Полска глоба от 47 000 евро заради трудно оттегляне на съгласие за обработване на лични данни

Полският надзорен орган наказа с 201 000 PLN компания за нарушаване на GDPR – не са взети подходящи технически и организационни мерки, които биха позволили лесно и ефективно оттегляне на съгласието за обработка на лични данни и упражняване на правото да се поиска изтриване на личните данни („правото да бъдем забравени“)

Компанията, наказана от ръководителя на полската Служба за защита на личните данни  UODO, не е приложила подходящи технически и организационни мерки, които биха позволили лесно и ефективно оттегляне на съгласието за обработване на лични данни и упражняване на правото на лицата за премахване на техните лични данни (правото да бъдат забравени). Нарушени са принципите на законност, надеждност и прозрачност на обработката на лични данни, посочени в GDPR, смята надзорния орган.

Затова ръководителят на Службата за защита на личните данни е наложил административна санкция в размер на над 201 000 PLN на компанията, която не е взела предвид принципа, че оттеглянето на съгласието трябва да бъде толкова лесно, колкото даването на съгласие – напротив, тя прилага сложни организационни и технически решения по отношение на оттеглянето на съгласието.

По време на проверката на надзорния орган е установено, че дружеството изисква да се посочи причината за оттегляне на съгласието, което не се изисква от регламента. Освен това липсата на посочване на причината води до прекратяване на процеса на оттегляне на съгласието.

Данните на клиенти, от които дружеството е получило възражения срещу обработването, продължават да се обработват.

Службата смята, че действията на компанията са умишлени – субектите на данните, искащи да оттеглят своето съгласие, са били затруднявани или дори им е било невъзможно да упражнят правата си.

Ръководителят на UODO не само налага глоба на компанията, но и нарежда тя да коригира процеса на обработка на искания за оттегляне на съгласие за обработка на данни според разпоредбите на GDPR. Компанията има 14 дни от датата на издаване на решението, за да се съобрази с него. Фирмата трябва също да изтрие информацията за субектите на данни, които не са нейни клиенти, и са възразили срещу обработването на личните им данни.