Szwedzki urząd ochrony danych osobowych (Integritetsskyddsmyndigheten) w październiku wydał decyzję wobec szwedzkiej spółki H&M nakładającą karę za naruszenie przepisów ochrony danych osoowych. Nałożenie kary jest skutkiem skarg, które wpłynęły do organu od osób, których dane były przetwarzane niezgodnie z RODO w związku z rozsyłanym newsletterem. Jedna ze skarg pochodziła z Polski.
Newsletter niezgodny z RODO
Skargi dotyczyły tak naprawdę zignorowania woli użytkowników – osób, których dane były przetwarzane przez H&M. Użytkownicy kilkukrotnie wyrażali sprzeciw wobec stosowania wobec nich marketingu bezpośredniego – wysyłania do nich newslettera. Użytkownicy mieli możliwość wyrażenia sprzeciwu m.in. przez kliknięcie w przycisk, oznaczający rezygnację z subskrypcji newslettera. Link do przycisku znajdował się z e-mailach od H&M. Niektórzy z nich wyrażali sprzeciw nawet 10-krotnie; niektórzy z nich kontaktowali się z H&M telefonicznie oraz e-mailowo. Pomimo podejmowania tych działań, użytkownicy nadal otrzymywali newsletter.
Rozstrzygnięcie organu
Organ stwierdził, że prawo do sprzeciwu wobec wykonywania działań z zakresu marketingu bezpośredniego jest bezwarunkowe w świetle RODO. W związku tym, że sprzeciwy wobec przetwarzania danych zostały zgłoszone prawidłowo, H&M przetwarzał dane osobowe bez podstawy prawnej. Tym samym H&M naruszył podstawowe zasady RODO.
Co więcej, brak podjęcia działań przez H&M przez 3 miesiące po otrzymaniu skarg od osób, których dane dotyczą, również stanowiło naruszenie RODO. Zgodnie z art. 12 ust. 3 RODO oraz art. 21 ust. 3 RODO, działania powinny zostać podjęte niezwłocznie, a osoba, której dane dotyczą, powinna w ciągu 1 miesiąca powinna otrzymać informację o podjętych działaniach.
W konsekwencji organ nałożył na H&M karę w wysokości 350 tys. koron szwedzkich. Decyzja organu nie jest ostateczna. Więcej o decyzji szwedzkiego organu: https://www.imy.se/globalassets/dokument/beslut/2023/beslut-tillsyn-hm-klagomal.pdf
Wnioski i podsumowanie
Naruszenie przepisów ochrony danych osobowych przez H&M jest w opisanej sytuacji dość ewidentne. Sprawa wskazuje jednak na inny, istotny aspekt – wdrożenie odpowiednich procesów w dużej organizacji. W szczególności istotne jest monitorowanie zgłoszonych sprzeciwów wobec przetwarzania danych. Ważne jest też zapewnienie, że wobec zgłoszonych sprzeciwów są podejmowane stosowne działania w przewidywalnym czasie. W tak dużej organizacji jaką jest H&M, do której należy wiele spółek, jest to w szczególności wyzwanie. To jednocześnie oznacza, że organizacja newslettera nie kończy się na wysłaniu wiadomości na adresy figurujące na liście mailingowej. Ważne jest zapewnienie jego zgodności z prawem także na etapie jego bieżącego funkcjonowania.
W przypadku pytań lub wątpliwości – zachęcam do kontaktu: piotr.mijal@prawo-it.pl