Kolejna kara – tym razem za utrudnianie wycofania zgody na przetwarzanie danych

Jak wskazano w uzasadnieniu decyzji, ukarana spółka zaniechała wdrożenia odpowiednich środków technicznych i organizacyjnych, które pozwalałyby na łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych a także na realizację prawa do żądania usunięcia danych osobowych (tj. prawa do bycia zapomnianym).

Spółka, zdaniem organu nadzoru, dopuściła się naruszenia art. 7 ust. 3 RODO, a mianowicie stosowała dla wycofania zgody skomplikowane rozwiązania organizacyjne i techniczne. Naruszono też art. 12 ust. 2 RODO, nie ułatwiając realizacji uprawnień podmiotom danych.

Naruszenia wynikały ze stosowanego przez spółkę mechanizmu wycofywania zgody, polegającego na użyciu linku zamieszczonego w treści informacji handlowej. Kliknięcie w ten link nie powodowało jeszcze wycofana zgody. Po uruchomieniu linku, pojawiały się bowiem komunikaty które wprowadzały podmiot danych w błąd. Spółka żądała przy tym podania przyczyny wycofania zgody, podczas gdy RODO nie przewiduje takiej możliwości. Bez podawania przyczyny wycofanie zgody okazywałoby się niemożliwe.

Jak wskazano w uzasadnieniu decyzji, spółka naruszała RODO także poprzez przetwarzanie bez podstawy prawnej danych osób niebędących jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych (tj. bycia zapomnianym).

W wymiarze kary uwzględniono fakt umyślnego działania spółki, w szczególności celowe utrudnianie wycofania zgody na przetwarzanie danych. Prezes UODO nie stwierdził natomiast żadnych okoliczności łagodzących.