Jak czytamy w komunikacie Urzędu ukarana spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych.
Tym samym naruszyła w RODO zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych.
Czytaj także: Pierwsza kara za RODO. Prawnicy rozczarowani
Postępowanie Prezesa UODO wykazało, że spółka naruszyła przepisy RODO, gdyż stosowany przez nią mechanizm odwołania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim odwołaniem zgody. Po uruchomieniu linku, komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd.
Spółka wymuszała podanie przyczyny odwołania zgody, a prawo tego nie wymaga. Co więcej, brak wskazania przyczyny skutkował przerwaniem procesu odwoływania zgody.
Czytaj także: Kary za RODO mogą się posypać
W decyzji Prezes Urzędu wskazał również, że spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc także tzw. prawo do bycia zapomnianym.
Zobacz także: Wiedzą o Tobie wszystko. Zobacz, jak sklepy śledzą smartfony
Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na ostateczny wymiar kary. Uznał, że działanie spółki było umyślne.
Prezes UODO nie tylko nałożył karę finansową na spółkę, ale nakazał jej także dostosowanie do przepisów RODO procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych. Ma ona na to 14 dni od dnia doręczenia decyzji. Spółka musi też usunąć dane osób, które nie są jej klientami i żądały zaprzestania przetwarzania ich danych osobowych.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl