Francie: společnost TAGADAMEDIA pokutována za klamavé formuláře
Francouzský úřad pro ochranu osobních údajů uložil společnosti TAGADAMEDIA pokutu ve výši 75 000 eur za shromažďování osobních údajů prostřednictvím formulářů, které byly klamavé, což společnosti (správci údajů) neumožnilo získat platný souhlas podle čl. 6 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů.
V období od března 2022 do října 2022 provedl francouzský úřad pro ochranu údajů ("CNIL") kontroly na místě u společnosti TAGADAMEDIA a dále online kontroly jejích internetových stránek. CNIL zjistil, že společnost (správce údajů) shromažďovala údaje (jméno, příjmení, datum narození, poštovní adresu, e-mailovou adresu, telefonní číslo) od potenciálních zákazníků prostřednictvím formulářů, když jim nabízel účast v soutěžích nebo testování produktů na svých internetových stránkách.
Správce údajů k tomu používal dva formuláře: před rokem 2017 používal formulář s jedním tlačítkem - pod poli umožňujícími subjektům údajů zadat své údaje se nacházelo jediné tlačítko "OVĚŘUJI" se zeleným pozadím a šipkou. Nad tlačítkem byl text mnohem menším písmem, který uváděl, že kliknutím na tlačítko uživatel souhlasí s tím, že shromážděné údaje budou použity k zasílání nabídek od partnerů správce, a hypertextové odkazy umožňovaly přístup k zásadám ochrany údajů. Na konci textu bylo uvedeno, že pokud si subjekt údajů přeje pokračovat bez zasílání nabídek od partnerů společnosti, může kliknout na odkaz v textu ("Klikám zde"), což subjektu údajů umožnilo přijmout, nebo odmítnout, aby byly jeho osobní údaje zasílány partnerům správce.
Druhý formulář zavedený od roku 2017 do oznámení zprávy o sankcích v roce 2023 byl dvoutlačítkový formulář s tlačítkem "OVĚŘUJI" napsaným bílou barvou na červeném pozadí a tlačítkem "ODMÍTÁM" napsaným černou barvou na šedém pozadí, písmem menším než první tlačítko. Nad těmito tlačítky se nacházel text napsaný menším písmem, než bylo použito pro tlačítka, který upřesňoval, že kliknutím na tlačítko "OVĚŘUJI" uživatel souhlasí s tím, že shromážděné údaje budou použity k zasílání nabídek od partnerů společnosti.
CNIL zahájil 22. června 2023 proti správci údajů sankční řízení. Během tohoto řízení správce navrhl nový formulář složený z tlačítka "PŘIJÍMÁM" a tlačítka "DALŠÍ KROK", přičemž obě byla napsána bílou barvou na červeném pozadí a měla text psaný menším písmem, který upřesňoval, že kliknutím na tlačítko "PŘIJÍMÁM" subjekt údajů souhlasil s tím, že údaje budou použity k zasílání nabídek od partnerů správce, zatímco tlačítko "DALŠÍ KROK" mu umožňovalo pokračovat bez zasílání nabídek od partnerů.
Souvislosti
Za prvé, správce údajů založil své zpracování na souhlasu podle čl. 6 odst. 1 písm. a) GDPR. Úřad pro ochranu osobních údajů zopakoval, že je nutné zajistit, aby subjekty údajů poskytly svůj jednoznačný, konkrétní, svobodný a informovaný souhlas.
Pokud jde o formulář s jedním tlačítkem, úřad měl za to, že formulář neumožňuje subjektům údajů učinit platnou volbu odrážející jejich preference ohledně předávání údajů pro obchodní účely. Úřad
zdůraznil skutečnost, že tlačítko "OVĚŘUJI" mělo velikost a barvu, které jej odlišovaly od ostatních poskytovaných informací, zatímco hypertextový odkaz, který subjektu údajů umožňoval účastnit se hry, aniž by souhlasil s předáním svých údajů, byl uveden v těle textu a mnohem menším písmem.
Pokud jde o dvoutlačítkový formulář, CNIL konstatoval, že v něm nebyla žádná zmínka o důsledcích kliknutí na tlačítko "ODMÍTÁM" a že tak, jak byl formulář navržen, neumožňoval získat od uživatele jednoznačný a svobodný souhlas podle čl. 4 odst. 11 GDPR.
Pokud jde o nový formulář, úřad se domnívá, že ačkoli jsou obě tlačítka stejná co do velikosti, písma a barvy, tlačítko "DALŠÍ KROK" naznačuje, že mezi těmito dvěma tlačítky existuje posloupnost. Volba vzhledu proto nevyvažovala riziko, že subjekt údajů může souhlasit, aniž by měřil důsledky.
Úřad se proto domníval, že formuláře dostatečně neinformovaly subjekty údajů o tom, že souhlasí s předáním svých údajů pro účely obchodního vyhledávání, a že správce údajů neměl platný souhlas ve smyslu čl. 6 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů a čl. 4 odst. 11 obecného nařízení o ochraně osobních údajů.
Za druhé úřad zjistil, že telefonní číslo a poštovní adresa subjektů údajů, které odmítly předání svých údajů partnerům správce údajů, byly přesto předány za jiným účelem (provádění technických a kvalifikačních operací) a na jiném právním základě (oprávněný zájem). Úřad se domníval, že k předání těchto údajů svým partnerům, a pokud správce zvolil pro toto zpracování právní základ v podobě souhlasu, měl získat souhlas subjektů údajů, čímž porušil článek 6 GDPR, jakož i čl. 5 odst. 1 písm. b) GDPR.
Zatřetí, článek 30 GDPR stanoví, že správce musí vést registr činností zpracování. Úřad konstatoval, že správce údajů sdílel registr činností zpracování s jinou společností, ale neuvedl, která z těchto společností vystupuje jako správce údajů pro jednotlivá zpracování. Úřad pro ochranu osobních údajů dospěl k závěru, že vzhledem k množství údajů zpracovávaných v rámci své činnosti měl správce údajů zajistit, aby byl jeho registr vyčerpávající, přesný a aktuální. Správce údajů proto nedodržel článek 30 obecného nařízení o ochraně osobních údajů, ale během sankčního řízení svůj registr aktualizoval.
Za čtvrté, čl. 32 odst. 1 GDPR stanoví, že správce údajů zavede vhodná technická a organizační opatření, aby byla zaručena úroveň zabezpečení odpovídající riziku. Úřad měl za to, že navzdory použití jediného administrátorského účtu pro přístup k databázi správce údajů vyžadoval připojení k síti VPN s použitím individuálních autentizačních klíčů, které umožňovaly přiřadit přístup a akce prováděné v rámci databáze vzhledem k malému počtu osob přistupujících k administrátorskému účtu. Úřad proto konstatoval, že nedošlo k porušení článku 32 obecného nařízení o ochraně osobních údajů.
Za porušení článku 6 GDPR a článku 30 GDPR uložil CNIL pokutu ve výši 75 000 EUR.