Jesteś tutaj:
Majątek i pieniądze
27.02.2020 - Zespół portalu SerwisPrawa.pl
Kliknij, aby ocenić:
 
5/1

Zgodę na przetwarzanie danych osobowych można wycofać

Zgodnie z art. 7 ust. 3 rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych jest surowo karane.

Zgodne z prawem przetwarzanie danych osobowych

 

Zgodnie z art. 5 ust. 1 lit. a rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Wskazać należy także , że zgodnie z art. 7 ust. 3 rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

 

 

 

Podmiot przetwarzający dane osobowe musi umożliwić wycofanie zgody

 

Firma, która przetwarza dane osobowe zobowiązana jest do wdrążenia odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym). Niedochowanie powyższych obowiązków oznacza naruszenie określonych w RODO zasad:, tj. zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych.


Wysokie kary za nieprzestrzeganie zasad RODO

 

O tym, jak dotkliwa może być kara nałożona przez UODO przekonała się pewna spółka, która zdaniem Prezesa UODO nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym). Naruszyła więc określone w RODO zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych. Prezes UODO uznał, że działanie spółki było niezgodne także z art. 7 ust. 3 RODO,  spółka w procesie wycofania zgody nie uwzględniła zasady zgodnie, z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie – wręcz odwrotnie stosowała dla wycofania zgody skomplikowane rozwiązania organizacyjne i techniczne. Ponadto Spółka nie ułatwiała realizacji praw osobom, których dane przetwarzała, a wymaga tego art. 12 ust. 2 RODO. Postępowanie Prezesa UODO wykazało, że spółka naruszyła powyższe przepisy RODO, gdyż stosowany przez nią mechanizm wycowania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem zgody. Po uruchomieniu linku, komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Ponadto spółka wymuszała podanie przyczyny wycofania zgody, a prawo tego nie wymaga. Co więcej, brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody. W decyzji Prezes Urzędu wskazał również, że Spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc także tzw. prawo do bycia zapomnianym.

 

Ponad 200 tys. PLN kary za naruszenie przepisów RODO

 

W drodze decyzji Prezes UODO nałożył karę pieniężną w kwocie 201 559,50 PLN. Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary. Uznał też, że działanie Spółki było umyślne, gdyż przekazywanie osobie zainteresowanej wycofaniem zgody sprzecznych ze sobą komunikatów skutkowało tym, że wycofanie zgody nie było skuteczne. W ten sposób spółka utrudniała, czy wręcz uniemożliwiała realizację praw osób, których dane dotyczą. Prezes UODO nie tylko nałożył karę finansową na spółkę, ale nakazał jej także dostosowanie do przepisów RODO procesu obsługi wniosków o wycofanie zgody na przetwarzanie danych. Ma ona na to 14 dni od dnia doręczenia decyzji. Spółka musi też usunąć dane osób, które nie są jej klientami i żądały zaprzestania przetwarzania ich danych osobowych.

 

Źródło:
Decyzja Prezesa UODO z dnia 16.10.2019 r., ZSPR.421.7.2019.

Podstawa prawna:
Art. 5 , art. 7 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2).
 

Autor/Źródło: Zespół portalu SerwisPrawa.pl



Szukasz porady prawnej?
Prześlij swoje pytanie do doświadczonych prawników:
Wasze komentarze
Nasi partnerzy
  • InTENSO - outsourcing IT, leasing pracowniczy
  • Jakość obsługi
  • Biuro Informatyki Stosowanej FORMAT
  • Competitive Skills - Szkolenia biznesowe, rekrutacja i headhunting, doradztwo
  • Kaspersky
  • elsa
  • CBIT.pl
  • Enterprise-Gamification
  • Lazarski
  • Secret Client - tajemniczy klient, tajny klient, mystery shopping
  • Atlassian
Zobacz także
  • Kanały RSS
  • Facebook
  • Google+
® 2008 - 2020 SerwisPrawa.pl sp. z o.o. Korzystanie z portalu oznacza akceptacją regulaminu.