Sprawa dotyczyła decyzji Prezesa Urzędu Ochrony Danych Osobowych nakładającej karę w wysokości ponad 201 tys. zł na ClickQuickNow Sp. z o. o. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych.
Ukarana Spółka nie zastosowała się do wymagań dotyczących zgód na przetwarzanie danych osobowych określonych w RODO, w szczególności nie zapewniła możliwości wycofania zgody w sposób równie łatwy jak jej wyrażenie. Prezes UODO stwierdził, że spółka ClickQuickNow działała wręcz odwrotnie, tj. stosowała skomplikowane rozwiązania techniczne i organizacyjne dla procesu wycofania zgody.
Co więcej, ukarany podmiot nie zastosował się do wymagań dotyczących realizacji uprawnień podmiotów danych, tj. prawa do bycia zapomnianym – po otrzymaniu żądań od osób nie będących klientami, dotyczących zaprzestania przetwarzania danych, spółka dalej je przetwarzała przy braku podstawy prawnej.
Wyrok WSA (sygn. akt II SA/Wa2378/2021 z dnia 10 lutego 2021 r.) potwierdza, iż naruszeniem przepisów prawa jest utrudnianie wycofania zgody na przetwarzanie danych osobowych.
Jaki wniosek możemy wysnuć z przedmiotowej sprawy? Należy z uwagą organizować procesy przetwarzania danych osobowych, które będą realizowane w oparciu o zgodę podmiotu danych. Należy bezwzględnie stosować się do wymagań dotyczących zgody na przetwarzanie danych osobowych określonych w art. 7 RODO, tj.:
możliwość wykazania, iż osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych – to na administratorze spoczywa obowiązek posiadania dowodu (np. podpisane oświadczenie woli, treść wiadomości email, historia rozmowy w komunikatorze, nagranie rozmowy telefonicznej lub przechowywanie informacji na temat sesji internetowej, w ramach której udzielono zgody);
osoba, której dane dotyczą, powinna móc nie wyrazić zgody lub ją wycofać bez ponoszenia niekorzystnych konsekwencji. Jak wskazano w wytycznych Europejskiej Rady Ochrony Danych (dawniej Grupy Roboczej Art. 29) dotyczących zgody: „administrator musi zapewnić, by wycofanie zgody było bezpłatne lub nie pociągało za sobą obniżenia poziomu usług”;
zgodnie z art. 7 ust. 3 RODO, administrator musi zadbać o to, by osoba, której dane dotyczą w dowolnym momencie miała możliwość wycofania zgody z taką samą łatwością, z jaką jej udzieliła;
po wycofaniu zgody (o ile nie ma innych celów uprawniających do dalszego przetwarzania) administrator ma obowiązek usunąć dane, które przetwarzano na jej podstawie.