ポーランドでマーケティング会社に「容易な同意撤回手段不備」で約570万円の制裁金


ポーランドでマーケティング会社に「容易な同意撤回手段不備」で約570万円の制裁金

ポーランドのデータ保護監督機関(UODO)は、ポーランドのマーケティング会社ClickQuickNow Sp. z o.o.に対し、EU一般データ保護規則(GDPR)に規定される「容易な同意の撤回」の手段をデータ主体に提供しなかったとして、20万1000ポーランドズロチ(約570万円)の制裁金を課すと発表した。

発表によると、顧客が電子メールやSMSでの広告の受領の同意を撤回したい場合、示されるリンク先をクリックし、クリックすると「撤回理由は、A:興味のない広告がくるから? B:広告が頻繁にくるから?」と表示され、理由を答えて次のページへ進むと「同意は撤回されました」と表示され、さらに異議申し立て等の権利についての告知が表示される構造になっていた。もし、撤回理由に答えないと「同意は撤回されました」というページに進めず、撤回できない構造だった。これは法的には求められていない撤回理由の回答を強制させるものであり、GDPR第7条第3項(同意の撤回)、第12条第2項(データ主体の容易な権利行使)、第17条第1項(消去権)違反と判断された。また、権利についての告知が撤回した後に表示される、という構造も良くないと指摘され、本件の撤回に関する構造は適切な技術的対策を実施したとはいえず、第24条第1項に反するとされている。さらに、同意の撤回手続きが、事前の撤回手続きの説明と異なる点も、透明性に欠けると判断され、第12条2項、第5条1項に反するとされている。

また、同社は、広告メールの送信停止を求めるメールを大量に受信していたのに、何も対応しなかったことも第7条に反すると判断された。

更に、同社は他のWebから個人データを取得し広告を送信していたが、取得先のWebに対して利用者から広告を送らないでほしいという停止要請があり、取得先のWebから停止要請を伝えられていたにも拘わらず放置していた。この停止要請を受けた時点で、同意は撤回されたとみなされるので、その後の個人データの処理は同意のない適法根拠を欠く個人データの取扱になり、第6条第1項に反すると判断されている。

本決定では、制裁金に加え、14日以内の是正措置の実施も求められている。

【UODOの本件の公表記事(英語)】
https://uodo.gov.pl/en/553/1092
【UODOの決定文(ポーランド語)】
https://uodo.gov.pl/decyzje/ZSPR.421.7.2019

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト