Decyzja
ZSPR.421.7.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 7 ust 1 i ust. 2, art. 60, art. 101, art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) w związku z art. 5 ust. 1 lit. a, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b, art. 24 ust 1, art. 58 ust. 2 lit. d oraz lit. i, a także w związku z art. 83 ust. 3, art. 83 ust. 5 lit. a oraz lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez ClickQuickNow Sp. z o.o. z siedzibą w Warszawie
I. stwierdzając naruszenie przez ClickQuickNow Sp. z o.o. z siedzibą w Warszawie, przepisów:
a) art. 5 ust 1 lit. a w zw. z art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej „rozporządzeniem 2016/679”, tj. zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych, oraz art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b i art. 24 ust. 1 rozporządzenia 2016/679, poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie swoich danych osobowych oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym),
b) art. 5 ust 1 lit. a w zw. z art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady zgodności z prawem, oraz art. 6 ust. 1 rozporządzenia 2016/679, poprzez przetwarzanie bez podstawy prawnej danych osób, które nie są klientami ClickQuickNow Sp. z o.o., a od których ClickQuickNow Sp. z o.o., otrzymała żądania zaprzestania przetwarzania danych osobowych,
nakazuje ClickQuickNow Sp. z o.o. z siedzibą w Warszawie, dostosowanie przetwarzania danych osobowych do przepisów rozporządzenia 2016/679, w terminie 14 dni, od dnia doręczenia niniejszej decyzji, poprzez:
1) zmodyfikowanie procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych, w taki sposób, by osoby, których dane dotyczą mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia zapomnianym,
2) usunięcie danych osobowych osób, które nie są klientami ClickQuickNow Sp. z o.o., a od których ClickQuickNow Sp. z o.o., otrzymała żądanie zaprzestania przetwarzania danych osobowych.
II. za naruszenie przepisów art. 5 ust 1 lit. a, art. 6 ust. 1, art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b oraz art. 24 ust. 1 rozporządzenia 2016/679 nakłada na ClickQuickNow Sp. z o.o. z siedzibą w Warszawie, karę pieniężną w kwocie 201 559,50 PLN (dwieście jeden tysięcy pięćset pięćdziesiąt dziewięć złotych 50/100), co stanowi równowartość 47. 000 EUR, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.
UZASADNIENIE
W dniach […] lutego 2019 r. na podstawie art. 78 ust. 1, art. 79 ust. 1 pkt 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 z późn. zm.) w zw. z art. 57 ust. 1 lit. a oraz h, art. 58 ust. 1 lit. b, e oraz f rozporządzenia 2016/679, w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, dokonano czynności kontrolnych w ClickQuickNow Sp. z o.o. z siedzibą w Warszawie (zwanej dalej także „Spółką”).
Zakresem kontroli objęto przetwarzanie przez Spółkę danych osobowych, z wyłączeniem danych dotyczących osób zatrudnionych.
W toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia oraz skontrolowano system informatyczny. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Prezesa Zarządu Spółki.
Z informacji zawartych w KRS wynika, że przedmiotem prowadzonej przez Spółkę działalności gospodarczej jest przetwarzanie danych, zarządzanie stronami internetowymi (hosting) i podobna działalność; działalność agencji reklamowych; działalność centrów telefonicznych; pozostałe doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania oraz działalność portali internetowych.
Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegają na:
1. Niezapewnieniu osobom, których dane dotyczą łatwego skorzystania z ich uprawnienia w zakresie wycofania zgody na przetwarzanie ich danych osobowych (naruszenie art. 7 ust. 3 oraz art. 12 ust. 1 rozporządzenia 2016/679).
2. Naruszeniu zasad przejrzystości i rzetelności w procesie odwołania zgody, poprzez kierowanie do osób, których dane dotyczą sprzecznych ze sobą komunikatów, co skutkuje tym, że osoba odwołująca zgodę wprowadzana jest w błąd i nie może odwołać zgody (naruszenie art. 5 ust. 1 lit. a rozporządzenia 2016/679).
3. Naruszeniu prawa do usunięcia danych (prawo do bycia zapomnianym), poprzez stosowanie procesu odwołania zgody, który utrudnia skuteczne odwołanie zgody – naruszenie art. 17 ust. 1 lit. b rozporządzenia 2016/679.
4. Przetwarzaniu bez podstawy prawnej danych osób, które nie są klientami Spółki (naruszenie art. 6 ust. 1 rozporządzenia 2016/679 oraz naruszenie zasady zgodności przetwarzania z prawem, o której mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679).
5. Niezastosowaniu odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (naruszenie art. 24 ust 1 rozporządzenia 2016/679).
W związku z powyższym, pismem znak: ZSPR.421.7.2019.[…] Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień, w celu wyjaśnienia okoliczności sprawy.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Pełnomocnik Spółki (pełnomocnictwo w aktach sprawy) pismem z dnia […] lipca 2019 r. złożył wyjaśnienia, w których wskazał m.in., że:
1. Stanowisko Prezesa Urzędu Ochrony Danych Osobowych w zakresie zastrzeżeń odnoszących się do procesu przetwarzania danych osobowych zawartych w zawiadomieniu o wszczęciu postępowania odbiega od ustaleń zawartych w protokole kontroli i w związku z tym prowadzone postępowanie powinno zakończyć się stwierdzeniem, że Spółka nie uchybiła przepisom prawa o ochronie danych osobowych.
2. Spółka nie zgadza się z zarzutem, że w procesie odwołania zgody na przetwarzanie danych osobowych uniemożliwia lub utrudnia osobom, których dane dotyczą skorzystanie z uprawnień, o których mowa art. 17 ust. 1 lit. b rozporządzenia 2016/679.
3. Spółka pozostawia bez rozpatrzenia tzw. „[…] e-maile” (które nie zawierają żadnej treści, poza adresem e-mail nadawcy, daty i godziny wysłania oraz wskazanie adresata: […]. Wiadomości tego typu nie uznaje jako wniosków o odwołanie zgody, ani też jako innej korespondencji w sprawie (np. niekompletnych wniosków o odwołanie zgody).
4. Spółka nie zgadza się ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, że „[…] email” przesłany na adres: […], jest niekompletnym wnioskiem o odwołanie zgody na przetwarzanie danych osobowych. W ocenie Spółki taki e-mail może stanowić np. niekompletny wniosek o sprostowanie danych lub niekompletny wniosek o informację o przetwarzaniu danych.
5. Przyjęcie koncepcji kwalifikacji prawnej pustych wiadomości e-mail jako oświadczeń woli o skorzystaniu z określonego uprawnienia nadawcy takiego „listu”, w ocenie Spółki, nie znajduje oparcia w przepisach rozporządzenia 2016/679 oraz w zasadach wykładni oświadczeń woli ujętych w rozporządzeniu 2016/679 (zakaz domniemywania oświadczeń osoby, której dane dotyczą). W związku z powyższym w uznaniu Spółki „[…] e-maile” nie są uznawane przez Spółkę jako korespondencja w sprawie.
6. W ocenie Spółki w zawiadomieniu o wszczęciu postępowania pominięto istotną okoliczność odnotowaną w protokole kontroli, z której wynika, że przedmiotowe „[…] e-maile” pochodzą masowo z dwóch serwisów internetowych – […] oraz […], które wprowadziły po swojej stronie mechanizmy zautomatyzowanego wywoływania wiadomości e-mail kierowanych na adres Spółki.
7. W ocenie Spółki duża skala tego zjawiska, pozwala uznać, że „[…] e-maile” świadczą o systemowym lub przypadkowym działaniu użytkowników portali. Zasady doświadczenia życiowego wskazują, że osoby korzystające świadomie z poczty elektronicznej nie wysyłają do adresatów korespondencji niezawierającej treści.
8. Uwzględniając potencjalne ryzyka - związane z przyjętymi po stronie podmiotów trzecich serwisów internetowych świadczących usługi poczty elektronicznej na rzecz internautów i nieuzgodnionymi ze Spółką mechanizmami automatyzacji, które powodują napływ „[…] korespondencji” do Spółki - Spółka interweniowała u podmiotów prowadzących te serwisy celem wyeliminowania tego zjawiska. Na okoliczność potwierdzenia prowadzenia korespondencji w tej sprawie, do pisma stanowiącego odpowiedź na zawiadomienie o wszczęciu postępowania, zostały załączone wydruki korespondencji e-mail.
9. Spółka uznaje, że skoro nie powinno się zbierać domniemanej zgody na przetwarzanie danych, to również nie powinno się usuwać danych na podstawie domniemanego żądania, ani też domagać się by żądanie zostało określone.
10. W ocenie Spółki proces, w którym kliknięcie w link zamieszczony w treści wiadomości reklamowej, przekierowuje użytkownika do dwóch stron internetowych - do pierwszej, na której użytkownik jest pytany o przyczynę odwołania swojej zgody oraz do drugiej strony, na której informowany jest o sposobie jej odwołania - nie uchybia obowiązkom w zakresie łatwego odwołania zgody, ponieważ: cyt. „na drugiej stronie internetowej (po odpowiedzi na pytanie o przyczynę potencjalnej rezygnacji) użytkownikowi wyświetla się komunikat o sposobie odwołania zgody (zgłoszenie żądanie na adres e-mail)”. Na tej podstawie Spółka uznaje, że sposób odwołania zgody nie jest mniej skomplikowany niż proces, w trakcie którego zgoda była pozyskana.
11. W ocenie Spółki niezasadny jest również zarzut, że Spółka bez podstawy prawnej pozyskuje dodatkowe informacje od osób składających wniosek o odwołanie zgody w zakresie konieczności podania przyczyny jej odwołania. Spółka potwierdza, że zapytanie o przyczynę rezygnacji z dalszego przetwarzania danych należy uznać jako zbieranie przez Spółkę dodatkowej danej, która w przypadku uznania, że odwołanie zgody byłoby skuteczne i tak zostałaby usunięta. Natomiast w przypadku jeżeli odwołanie zgody nie doszłoby do skutku, to pozyskana informacja przetwarzana byłaby przez Spółkę na podstawie art. 6 ust. 1 lit. f rozporządzenia 2016/679, tj. na podstawie prawnie uzasadnionego interesu administratora.
12. Odnosząc się do treści komunikatu: „Pani odwołanie zgody dziś […]'. Dziękuję za odpowiedź! W takiej sytuacji informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem […], w tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. (...)", który wyświetla się użytkownikowi dopiero po udzieleniu odpowiedzi na pytanie o przyczynę rezygnacji, wskazano, że po otrzymaniu zawiadomienia o wszczęciu postępowania ze strony internetowej został usunięty komunikat zawierający zapis „Pani odwołanie zgody dziś […]". Z przekazanych informacji wynika również, że w miejsce tego komunikatu zostanie zamieszczony komunikat następującej treści „Informacja o sposobie odwołania Pani zgody”.
13. Spółka wyjaśniając kwestię, dlaczego nie stosuje modelu odwołania zgody wyłącznie poprzez jednorazowe kliknięcie w link wiadomości e-mail (zawierającej link „odwołanie zgody”) wskazuje, że zastosowanie takiego modelu mogłoby skutkować tym, że żądanie w tym zakresie mogłoby być składane nieświadomie (omyłkowo przez przypadkowe kliknięcie) oraz przez osobę nieuprawnioną lub składane przez tzw. „boty” - zautomatyzowane oprogramowanie internetowe, które bez wiedzy właściciela konta poczty elektronicznej może aktywować linki znajdujące się w treści korespondencji e-mail. Wskazano, że podobne rozwiązania stosuje się także w sektorze administracji publicznej i jako przykład wskazał, że na stronie Ministerstwa Sprawiedliwości stosuje się mechanizm tzw. captcha, który ma zapobiegać wypełnianiu formularzy i pobieraniu danych ze stron tego Ministerstwa przez tzw. boty. Jako dowód załączony został do odpowiedzi na zawiadomienie zrzut ekranu z wyszukiwarki KRS, który w ocenie Spółki potwierdza okoliczność stosowania w Internecie rozwiązań zapobiegających wykorzystywaniu formularzy i adresów e-mail udostępnianych w Internecie przez tzw. boty (roboty].
14. Spółka uważa, że Prezes Urzędu Ochrony Danych Osobowych błędnie zakłada, że samo kliknięcie w link „odwołanie zgody" zawarty w wiadomości marketingowej, powinno być uznane przez Spółkę jako złożenie oświadczenia woli o odwołaniu zgody. Tak nie jest albowiem w polu, gdzie zamieszczony jest ww. link znajdują się również inne informacje dotyczące różnych uprawnień związanych z przetwarzaniem danych osobowych.
15. Spółka nie zgadza się z zarzutem, że przy realizacji obowiązku informacyjnego za każdym razem w sposób odmienny odnosi się do tych samych kwestii i wskazuje różne sposoby i możliwości złożenia przez osoby, których dane dotyczą oświadczeń o odwołaniu zgody na przetwarzanie danych osobowych, co powoduje, że osoby te nie mogą skutecznie odwołać swojej zgody.
16. W zakresie informacji o sposobie odwołania zgody na przetwarzanie danych, Spółka niezmiennie i konsekwentnie (na gruncie aktualnego i poprzedniego stanu prawnego) informuje, że osoba, której dane dotyczą, może zgłosić żądanie pocztą tradycyjną na adres siedziby Spółki lub drogą elektroniczną na adres e-mail Spółki. Okoliczność, że Spółka po rozpoczęciu stosowania rozporządzenia 2016/679 (tj. w dniu […] czerwca 2018 r.), wskazała dodatkowy adres e-mail na złożenie żądań należy ocenić jako rozszerzenie uprawnień osób, których dane dotyczą. Nie jest zgodne zatem ze zgromadzonym materiałem dowodowym twierdzenie, że Spółka wskazuje różne sposoby i możliwości odwołania zgody na przetwarzanie danych osobowych - zawsze jest to zarówno korespondencja pisemna kierowana na adres siedziby Spółki oraz korespondencja e mail kierowana na adres poczty elektronicznej Spółki.
17. Spółka podkreśla, że nie jest zgodny z zebranym materiałem dowodowym w sprawie zarzut, że Spółka w dokumencie o nazwie „Informacja dla Państwa o przetwarzaniu danych osobowych przez […]” nie wskazała adresu e-mail, na który osoba, której dane dotyczą, mogłaby skutecznie złożyć oświadczenie o wycofaniu zgody na przetwarzanie danych osobowych. W pkt 1 ww. dokumentu poza wskazaniem adresu siedziby Spółki, w kolejnym akapicie wskazany został bowiem adres e-mail tj. […].
18.Odnośnie komunikatu następującej treści: „Pani odwołanie zgody dziś […]! Dziękuję za odpowiedź!" oraz zapis następującej treści: „informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem […] wskazano, że informacja tej treści wyświetlana jest na skutek kliknięcia w link zawarty w informacji marketingowej. Natomiast komunikat, ten nie jest przesyłany na adres e-mail, z którego nadeszła informacja o wycofaniu zgody. Ponadto, Organ bezpodstawnie uznaje, że kliknięcie w przedmiotowy link oznacza oświadczenie użytkownika o odwołaniu zgody na przetwarzanie danych osobowych. Informacja towarzysząca temu linkowi nie wskazuje na taką konsekwencję kliknięcia, podobnie jak nie wskazuje takiej konsekwencji żaden z dokumentów informacyjnych Spółki. Przyczyny przyjęcia dwustopniowego procesu dojścia do informacji o sposobie odwołania zgody, wynika z potrzeby ochrony przed oprogramowaniem internetowym wykonującym bez wiedzy i woli właściciela skrzynki pocztowej przypadkowych kliknięć.
19. Zdaniem Spółki w zawiadomieniu o wszczęciu postępowania nie wyjaśniono, w jaki sposób powyższy proces informowania o przysługujących użytkownikowi uprawnieniach dotyczących danych osobowych, stanowi rzekomo o nieopracowaniu odpowiednich środków technicznych i organizacyjnych w rozumieniu art. 24 ust. 1 rozporządzenia 2016/679. Organ nie przedstawia wykładni tego przepisu prawa i nie odnosi go do stanu faktycznego i zgromadzonego materiału dowodowego, co jest wymagane zwłaszcza w sytuacji, gdy zawarta na s. 9 Zawiadomienia argumentacja de facto odnosi się do wymogu zapewnienia łatwego sposobu wyrażenia zgody (art. 7 ust. 3 rozporządzenia 2016/679), a nie do obowiązku zawartego w art. 24 ust. 1 rozporządzenia 2016/679.
20. Opracowany przez Spółkę sposób informowania o odwołaniu zgody w każdej przesyłce reklamowej, zawierający dwustopniowe dojście do adresu e-mail, na który można przesłać żądanie, oznacza zastosowanie przez Spółkę ponadstandardowych środków technicznych i organizacyjnych w rozumieniu art. 24 ust. 1 rozporządzenia 2016/679.
21. W zakresie zastrzeżenia dotyczącego przetwarzania przez Spółkę danych bez podstawy prawnej, w przypadku danych otrzymanych od osób, które nie są jej klientami, a których dane Spółka pozyskuje w korespondencji otrzymywanej za pośrednictwem adresu poczty elektronicznej: […], wskazano, że Spółka nie zgadza się z tym zarzutem, albowiem Spółka (tak jak i inne podmioty, które publikują swoje adresy e-mail w Internecie), nie ma wpływu na to, kto i w jakim celu na adres e-mail przekaże jej swoje dane. Przedmiotowe dane, Spółka przetwarza jedynie w celu obsługi korespondencji, natomiast danych tych nie przetwarza w żadnych innych celach (np. w celach marketingowych).
Do pisma stanowiącego odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego, załączono sprawozdanie finansowe za okres od 1 stycznia 2017 r. do 31 grudnia 2017 r., z którego wynika, że wysokość przychodów netto ze sprzedaży i zrównanych z nimi wynosi: […] PLN oraz sprawozdanie finansowe za rok obrotowy od 1 stycznia 2018 r. do 31 grudnia 2018 r., z którego wynika, że wysokość przychodów netto ze sprzedaży i zrównanych z nimi wynosi: […] PLN.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
I. Z zebranego w sprawie materiału dowodowego wynika, że: Spółka od 2012 r. posiada własną bazę danych, w której na dzień 31 stycznia 2019 r. przetwarzała dane osobowe […] osób. W 98 % dane te zostały pozyskane od uczestników konkursu o nazwie […]”.
Wszystkie dane osobowe do bazy Spółki pozyskane zostały drogą elektroniczną za pomocą formularzy rejestracyjnych. Do wszystkich konkursów stosowany był taki sam wzór formularza.
W trakcie wypełniania formularza rejestracyjnego użytkownik wyrażał następujące zgody: 1) zgodę na przetwarzanie danych osobowych przez […]. w celach marketingowych podmiotów trzecich również w przyszłości; 2) zgodę na udostępnianie danych kontrahentom ClickQuickNow Sp. z o.o. w celach marketingowych; 3) zgodę na przekazywanie informacji handlowych drogą elektroniczną przez ClickQuickNow Sp. z o.o., w tym na zlecenie podmiotów trzecich oraz przez kontrahentów ClickQuickNow Sp. z o.o.; 4) zgodę na przekazywanie informacji marketingowych drogą telefoniczną i elektroniczną przez ClickQuickNow Sp. z o.o., w tym na zlecenie podmiotów trzecich oraz przez kontrahentów ClickQuickNow Sp. z o.o.
Z ustaleń dokonanych w toku kontroli wynika, że Spółka obecnie wykorzystuje pozyskane dane osobowe uczestników konkursów w celu realizacji zamówień na prowadzenie marketingu na rzecz innych podmiotów.
Do zawieranych umów zleceń na prowadzenie danej kampanii marketingowej Spółka dołącza dokument o nazwie „Oświadczenie dotyczące przetwarzania danych osobowych aktualne od dnia […] maja 2018 roku”. Z treści tego dokumentu wynika, m.in., że za pośrednictwem linku umieszczonego w wysyłanych wiadomościach e-mail lub SMS, a także w rozmowach telefonicznych za pośrednictwem wskazanego w rozmowie adresu e-mail osoby, do których kierowana będzie kampania marketingowa, będą mogły w łatwy i prosty sposób odwołać udzielone zgody. Spółka niezwłocznie po otrzymaniu tego typu informacji zablokuje możliwość dalszej realizacji kampanii w stosunku do użytkownika, który wycofał zgodę lub oświadczył, że nie chce, aby kampania była do niego kierowana.
Wskazać należy, iż ustalenia dokonane w toku kontroli wykazały bezspornie, że Spółka nie stosuje się do zasad, które sama opracowała. Użycie odsyłacza (linku) zamieszczonego w treści informacji handlowych wbrew zapewnieniom Spółki, nie skutkuje szybkim odwołaniem zgody na przetwarzanie danych osobowych. Komunikaty przesyłane na skutek uruchomienia tego linku wprowadzają w błąd osobę, która wnosi o odwołanie zgody, co skutkuje tym, iż odwołanie zgody nie jest skuteczne.
W toku kontroli ustalono, że przykładowa oferta marketingowa wysłana przez Spółkę na zlecenie innego podmiotu zawiera w swej treści m.in. taką informację: […] informuje, że po kliknięciu w wiadomość zostanie Pani przekierowana na stronę ClickQuickNow Sp. z o.o. na której będzie mogła Pani udzielić odpowiedzi na pytania. Kliknięcie w link „odwołanie zgody” skutkuje tym, że: 1) użytkownik przekierowywany jest na stronę internetową gdzie znajduje się zapytanie o przyczynę rezygnacji z otrzymywania reklam drogą e-mailową (z dwoma zdefiniowanymi odpowiedziami: „A: otrzymuję reklamy, które mnie nie interesują”, „B: otrzymuję reklamy za często”); 2) po udzieleniu odpowiedzi na ww. pytania użytkownik przekierowywany jest na koleją stronę, na której pojawia się komunikat następującej treści: „Pani odwołanie zgody dziś […]! Podtym komunikatem znajduje się zapis: „Dziękuję za odpowiedź! W takiej sytuacji informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem […], w tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Z mojej strony to wszystko. […] […].
Analizując powyższy proces odwołania zgody stwierdzić należy, że Spółka w pierwszej kolejności (bez żadnej podstawy prawnej) wymaga by osoba, która składa oświadczenie o odwołaniu zgody wskazała powód swojego żądania. Istotne znaczenie ma fakt, że nieudzielenie odpowiedzi na to pytanie nie pozwala na kontynuację procesu odwołania zgody, co skutkuje tym, że zgoda nie jest odwołana.
Ponadto, po przekazaniu osobie komunikatu następującej treści „Pani odwołanie zgody dziś […] !”, Spółka informuje daną osobę o sposobie odwołania zgody.
W ocenie Spółki, skuteczne złożenie oświadczenia woli odnośnie odwołania zgody na przetwarzanie danych może nastąpić jedynie wówczas, jeżeli osoba po zapoznaniu się z treścią ww. komunikatu, skieruje jeszcze raz swoje żądanie pod adres: […] i dokładnie w nim określi czego od Spółki się domaga.
Nie ulega żadnej wątpliwości, że zdecydowana większość osób po zapoznaniu się z treścią tak brzmiącego komunikatu stwierdza, że oświadczenie o odwołaniu zgody zostało przyjęte przez Spółkę w dacie wskazanej w komunikacie i w związku z tym dalszych czynności w tym zakresie już nie podejmuje.
Zastosowanie przez Spółkę takiego mechanizmu skutkuje niepodjęciem przez osobę, której dane dotyczą dalszych działań po odczytaniu tego komunikatu, co powoduje, że nie dochodzi do skutecznego odwołania zgody. Takie działania Spółki skutkują tym, że osoby, które nie mogą skutecznie zrealizować swoich praw (tj. odwołać zgody) kierują do Urzędu Ochrony Danych Osobowych skargi w tym zakresie.
Zgodnie z art. 7 ust. 3 rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych stosowany przez Spółkę sposób postępowania w procesie odwołania zgody nie spełnia kryteriów prostego i szybkiego odwołania zgody. Tym samym bezsporne jest, że Spółka narusza przepis art. 7 ust. 3 rozporządzenia 2016/679.
W tym miejscu należy odnieść się do wyjaśnień Spółki (zwartych w odpowiedzi na zawiadomienie o wszczęciu postępowania) w zakresie zarzutu, że Spółka nie posiada podstawy prawnej do żądania informacji odnośnie powodu odwołania zgody, z których wynika cyt. „zapytanie o przyczynę potencjalnej rezygnacji stanowi zebranie danej, która w przypadku odwołania zgody i tak zostałaby usunięta, lecz w przypadku decyzji o niekontynuowaniu procesu odwołania zgody, stanowi daną, którą Spółka może gromadzić na podstawie przesłanki prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO)”.
Odnosząc się do tych wyjaśnień należy zauważyć, że Spółka z góry zakłada, że proces odwołania zgody może być nieskuteczny.
Zgodnie z art. 5 ust. 1 lit. a rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”).
Wskazać również należy, że zgodnie z art. 12 ust. 2 rozporządzenia 2016/679, administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15–22. W przypadkach, o których mowa w art. 11 ust. 2, administrator nie odmawia podjęcia działań na żądanie osoby której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 15–22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych Spółka w procesie odwołania zgody narusza zasady przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679, gdyż do osób odwołujących zgodę Spółka kieruje sprzeczne ze sobą komunikaty, co skutkuje tym, że osoba odwołująca zgodę, po otrzymaniu od Spółki komunikatu „Pani odwołanie zgody dziś […] !” jest przekonana, że zgodę swoją skutecznie odwołała. Do odwołania zgody jednak nie dochodzi, Spółka po wysłaniu ww. komunikatu, kieruje do tej samej osoby komunikat, w którym informuje o sposobie skutecznego odwołania zgody.
Stwierdzić zdecydowanie należy, że Spółka jako administrator nie ułatwia osobie, której dane dotyczą skorzystania z prawa do odwołania zgody (prawa do bycia zapomnianym).
W odpowiedzi na zawiadomienie o wszczęciu postępowania uznano, że zarzut Prezesa Urzędu Ochrony Danych Osobowych, w zakresie tego naruszenia jest zasadny i w związku z tym Spółka ze strony internetowej usunęła komunikat o treści: „Pani odwołanie zgody dziś […]". Ponadto,w tym samym piśmiezadeklarowano, że cyt. „wprowadza do powyższych wiadomości temat i frazę: „Informacja o sposobie odwołania Pani zgody” zamiast „Pani odwołanie zgody dziś […]”.
Niemniej jednak nie zostały potwierdzone Prezesowi Urzędu Ochrony Danych Osobowych wyjaśnienia te żadnymi dodatkowymi dowodami.
Z zebranego w sprawie materiału dowodowego nie wynika by Spółka zaprzestała pozyskiwać informację dotyczącą przyczyny odwołania zgody, co niewątpliwie skutkuje tym, że brak takiej odpowiedzi nadal uniemożliwia osobie, której dane dotyczą skuteczne odwołanie zgody.
Wskazano, że informacje zawarte w zawiadomieniu o wszczęciu postępowania odnośnie nieprowadzenia przez Spółkę korespondencji w sprawie niepoprawnie złożonych wniosków oraz nieudzielanie odpowiedzi na żądania osób, których dane dotyczą, nie są zgodne z zebranym materiałem dowodowym. Odnosząc się do tego zarzutu wskazać należy, że Prezes Zarządu Spółki w toku kontroli wyjaśnił bowiem, że cyt. „(…) zwrotnych informacji odnośnie sposobu rozpatrzenia danego wniosku Spółka nie wysyła do jego nadawcy, albowiem w ocenie Spółki skuteczne usunięcie danych osobowych jest jednoznaczne z ostatecznym rozpatrzeniem danego wniosku” oraz cyt. „Spółka nie prowadzi w żadnej formie korespondencji, w sprawie niepoprawnie złożonych wniosków”.
Ustalenia dokonane w toku kontroli wykazały również, że Spółka od dłuższego już czasu, tj. od początku […] r., za pośrednictwem poczty elektronicznej, otrzymuje dziennie około […] […] tzw. […] wiadomości e-maili (nie zawierających treści żądania). Wiadomości te przesyłane są na adres […] zamieszczony na stronach dwóch serwisów internetowych ([…] oraz […]).
Jak ustalono w toku kontroli, tego typu wiadomości Spółka pozostawia bez rozpatrzenia. W odpowiedzi na zawiadomienie o wszczęciu postępowania wyjaśniono, że ,,[…] e-maile” nie zawierają żadnych żądań, a Spółka sama nie może domniemywać, czego dany e-mail dotyczy. Spółka, wyjaśniając powyższą kwestię wskazała, że podjęła działania by wyeliminować powyższe zjawisko. Na potwierdzenie powyższych wyjaśnień, jako dodatkowe dowody w sprawie, wraz z odpowiedzią na zawiadomienie o wszczęciu postepowania zostały przesłane do Urzędu Ochrony Danych Osobowych wydruki prowadzonej korespondencji w tej sprawie (wydruk wiadomości e-mail z dnia […], potwierdza prowadzoną korespondencję z […], wydruk wiadomości e-mail z dnia […] potwierdza prowadzoną korespondencję z […]). Z treści korespondencji wynika, że Spółka sygnalizuje podmiotom prowadzącym ww. portale, konieczność wyłączenia automatycznych mechanizmów wysyłania tzw. […] na adres […].
Niemniej jednak proceder otrzymywania przez Spółkę „[…] e-mail” trwa co najmniej od początku […] r. i jak do tej pory, w tej kwestii nic się nie zmieniło. Spółka wskazuje, że w przypadku „[…] e-mail” Spółka nie może realizować żądań osoby niezidentyfikowanej, a ponadto nie wiadomo o co adresat e-maila wnosi.
Tzw. „[…] e-maile” zawierają takie informacje jak: adres e-mail nadawcy, datę i godzinę oraz wskazanie adresata: […]. W ocenie Prezesa Urzędu Ochrony Danych Osobowych określenie adresata w taki sposób wskazuje świadome działania nadawcy takiego e-maila, tzn., że odwołuje on zgodę.
Wątpliwości Spółki, co do tego jakie jest żądanie nadawcy takiej wiadomości mogłyby zostać wyjaśnione, chociażby w drodze korespondencji zwrotnej skierowanej pod adres e-mail nadawcy z zapytaniem, czego taki e-mail dotyczy. Jednak z zebranego w sprawie materiału dowodowego jednoznacznie wynika, że Spółka „[…] emaile” przychodzące na adres […], pozostawia bez rozpatrzenia, nie nadaje im dalszego biegu. Adresat e-maila, żadnych informacji zwrotnych od Spółki nie otrzymuje.
W związku z powyższym nie ulega wątpliwości, że stan naruszenia w tym zakresie nadal trwa.
Wskazać należy, że zgodnie z art. 7 ust. 3 rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
Zgodnie natomiast z art. 17 ust. 1 lit. b rozporządzenia 2016/679, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (zgodnie z art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a) i nie ma innej podstawy prawnej przetwarzania.
Resumując powyższe ustalenia, stwierdzić należy, iż Spółka w procesie przetwarzania danych osobowych narusza art. 7 ust. 3 rozporządzenia 2016/679, albowiem stosowany przez Spółkę proces odwołania zgody utrudnia, a wręcz uniemożliwia osobie, której dane dotyczą skuteczne skorzystanie z przysługującego jej prawa do odwołania zgody.
Ponadto, w ocenie Prezesa Ochrony Danych Osobowych stosowany przez Spółkę proces obsługi wniosków dotyczących odwołania zgody na przetwarzanie danych uniemożliwia osobie, której dane dotyczą skuteczne skorzystanie z przysługującego jej prawa, o którym mowa w art. 17 ust. 1 lit. b rozporządzenia 2016/679. W konsekwencji stwierdzić należy, że Spółka narusza także ten przepis rozporządzenia 2016/679.
II. Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z ww. rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, z zebranego w sprawie materiału dowodowego wynika bezspornie, że Spółka nie opracowała i nie wdrożyła takich środków technicznych i organizacyjnych, które powodowałyby, że osoba, której dane dotyczą otrzymuje w formie łatwo dostępnej, zwięzłej, przejrzystej i zrozumiałej informacje na temat możliwości skutecznego odwołania drogą elektroniczną zgody na przetwarzanie danych osobowych. Skutkuje tym, że osoba, której dane dotyczą nie może skutecznie skorzystać ze swojego prawa do wycofania w dowolnym momencie udzielonej zgody oraz prawa do bycia zapomnianym.
Spółka jako administrator ma obowiązek zastosować odpowiednie rozwiązania organizacyjne i techniczne, tak by proces przetwarzania danych, w tym proces odwołania zgody, był prowadzony w sposób prosty i przejrzysty. Spółka jako administrator powinna zapewnić w procesie przetwarzania danych osobowych takie rozwiązania techniczne i organizacyjne (stosowane również przez inne podmioty biorące udział w tym procesie), których użycie zapewni, by realizacja praw osób przebiegała skutecznie.
Jak ustalono w toku kontroli rozwiązania przejęte przez Spółkę w procesie odwołania zgody są nieskuteczne, o czym świadczy chociażby fakt, że naruszenie polegające na wpływie do Spółki tzw. „[…] e-malii” nie zostało usunięte.
Rozwiązania organizacyjne stosowane przez Spółkę są również nieskuteczne albowiem jak ustalono, Spółka nie prowadzi żadnej korespondencji w sprawie wniosków o odwołanie zgody.
Z motywu 59 rozporządzenia 2016/679 wynika, że należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania - i gdy ma to zastosowanie bezpłatnego uzyskiwania, w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.
Na tej podstawie stwierdzić należy, że nie zostały wdrożone przez Spółkę (administratora) odpowiednie środki techniczne i organizacyjne w procesie odwołania zgody, co stanowi naruszenie, o którym mowa w art. 24 ust. 1 rozporządzenia 2016/679.
III. Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Z zebranego materiału dowodowego w sprawie wynika, że od początku 2018 r. ze strony internetowych serwisów […] oraz […] na adres skrzynki pocztowej Spółki: […] przesyłane są liczne wnioski o zaprzestanie przesyłania reklam. Wśród tych wniosków są również wnioski osób, które żądają zaprzestania przetwarzania ich danych przez inne podmioty niż Spółka. Osoby te posiadają konta poczty elektronicznej we wskazanych serwisach, ale nie są klientami Spółki.
W toku kontroli pozyskane zostały wydruki zrzutów ekranu wyszukania w bazie Spółki danych osobowych przykładowej osoby, od której wpłynęło do Spółki odwołanie jej zgody na przetwarzanie danych osobowych przez inny podmiot. Dowody te potwierdzają, że w tzw. „bazie […]” Spółki, dane osoby wyszukiwanej nie są przetwarzane.
Z ustaleń kontroli wynika, że Spółka żadnej korespondencji z tymi osobami nie prowadzi, w szczególności Spółka nie wysyła żadnej korespondencji zwrotnej do takich osób. Nie jest zatem zgodne ze stanem faktycznym twierdzenie Spółki, że dane tych osób Spółka przetwarza w celu obsługi korespondencji.
Na tej podstawie Prezes Urzędu Ochrony Danych Osobowych uznał, że Spółka - po ustaleniu, że żadnych informacji o danej osobie Spółka dotychczas nie posiadała - powinna pozyskane dane usunąć z uwagi na brak podstaw prawnych do dalszego ich przetwarzania (przechowywania).
W związku z powyższym, na podstawie zebranego materiału dowodowego w sprawie Prezes Urzędu Ochrony Danych Osobowych uznał, że Spółka, w powyższym zakresie narusza art. 6 ust. 1 rozporządzenia 2016/679, a tym samym narusza zasadę legalności, która na gruncie rozporządzenia 2016/679, nazwana jest zasadą zgodności przetwarzania z prawem (art. 5 ust. 1 lit. a rozporządzenia 2016/679).
Zgodnie z art. 58 ust 2 lit i rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia, zależnie od okoliczności konkretnej sprawy.
Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym przepisie stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej.
Decydując o nałożeniu na Spółkę kary pieniężnej Prezes Urzędu Ochrony Danych Osobowych - stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, poczytywane na niekorzyść Spółki oraz wpływające obciążająco na wymiar nałożonej kary finansowej:
- Stosowany przez Spółkę proces odwołania zgody skutkuje naruszeniem art. 7 ust. 3, art. 12 ust. 2 oraz art. 17 ust. 1 lit. b rozporządzenia 2016/679, poprzez niezapewnieniu osobom, których dane dotyczą łatwego skorzystania z ich prawa do wycofania zgody na przetwarzanie ich danych oraz prawa do usunięcia danych (prawa do bycia zapomnianym). W ocenie Prezesa Urzędu Ochrony Danych Osobowych, naruszenie to ma charakter naruszenia umyślnego. Zgodnie ze stanowiskiem Grupy Roboczej Ds. Ochrony Danych Art. 29 (zawartym w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679), przyjętych w dniu 3 października 2017 r., w części odnoszącej się do umyślnego lub nieumyślnego charakteru naruszenia, „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego. W treści opracowanego przez Spółkę dokumentu o nazwie „[…]” wskazane jest, że osoby, do których kierowana jest kampania marketingowa, będą miały możliwość prostego i szybkiego wycofania udzielonych zgód. Z informacji tej wynika również, że Spółka niezwłocznie po otrzymaniu oświadczenia o odwołaniu zgody, zablokuje możliwość dalszej realizacji kampanii marketingowej względem danej osoby. Na tej podstawie uznać należy, że Spółka posiada wiedzę, że proces odwołania zgody powinien być łatwy, powinien przebiegać w sposób prosty i skuteczny. Niestety, ustalenia dokonane w toku kontroli wykazały bezspornie, że Spółka nie stosuje się do zasad, które sama opracowała. Wbrew zapewnieniom Spółki użycie linku zamieszczonego w treści informacji handlowych, nie skutkuje szybkim odwołaniem zgody. Po uruchomieniu przedmiotowego linku, komunikaty kierowane do osoby zainteresowanej odwołaniem zgody wprowadzają ją w błąd. Spółka po przesłaniu komunikatu o treści „Pani odwołanie zgody dziś […]!” utwierdza daną osobę w tym, że odwołanie zgody zostało uznane przez Spółkę, po czym wymaga od tej samej osoby dodatkowego czynności w celu skutecznego odwołania zgody.Spółka zdecydowanie komplikuje, a wręcz utrudnia odwołanie zgody. W procesie odwołania zgody wymusza konieczność podania przyczyny odwołania zgody. Brak wskazania przyczyny przerywa proces odwołania zgody. Wskazanie przyczyny również nie skutkuje odwołaniem zgody, albowiem Spółka po otrzymaniu odpowiedzi dalej kontynuuje proces odwołania zgody, przekazując osobie zainteresowanej sprzeczne ze sobą komunikaty, co w ostateczności skutkuje tym, że odwołanie zgody nie dochodzi do skutku. Takie działania Spółki należy zdecydowanie uznać za działanie umyślne mające na celu utrudnianie, czy wręcz uniemożliwienie realizacji praw osób, których dane dotyczą. Deklarowany przez Spółkę zamiar podjęcia działań w celu usunięcia tego stanu rzeczy, nie stanowi podstawy do uznania, że naruszenie to zostało usunięte. Tymczasem Spółka jako administrator zobowiązana jest do działania zgodnego z prawem, zobowiązana jest ułatwiać osobom, których dane dotyczą wykonanie ich praw (art. 12 ust. 2 rozporządzenia 2016/679), zapewnić by stosowany proces odwołania zgody pozwalał na skuteczne wycofanie zgody (art. 7 ust. 3 rozporządzenia 2016/679). Spółka swoim działaniem w procesie przetwarzania danych narusza również zasadę zgodności z prawem przetwarzania danych, zasadę przejrzystości oraz zasadę rzetelności, o których mowa art. 5 ust. 1 lit. a rozporządzenia 2016/679, a co najważniejsze wprowadza w błąd osoby, które chcą skutecznie skorzystać ze swojego prawa. Stosowany przez Spółkę proces odwołania zgody stwarza wysokie ryzyko negatywnych skutków dla bardzo dużej ilości osób (w bazie Spółki na dzień […] […] 2019 r. przetwarzane były dane osobowe […] osób). Spółka przetwarza dane w bazie od […] r. Z uwagi na fakt, że wszystkie dane osób pozyskane zostały na podstawie zgody, tj. na podstawie art. 6 ust. 1 lit. a rozporządzenia 2016/679, to każdej z osób, której dane dotyczą w dowolnym czasie, przysługuje prawo do wycofania (odwołania) zgody.
- Spółka w procesie odwołania zgody nie zastosowała odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (art. 24 ust 1 rozporządzenia 2016/679). Z zebranego w sprawie materiału dowodowego wynika, że Spółka w procesie odwołania zgody nie uwzględniła zasady zgodnie, z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie (art. 7 ust. 3 rozporządzenia 2016/679). Wskazać należy, że od wszystkich osób, których dane osobowe przetwarzane są w bazie Spółki (baza uczestników […]), zgoda na przetwarzanie danych pozyskiwana była zawsze w formie elektronicznej, poprzez użycie przycisku „checkboxu”, zamieszczonego w formularzu rejestracyjnym. Proces odwołania zgody powinien również przebiegać w sposób łatwy, nie skomplikowany, a co najważniejsze za pomocą tego samego kanału komunikacyjnego, tj. za pomocą Internetu (np. poprzez zamieszczenie na stronie internetowej formularza odwołania zgody lub zakładki przeznaczonej do jej odwołania). Spółka jako administrator ponosi odpowiedzialność za to, że w procesie odwołania zgody stosowane jest nieskutecznie działające narzędzie tj. przycisk: „[…]” zamieszczony w witrynach internetowych ([…] i […]). Efekt zastosowanych przez Spółkę rozwiązań jest taki, że osoby, które używają tego przycisku w celu odwołania zgody, nie mogą skutecznie zrealizować swojego prawa. Skala tego zjawiska jest bardzo duża (dziennie około […] tzw. „[…] e-mail”). Spółka nie możne zwolnić się od odpowiedzialności w tym zakresie tylko dlatego, że przedmiotowy przycisk zamieszczony jest na stronach internetowych innych podmiotów. Wskazać bowiem należy, że to do obowiązków administratora należy zapewnienie, by w procesie przetwarzania danych stosowane były takie rozwiązania techniczne i organizacyjne (stosowane również przez inne podmioty biorące udział w tym procesie), których użycie zapewni skuteczną realizację praw osób, których dane dotyczą.
- Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary. Wskazać, w tym miejscu należy, że w piśmie stanowiącym odpowiedź na zawiadomienie o wszczęciu postępowania, Spółka wyjaśniła, że po otrzymaniu zawiadomienia o wszczęciu postępowania ze strony internetowej został usunięty komunikat - „Pani odwołanie zgody dziś […]", ponadto w piśmie tym wskazano również, że Spółka zadeklarowała się zmienić komunikat „Pani odwołanie zgody dziś […]" na komunikat „Informacja o sposobie odwołania Pani zgody”. Niemniej jednak złożone wyjaśnienia nie zostały potwierdzone Prezesowi Urzędu Ochrony Danych Osobowych żadnymi dodatkowymi dowodami. Na tej podstawie Prezes Urzędu Ochrony Danych Osobowych uznał, że sam zamiar podjęcia działań przez Spółkę w celu usunięcia naruszenia nie stanowi okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary.
Żadnego wpływu na fakt nałożenia, jak i sam wymiar administracyjnej kary pieniężnej nie miały okoliczności, iż:
a) Spółka nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679;
b) brak dowodów wskazujących na uzyskanie przez Spółkę korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem;
c) miała miejsce dobra współpraca ze strony Spółki, w toku przeprowadzonej kontroli; w tym w wyznaczonym terminie Spółka przesłała do Urzędu Ochrony Danych Osobowych odpowiedź na zawiadomienie o wszczęciu postępowania;
d) w zebranym materiale dowodowym brak jest dowodów, które potwierdzałyby, że osoby, których dane dotyczą doznały szkody majątkowej;
e) brak jest dowodów wskazujących na uzyskanie przez Spółkę korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem;
f) nie zostało stwierdzone, żeby Spółka uprzednio dopuściła się naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla niniejszego postepowania.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych stanął na stanowisku, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem zarzucanych Spółce naruszeń. Stwierdzić należy, że zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się podobnych praktyk naruszających prawa osób, których dane dotyczą.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, że w ustalonych okolicznościach niniejszej sprawy, tj. wobec stwierdzenia naruszenia przez Spółkę prawa do usunięcia danych (prawo do bycia zapomnianym), o którym mowa w art. 17 ust. 1 lit. b rozporządzenia 2016/679 oraz naruszenie zasady zgodności z prawem przetwarzania danych, zasady przejrzystości i zasady rzetelności wyrażonych art. 5 ust. 1 lit. a rozporządzenia 2016/679 (a odzwierciedlonych w postaci obowiązków określonych w art. 7 ust. 3, art. 12 ust. 2 oraz art. 24 ust 1 rozporządzenia 2016/679), a także przetwarzanie bez podstawy prawnej danych osób, które nie są klientami Spółki (tj. naruszenie art. 6 ust. 1 rozporządzenia 2016/679), poprzez stosowanie skomplikowanych rozwiązań organizacyjnych i technicznych w procesie odwołania zgody, zastosowanie znajdzie art. 83 ust. 5 lit. a i lit. b rozporządzenia 2016/679. Zgodnie z tymi przepisami naruszenia podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa m.in. w art. 5, 6, 7 tego rozporządzenia oraz naruszenia praw osób, których dane dotyczą, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Jednocześnie, wobec stwierdzenia przez Spółkę naruszenia w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów niniejszego rozporządzenia, stosownie do treści art. 83 ust. 3 rozporządzenia 2016/679, Prezes Urzędu Ochrony Danych Osobowych określił całkowitą wysokość administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze naruszenie.
W przedstawionym stanie faktycznym za najpoważniejsze należy uznać naruszenie przez Spółkę prawa do usunięcia danych (prawo do bycia zapomnianym), o którym mowa w art. 17 ust. 1 lit. b rozporządzenia 2016/679 oraz naruszenie zasad przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679. Przemawia za tym poważny charakter tych naruszeń oraz krąg osób nim dotkniętych (w bazie Spółki na dzień […] […] 2019 r. przetwarzane były dane osobowe […] osób). Z uwagi na fakt, że wszystkie dane osób pozyskane zostały na podstawie zgody (tj. na podstawie art. 6 ust. 1 lit. a rozporządzenia 2016/679), to każdej z tych osób w dowolnym czasie, przysługuje prawo do wycofania (odwołania) zgody.
Podkreślić, należy że dopuszczenie przez Spółkę w procesie przetwarzania danych osobowych nieodpowiednich środków technicznych i organizacyjnych, o których mowa w art. 24 ust 1 rozporządzenia 2016/679, doprowadziło do naruszenia zasady zgodności z prawem przetwarzania danych, o której mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679, albowiem Spółka weszła w posiadanie danych osobowych do przetwarzania, których nie jest uprawniona, gdyż nie spełnia żadnego warunku wskazanego w art. 6 ust. 1 rozporządzenia 2016/679.
Biorąc jednak, pod uwagę okoliczność, że naruszenie to dotyczy tylko osób, które omyłkowo skierowały do Spółki oświadczenia o wycofaniu zgody na przetwarzanie danych (pomimo, że nie są klientami Spółki), naruszenie to w niewielkim zakresie wpływa na decyzję o nałożeniu kary i jej wysokość.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.) równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 3 i art. 83 ust. 5 lit. a rozporządzenia 2016/679, w związku z art. 103 ustawy o ochronie danych osobowych z dnia 2018 r., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2019 r. (1 EUR = 4.2885 PLN) – administracyjną karę pieniężną w kwocie201 559,50 PLN (co stanowi równowartość 47.000 EUR), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych nałożona na Spółkę kara ma na celu doprowadzić do stanu, w którym Spółka zastosuje w procesie przetwarzania danych (tj. w procesie odwołania zgody) takie środki techniczne i organizacyjne, które zapewnią osobom, których dane dotyczą skuteczne skorzystanie z ich praw.
Zastosowana kara pieniężna jest również proporcjonalna do stwierdzonych naruszeń, w tym zwłaszcza ich wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniami osoby te ponoszą. Wysokość kary została określona na takim poziomie, aby stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, wymierzona administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679, ale i prewencyjną, jako że sama Spółka, jak i inni administratorzy będą skutecznie zniechęceni do naruszania przepisów o ochrony danych osobowych w przyszłości.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679..
Celem nałożonej kary jest doprowadzenie do właściwego wykonywania przez Spółkę obowiązków przewidzianych w art. 5 ust 1 lit. a, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b, art. 24 ust 1 rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018, poz. 1302, z późn. zm.). Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000.
Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.