Wycofanie zgody na przetwarzanie danych osobowych musi być łatwe i nie można go uzależniać od wskazania powodów swej decyzji – podkreślił Urząd Ochrony Danych Osobowych w decyzji nakładającej karę w wysokości 201 tys. zł na spółkę prowadzącą kampanie reklamowe w internecie.
Zgodnie z art. 7 ust. 3 RODO wycofanie zgody na przetwarzanie danych musi być równie łatwe jak jej wyrażenie. Ukarana przez UODO firma w e-mailach marketingowych zamieszczała adnotację o takiej możliwości i podawała link, który miał to ułatwiać. Po kliknięciu na niego internauta trafiał na stronę, na której był pytany o przyczyny odwołania zgody (np. mógł wybrać, że otrzymuje reklamy zbyt często albo też takie, które go nie interesują). Po wskazaniu powodu wyświetlała mu się informacja z adnotacją sugerującą odwołanie zgody tego samego dnia. Poniżej zaś był link do kolejnej strony i dopiero na niej można było skutecznie cofnąć zgodę na przetwarzania danych.
Spółka podczas kontroli przekonywała, że ta dwuetapowość jest niezbędna, aby zabezpieczyć się przed działalnością botów, czyli programów, które mogłyby aktywować linki podane w e-mailach bez wiedzy użytkowników oraz przed przypadkowym na nie kliknięciem. Argumentacja ta nie przekonała jednak prezesa UODO, który uznał, że administrator danych świadomie utrudniał cofnięcie zgody na ich przetwarzanie, a nawet wprowadzał w błąd. Komunikat informujący o odwołaniu zgody tego samego dnia utwierdzał internautę, że ten zrobił wszystko, co powinien. Tymczasem konieczne było kliknięcie na kolejny link.
Już samo żądanie podania przyczyny cofnięcia zgody było, zdaniem UODO, niezgodne z prawem.
„Brak wskazania przyczyny przerywa proces odwołania zgody. Wskazanie przyczyny również nie skutkuje odwołaniem zgody, albowiem spółka po otrzymaniu odpowiedzi dalej kontynuuje proces odwołania zgody, przekazując osobie zainteresowanej sprzeczne ze sobą komunikaty, co w ostateczności skutkuje tym, że odwołanie zgody nie dochodzi do skutku. Takie działania spółki należy zdecydowanie uznać za działanie umyślne mające na celu utrudnianie, czy wręcz uniemożliwienie realizacji praw osób, których dane dotyczą” – podkreślono w uzasadnieniu decyzji.
To piąta kara finansowa nałożona przez UODO, z czego cztery dotyczyły firm prywatnych, a jedna administracji publicznej.
– Najnowsza kara dotyczy jednego z najbardziej istotnych problemów z zakresu ochrony naszych danych osobowych – możliwości łatwego wycofania raz udzielonej zgody na przetwarzanie danych. Zdaniem UODO ukarana spółka stosowała wieloetapowe mechanizmy, które tak naprawdę uniemożliwiały wycofanie zgód. A tymczasem wycofanie zgody musi być równie łatwe jak jej wyrażenie. Z punktu widzenia przeciętnego użytkownika internetu jest to kwestia kluczowa – komentuje dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.