prawa RODO przyznaje osobie, której dane są przetwarzane?

Prawami jakie przysługują osobom fizycznym są:

  1. prawo dostępu do danych oraz uzyskania ich kopii;

  2. prawo do indywidualnej kontroli;

  3. prawo do sprostowania i uzupełnienia danych;

  4. prawo do usunięcia danych („do bycia zapomnianym”);

  5. prawo do ograniczenia przetwarzania;

  6. prawo do wycofania zgody;

  7. prawo do przenoszenia danych;

  8. prawo sprzeciwu;

  9. prawo do wniesienia skargi do organu nadzorczego.

Prawo dostępu do danych

Jednym z najważniejszych praw przysługujących osobie, której dane są przetwarzane, jest prawo dostępu do nich. Każda osoba fizyczna musi mieć zapewniony dostęp do danych jej dotyczących, które podlegają procesowi przetwarzania. Uprawnienie to powinno być realizowane przez administratora w rozsądnym okresie czasu, tak, by podmiot uprawniony miał świadomość przetwarzania i mógł dokonać oceny zgodności tego przetwarzania z prawem. 

Jeżeli istnieje taka możliwość, administrator powinien umożliwić osobie, której dane dotyczą, zdalny dostęp do wyżej wymienionych informacji. Ponadto osoba taka jest uprawniona do otrzymania bezpłatnej kopii tych danych. Za każdą kolejną kopię, której żąda podmiot danych, administrator może pobrać opłatę w rozsądnej wysokości wynikającą z kosztów administracyjnych. 

Prawo do indywidualnej kontroli

Osoba, której dane dotyczą, powinna mieć możliwość kontroli procesu przetwarzania swoich danych. Podstawą tego uprawnienia jest obowiązek administratora danych osobowych (ADO) do podania informacji o tym, czy dane konkretnej osoby podlegają procesowi przetwarzania w jego organizacji. Jeżeli taka sytuacja ma miejsce, wówczas można wnioskować o udzielenie określonych informacji (np.: o celu przetwarzania danych, okresie ich przetwarzania czy przysługujących prawach).

Prawo do sprostowania i uzupełnienia danych

Osoba uprawniona ma prawo żądania od administratora niezwłocznego sprostowania nieprawidłowych danych, które jej dotyczą. Może ona także uzupełnić dane niekompletne. Należy jednak pamiętać, że uzupełnienie danych powinno być dokonane z uwzględnieniem celów przetwarzania. Oznacza to, że osoba uprawniona nie może żądać dodania informacji, które byłyby nadmierne z punktu widzenia celu przetwarzania. 

Prawo do usunięcia danych („do bycia zapomnianym”)

Osoba, której dane dotyczą, może zażądać od administratora usunięcia jej danych, a ADO ma obowiązek niezwłocznie to działanie wykonać, gdy zostanie spełniona jedna z przesłanek wymienionych w art. 17 RODO. Należą do nich:

  • sytuacja, w której dane osobowe nie są już niezbędne do realizacji celów, dla których zostały pozyskane;

  • cofnięcie zgody na przetwarzanie danych osobowych przez osobę uprawnioną (w sytuacji, gdy była to jedyna podstawa prawna przetwarzania);

  • wniesienie sprzeciwu wobec przetwarzania danych (jeżeli nie występują prawnie uzasadnione przyczyny dalszego przetwarzania);

  • sytuacja, w której dane przetwarzane były niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

  • sytuacja, w której zostały zebrane dane dziecka w związku z bezpośrednim oferowaniem usług społeczeństwa informacyjnego (np. dostęp do gazet on-line).

Prawo do ograniczenia przetwarzania

RODO przyznaje osobie, której dane dotyczą, prawo do żądania ograniczenia przetwarzania danych, gdy:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – dotyczy to okresu, gdy ADO sprawdza poprawność danych;

  • przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

  • administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

  • osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Do metod ograniczenia danych można zaliczyć: przeniesienie na określony czas wybranych danych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do określonych danych, usunięcie danych ze strony internetowej na określony czas oraz powstrzymanie się od wszelkich działań poza przechowywaniem.

Prawo do wycofania zgody

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, o ile oczywiście przetwarzanie odbywa się na jej podstawie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie tej zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę.

Wycofanie zgody musi być równie łatwe jak jej wyrażenie

Prawo do przenoszenia danych

Osoba uprawniona może zażądać od administratora przekazania jej danych w powszechnie używanym formacie nadającym się do odczytu maszynowego. Może ona także uzyskać przeniesienie tych danych przez administratora do innego podmiotu. Z uprawnienia tego mogą skorzystać wyłącznie osoby, których dane przetwarzane są na podstawie zgody, w celu wykonania umowy lub gdy przetwarzanie odbywa się w sposób automatyczny. 

Prawo sprzeciwu

Zgodnie z art. 21 RODO osoba uprawniona, która znajduje się w szczególnej sytuacji, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dokonywanego w ramach zadań wykonywanych w interesie publicznym, związanego ze sprawowaniem władzy publicznej powierzonej ADO lub ze względu na prawnie uzasadnione interesy administratora. 

Ponadto zgodnie z art. 21 ust. 2 RODO osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu danych na potrzeby marketingu bezpośredniego, w tym profilowania. Sprzeciw ten dotyczy danych w zakresie, w jakim przetwarzanie jest związane z takim marketingiem.

Prawo do wniesienia skargi do organu nadzorczego

Każda osoba, której dane są przetwarzane, ma prawo wnieść skargę do organu nadzorczego. W Polsce organem nadzoru jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Z uprawnienia tego można skorzystać w sytuacji, gdy osoba ta podejrzewa, że dane jej dotyczące są przetwarzane niezgodnie z prawem.

Administrator a realizacja uprawnień 

ADO zobowiązany jest nie tylko do realizacji uprawnień przysługujących osobom, których dane są przetwarzane, ale także ma on obowiązek przekazania informacji o podjętych przez niego niezbędnych działaniach w celu wykonania tych uprawnień. Informacje te powinien dostarczyć bez zbędnej zwłoki, najpóźniej w ciągu miesiąca od otrzymania wniosku. W sprawach skomplikowanych termin ten może ulec przedłużeniu o dwa miesiące, jednak w takim przypadku w ciągu miesiąca należy poinformować o przedłużeniu oraz podać przyczynę opóźnienia. 

Jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne, administrator może pobrać rozsądną opłatę za ich spełnienie lub odmówić realizacji roszczenia. ADO musi jednak powiadomić osobę uprawnioną o zaistniałym fakcie i przyczynach niespełnienia żądania. Powinien on także poinformować o możliwości wniesienia skargi do organu nadzorczego oraz o sądowej możliwości dochodzenia ochrony praw.

Kodeks postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej

IAB Polska – Związek Pracodawców Branży Internetowej wystosował projekt Kodeksu postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej. Projekt został przedstawiony do konsultacji publicznych. Należy podkreślić, że jest to jeden z pierwszych projektów kodeksu postepowania i dobrych praktyk, który został stworzony po rozpoczęciu stosowania przepisów RODO w dniu 25 maja 1018 r.

Jak przystąpić do kodeksu?

Projekt stworzony przez IAB Polska stanowi kodeks postępowania w rozumieniu art. 40 RODO, a zatem ma pomóc we właściwym stosowaniu przepisów rozporządzenia z uwzględnieniem specyfiki sektora reklamy internetowej. Po zatwierdzeniu ostatecznej wersji przez PUODO przystąpienie do kodeksu będzie dobrowolne i będzie mógł dokonać go każdy przedsiębiorca działający na terytorium Polski, który jednocześnie jest członkiem IAB Polska. Zgłoszenia będzie można dokonać poprzez złożenie do IAB Polska odpowiedniego oświadczenia, stanowiącego załącznik do kodeksu. Podmioty, które zdecydują się na przystąpienie do kodeksu będą zobowiązane do przestrzegania zawartych w nim postanowień pod groźbą wykluczenia.

Co znajduje się w kodeksie?

Kodeks zaproponowany przez IAB Polska zawiera 6 rozdziałów dotyczących szerokiego spektrum kwestii poruszonych w treści RODO:

  1. Dane osobowe na podstawie RODO;
  2. Określenie roli w procesie przetwarzania: administrator i podmiot przetwarzający;
  3. Podstawy prawne przetwarzania danych osobowych;
  4. Profilowanie;
  5. Obowiązki informacyjne;
  6. Realizacja praw podmiotów danych osobowych.

Ostatni, siódmy rozdział dotyczący przystąpienia do kodeksu i jego stosowania. Autorzy kodeksu postarali się, aby przedstawić kwestie prawne w sposób praktyczny, podając dodatkowo np. odpowiednie technologie, które mogą się w danej sytuacji okazać użyteczne. Oprócz podstawowych kwestii prawnych poruszono także kwestie identyfikacji podmiotów jako administratorów lub procesorów danych osobowych w kontekście plików cookies, relację prawa ochrony danych z prawem telekomunikacyjnym, istotne elementy profilowania. Szeroko został omówiony temat anonimizacji i pseudonimizacji danych. Bardzo dużą uwagę poświęcono plikom cookies w wielopłaszczyznowym ich ujęciu oraz podstawom ich przetwarzania. Początkowa treść każdego z rozdziałów zawiera także „dobre praktyki branżowe”, czyli nieobligatoryjne, lecz warte stosowania zalecenia dla podmiotów z branży reklamy internetowej.

Inne branże powinny wziąć przykład z IAB Polska, ponieważ oprócz niewątpliwej właściwości merytorycznej, projekt kodeksu ma także pionierski charakter w realizacji uprawnień przyznanych przez art. 40 RODO. Wierzymy, że inne branże również dołożą starań i przygotują podobne kodeksy dla swoich sektorów, a Związkowi Pracodawców Branży Internetowej IAB Polska gratulujemy refleksu oraz zaangażowania. Zachęcamy także do zapoznania się z kodeksem.