Urząd Ochrony Danych Osobowych (UODO) poinformował na swojej stronie internetowej, że wyrokiem z 12 listopada 2024 r. Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną spółki ClickQuickNow, od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA). Oznacza to, że została utrzymana w mocy decyzja organu nadzorczego z 2019 r., nakładająca na spółkę karę w wysokości 201 559,50 zł, za m.in. utrudnianie wycofania zgody na przetwarzanie danych osobowych. Wszystko wskazuje więc na to, że ukarany administrator – po prawie 5 latach od wydania decyzji – nie uniknie zapłacenia kary pieniężnej.
Organ nadzorczy nakłada karę
Prezes UODO stwierdził w decyzji z 2019 r., że ukarana spółka nie wdrożyła odpowiednich rozwiązań technicznych i organizacyjnych, które gwarantowałyby osobom, których dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych, jak również skuteczną realizację prawa do usunięcia danych osobowych. W ocenie regulatora, administrator nie uwzględnił wynikającej z RODO zasady, zgodnie z którą wycofanie zgody powinno być równie łatwe, jak jej wyrażenie. Spółka – w ocenie regulatora – stosowała rozwiązania, które wręcz to utrudniały. W treści informacji handlowej umieszczała ona bowiem link, którego kliknięcie prowadziło użytkownika do komunikatów, które mogły wprowadzać go w błąd. Dodatkowo, użytkownik był zobowiązany do podania przyczyn wycofania zgody. Brak ich podania powodował, że zgoda nie była skutecznie wycofana. Ukarany administrator zaskarżył decyzję organu nadzorczego do WSA, a następnie do NSA.
NSA potwierdza stanowisko organu
Regulator poinformował w komunikacie opublikowanym na swojej stronie internetowej, że – podobnie, jak wcześniej WSA – NSA potwierdził jego stanowisko co do słuszności nałożenia kary oraz jej wysokości. Sąd miał wskazać w uzasadnieniu ustnym wyroku, że link umieszczany w przesyłanej przez administratora informacji handlowej, który miał umożliwić wycofanie zgody, w praktyce tego nie umożliwiał, zaś komunikaty wyświetlane osobom, których dane dotyczą, wprowadzały je w błąd w tym zakresie. NSA miał podkreślić, że z ustaleń sądu wynika, że osoby, które próbowały wycofać zgodę na przetwarzanie danych osobowych i w tym celu klikały w dedykowany link, otrzymywały komunikat o treści: „Pani odwołanie zgody dziś 13.02.2019 !”. Otrzymanie takiego komunikatu nie oznaczało jednak skutecznego wycofania zgody na przetwarzanie danych osobowych, zaś zobowiązywało użytkownika do podania przyczyny jej wycofania. Brak podania przyczyny skutkować miał bezskutecznym zakończeniem procesu wycofywania zgody. Organ nadzorczy podkreślił, że NSA zwrócił również uwagę w uzasadnieniu wyroku na dużą skalę zakwestionowanej praktyki administratora. Spółka bowiem miała – na dzień 31 stycznia 2019 r. – przetwarzać dane osobowe ponad 2 milionów osób.
Pracownik nie może być odpowiedzialny za ustalanie sposobów zabezpieczenia danych
Wyrok oczywisty, ale potrzebny
Wnioski zaprezentowane przez organ nadzorczy w decyzji, jak również przez sądy administracyjne, choć oczywiste, wydają się jak najbardziej słuszne. Z przepisów RODO wynika wprost, że osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę, co powinno być równie łatwe jak jej wyrażenie. Administratorzy powinni zatem za każdym razem, gdy pozyskują zgody na przetwarzanie danych osobowych, zadbać jednocześnie o to, aby osoba, której dane dotyczą mogła ją łatwo i skutecznie wycofać w każdym momencie.
Źródła:
https://uodo.gov.pl/pl/138/3417
https://archiwum.uodo.gov.pl/pl/138/1246