Ukarana przez Prezesa UODO spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym). Naruszyła więc określone w RODO zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych.
Prezes UODO uznał, że działanie spółki było niezgodne także z art. 7 ust. 3 RODO, spółka w procesie wycofania zgody nie uwzględniła zasady zgodnie, z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie – wręcz odwrotnie stosowała dla wycofania zgody skomplikowane rozwiązania organizacyjne i techniczne. Ponadto Spółka nie ułatwiała realizacji praw osobom, których dane przetwarzała, a wymaga tego art. 12 ust. 2 RODO.
Czytaj także: PUODO nałożył pierwszą karę dla urzędników za naruszenie RODO – 40 tys. zł
Postępowanie Prezesa UODO wykazało, że spółka naruszyła powyższe przepisy RODO, gdyż stosowany przez nią mechanizm wycowania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem zgody. Po uruchomieniu linku, komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Ponadto spółka wymuszała podanie przyczyny wycofania zgody, a prawo tego nie wymaga. Co więcej, brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody.
W decyzji Prezes Urzędu wskazał również, że Spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc także tzw. prawo do bycia zapomnianym.