W listopadzie 2024 roku Naczelny Sąd Administracyjny (NSA) ostatecznie podtrzymał decyzję Prezesa UODO o nałożeniu na spółkę ClickQuickNow kary w wysokości ponad 200 tysięcy złotych za naruszenie przepisów RODO. Powód? Utrudnianie użytkownikom wycofania zgody na przetwarzanie danych osobowych.
Tło sprawy
Spółka ClickQuickNow otrzymała karę od Prezesa Urzędu Ochrony Danych Osobowych (PUODO) za utrudnianie użytkownikom wycofywania zgody na przetwarzanie danych osobowych. Jak wykazało postępowanie, firma stosowała skomplikowane procedury, które wprowadzały klientów w błąd, zamiast umożliwiać szybkie i łatwe odwołanie zgody. Użytkownicy próbujący wycofać zgodę na przetwarzanie danych osobowych przez ClickQuickNow poprzez link zamieszczony w treści informacji handlowych byli wprowadzani w błąd – dostawali komunikaty, które sugerowały, że zgoda została wycofana, ale w rzeczywistości proces nie był zakończony. Co więcej, ClickQuickNow nakładała na użytkowników wymóg podania powodu wycofania zgody, a jego nie podanie przerywał proces odwołania zgody. NSA podzielił stanowisko Prezesa UODO – takie działania są sprzeczne z RODO, które wymaga, aby wycofanie zgody było równie proste, jak jej wyrażenie. Co więcej spółka nie tylko naruszyła prawo, ale także przetwarzała dane osób, które wyraźnie żądały zaprzestania przetwarzania ich danych.
Wnioski?
Pamiętaj, że wycofanie zgody na przetwarzanie danych osobowych powinno być równie łatwe jak jej wyrażenie. To oznacza:
- brak zbędnych formalności,
- brak konieczności uzasadniania decyzji,
- jednoznaczne i jasne komunikaty dla użytkowników.
Przykład ClickQuickNow pokazuje, że komplikowanie tego procesu – np. wymaganie podania przyczyny odwołania zgody, wprowadzanie użytkownika w błąd – jest niezgodne z przepisami RODO. Jeżeli informujesz klientów, że mogą wycofać zgodę za pomocą konkretnego odnośnika lub narzędzia, musi ono działać zgodnie z deklaracją.
Co możesz zrobić by umożliwić użytkownikowi zgodne z prawem wycofanie zgody na przetwarzanie danych osobowych?
- Zapewnij prostotę procesów
Wycofanie zgody na przetwarzanie danych osobowych użytkownika powinno być intuicyjne. Najlepsze praktyki to np. umożliwienie jednego kliknięcia w link przesłany w wiadomości e-mail.
- Komunikaty bez haczyków
Wszystkie komunikaty skierowane do użytkowników muszą być jasne i jednoznaczne. Unikaj mylących informacji, które sugerują, że coś zostało zrobione, gdy w rzeczywistości tak nie jest.
- Regularnie przeprowadzaj audyty w Twojej firmie
Regularne audyty pozwolą na weryfikację obowiązujących w firmie polityk i procedur, co umożliwi podjęcie odpowiednich działań do zmieniających się wymogów prawnych.
- Reaguj na żądania klientów
Nie tylko zgoda jest ważna – równie istotne są prawa osób do usunięcia ich danych czy zaprzestania przetwarzania. Zaniedbania w tym obszarze mogą prowadzić do kar.
- Regularne szkolenia zespołu
Przeszkol swoich pracowników, aby rozumieli zasady ochrony danych osobowych i znaczenie przejrzystości w relacjach z klientami.
- Konsultacje z ekspertem
W przypadku wątpliwości skonsultuj swoje procedury z prawnikiem specjalizującym się w ochronie danych osobowych.
Sprawa ClickQuickNow to przypomnienie, że RODO to nie zbiór abstrakcyjnych zasad, ale konkretne wymagania, których przestrzeganie jest obowiązkowe. To wyraźny sygnał ostrzegawczy, że transparentność i szacunek wobec użytkowników to nie tylko wymogi prawne, ale również fundament budowania zaufania i reputacji na rynku. Warto więc regularnie sprawdzać swoje procedury, szkolić pracowników i upewniać się, że wszystkie mechanizmy związane z przetwarzaniem danych – w tym wycofywanie zgody – są zgodne z przepisami. Zaniechanie tych działań nie tylko naraża firmę na wysokie kary finansowe, ale również na utratę klientów, którzy coraz bardziej świadomie podchodzą do ochrony swoich danych. Aktywne podejście do RODO to nie tylko oszczędność, ale też przewaga konkurencyjna w dzisiejszym, cyfrowym świecie.
Nie czekaj, aż będzie za późno! Jeśli nie masz pewności, czy procesy w Twojej firmie są zgodne z RODO, skontaktuj się z nami! Pomożemy Ci przygotować dokumentację, wdrożyć odpowiednie zabezpieczenia oraz zapewnić pełną zgodność z przepisami RODO.