Korespondencja z klientem o zasadach usunięcia jego danych osobowych musi być dla niego zrozumiała

Prezes UODO udzielił upomnienia firmie prowadzącej serwis do obsługi wpłat gotówki za sposób, w jaki potraktowała klienta, który chciał skasować u niej swoje konto i związane z tym dane.

Klient spółki wniósł o usunięcie konta i związanych z nim danych osobowych. Wniosek przesłał mailem. Spółka odpowiedziała, że do usunięcia konta zgodnie z jej regulaminem potrzebny jest pisemny wniosek przesłany tradycyjną pocztą. Klient zauważył, że RODO tego nie wymaga, jednak, by rozwiązać problem, przesłał wniosek elektroniczny podpisany kwalifikowanym podpisem cyfrowym. Na co spółka powtórzyła, że do usunięcia konta potrzebny jest wniosek na papierze.

Prezes UODO zauważył, że rzeczywiście podpisując ze spółką umowę klient zaakceptował jej regulamin, zatem powinien był się do niego zastosować. Elektroniczne wypowiedzenie umowy było nieskuteczne. Niemniej kiedy klient wyraźnie wyraził swoją wolę, że nie chce, by spółka dalej przetwarzała jego dane, spółka nadal to robiła. Tłumaczyła, że była do tego zobowiązana wciąż obowiązującą umową.

Problem w tym, że w korespondencji z klientem spółka nie pisała wyraźnie, że usunięcie danych osobowych jest dla niej równoznaczne z usunięciem konta. Cała korespondencja dotyczyła usunięcia konta – a nie związanych z nią danych osobowych. Tymczasem klient domagał się nie tylko usunięcia konta, ale i związanych z nim danych osobowych. Miał prawo zakładać, że do samego prowadzenia konta nie są potrzebne wszystkie dane o nim, jakie spółka zebrała.

Problemem był więc brak zwięzłej, przejrzystej i łatwo dostępnej komunikacji. A obowiązek taki ciąży na administratorze danych zgodnie z art. 12 ust. 1 zdanie pierwsze RODO. Stąd upomnienie.

Sygnatura: DS.523.6932.2022