Wojewódzki Sąd Administracyjny (WSA) oddalił skargę ClickQuickNow na decyzję Prezesa UODO

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 10 marca 2021

10

Mar
2021

Sprawa dotyczyła decyzji Prezesa Urzędu Ochrony Danych Osobowych nakładającej karę w wysokości ponad 201 tys. zł na ClickQuickNow Sp. z o. o. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych.

Ukarana Spółka nie zastosowała się do wymagań dotyczących zgód na przetwarzanie danych osobowych określonych w RODO, w szczególności nie zapewniła możliwości wycofania zgody w sposób równie łatwy jak jej wyrażenie. Prezes UODO stwierdził, że spółka ClickQuickNow działała wręcz odwrotnie, tj. stosowała skomplikowane rozwiązania techniczne i organizacyjne dla procesu wycofania zgody.

Co więcej, ukarany podmiot nie zastosował się do wymagań dotyczących realizacji uprawnień podmiotów danych, tj. prawa do bycia zapomnianym – po otrzymaniu żądań od osób nie będących klientami, dotyczących zaprzestania przetwarzania danych, spółka dalej je przetwarzała przy braku podstawy prawnej.

Wyrok WSA (sygn. akt II SA/Wa2378/2021 z dnia 10 lutego 2021 r.) potwierdza, iż naruszeniem przepisów prawa jest utrudnianie wycofania zgody na przetwarzanie danych osobowych.

Jaki wniosek możemy wysnuć z przedmiotowej sprawy? Należy z uwagą organizować procesy przetwarzania danych osobowych, które będą realizowane w oparciu o zgodę podmiotu danych. Należy bezwzględnie stosować się do wymagań dotyczących zgody na przetwarzanie danych osobowych określonych w art. 7 RODO, tj.:

  • możliwość wykazania, iż osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych – to na administratorze spoczywa obowiązek posiadania dowodu (np. podpisane oświadczenie woli, treść wiadomości email, historia rozmowy w komunikatorze, nagranie rozmowy telefonicznej lub przechowywanie informacji na temat sesji internetowej, w ramach której udzielono zgody);

  • osoba, której dane dotyczą, powinna móc nie wyrazić zgody lub ją wycofać bez ponoszenia niekorzystnych konsekwencji. Jak wskazano w wytycznych Europejskiej Rady Ochrony Danych (dawniej Grupy Roboczej Art. 29) dotyczących zgody: „administrator musi zapewnić, by wycofanie zgody było bezpłatne lub nie pociągało za sobą obniżenia poziomu usług”;

  • zgodnie z art. 7 ust. 3 RODO, administrator musi zadbać o to, by osoba, której dane dotyczą w dowolnym momencie miała możliwość wycofania zgody z taką samą łatwością, z jaką jej udzieliła;

  • po wycofaniu zgody (o ile nie ma innych celów uprawniających do dalszego przetwarzania) administrator ma obowiązek usunąć dane, które przetwarzano na jej podstawie.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


ten − six =