WSA w Warszawie o zasadach wycofywania zgody na przetwarzanie danych osobowych
Wstęp
W wyroku Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie z dnia 10 lutego 2021 r. (II SA/Wa 2378/20) kontrolą objęto decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) z października 2019 r. W szczególności w decyzji tej organ nadzorczy, stwierdziwszy naruszenie art. 5 ust.1 w zw. z art. 5 ust. 2 oraz art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b i art. 24 ust. 1 RODO[1], nakazał administratorowi zmodyfikowanie procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych w taki sposób, by osoby, których dane dotyczą, mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia zapomnianym, a także nałożył administracyjną karę pieniężną za naruszenie tych przepisów. Według organu naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania niezwłocznego usunięcia danych osobowych (prawa do bycia zapomnianym).
Okoliczności sprawy
Według uzasadnienia decyzji Prezesa UODO Spółka (administrator) w trakcie kampanii marketingowej komunikowała, że osoby, do których skierowana została ta kampania i które wyraziły zgodę na przetwarzanie danych osobowych, będą mogły w łatwy i prosty sposób odwołać udzielone zgody, tj. Spółka niezwłocznie po otrzymaniu tego typu informacji zablokuje możliwość dalszej realizacji kampanii w stosunku do użytkownika, który wycofał zgodę lub oświadczył, że nie chce, aby kampania była do niego kierowana.
W toku kontroli UODO wykazano jednak, że Spółka nie stosuje się do zasad, które sama opracowała. Wbrew zapewnieniom Spółki użycie odsyłacza (linku) zamieszczonego w treści informacji handlowych nie skutkowało szybkim odwołaniem zgody na przetwarzanie danych osobowych. Komunikaty przesyłane po uruchomieniu tego linku wprowadzają w błąd osobę, która wnosi o odwołanie zgody, co skutkuje tym, iż jej odwołanie nie jest skuteczne.
Według ustaleń kontroli kliknięcie w link „odwołanie zgody” prowadzi do tego, że użytkownik przekierowywany jest na stronę internetową, na której znajduje się zapytanie o przyczynę rezygnacji z otrzymywania reklam drogą e-mailową (nieudzielenie odpowiedzi na to pytanie nie pozwala na kontynuację procesu odwołania zgody), a następnie, po udzieleniu odpowiedzi na pytanie, użytkownik przekierowywany jest na kolejną stronę, na której pojawia się komunikat o następującej treści: „[…] odwołanie zgody dziś [data – przyp. aut.]”. Pod tym komunikatem znajduje się kolejny: „Dziękuję za odpowiedź! W takiej sytuacji informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem […], w tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych […]”. Według Spółki skuteczne złożenie oświadczenia woli odnośnie do odwołania zgody na przetwarzanie danych może nastąpić jedynie wówczas, gdy osoba po zapoznaniu się z treścią ww. komunikatu skieruje jeszcze raz swoje żądanie na wskazany w komunikacie adres i dokładnie w nim określi, czego się od Spółki domaga.
W ocenie Prezesa UODO z zebranego w sprawie materiału dowodowego wynika bezspornie, że Spółka nie opracowała ani nie wdrożyła takich środków technicznych i organizacyjnych, które powodowałyby, że osoba, której dane dotyczą, otrzymuje w formie łatwo dostępnej, zwięzłej, przejrzystej i zrozumiałej informacje na temat możliwości skutecznego odwołania drogą elektroniczną zgody na przetwarzanie danych osobowych. Osoba, której dane dotyczą, nie może skutecznie skorzystać ze swojego prawa do wycofania w dowolnym momencie udzielonej zgody ani z prawa do bycia zapomnianym.
Argumenty ukaranego administratora
Po otrzymaniu decyzji organu nadzorczego Spółka złożyła na nią skargę do Wojewódzkiego Sądu Administracyjnego. Poza zarzutami naruszenia przepisów postępowania oraz prawnych zasad nakładania administracyjnych kar pieniężnych Spółka podniosła, że w skarżonej decyzji Prezes UODO naruszył art. 7 ust. 3, art. 12 ust. 1–2, art. 17 ust. 1 lit. b RODO poprzez ich błędną wykładnię. Spółka zaoferowała bowiem dwa inne sposoby odwołania zgody na przetwarzanie danych, tj. wysłanie prośby na odpowiedni adres e-mail lub na adres korespondencyjny, a także co najmniej dwukrotnie poinformowała o tych sposobach odwołania zgody. W sytuacji, gdy administrator zebrał zgodę na przetwarzanie danych przez internetowy formularz, odwołanie tej zgody przez przesłanie do administratora wiadomości e-mail zapewnia internetowy środek odwołania zgody. Na tej podstawie Spółka kwestionowała, iż nie można jej zarzucać, że nie wykonała obowiązku zapewnienia łatwego i skutecznego sposobu odwołania zgody na przetwarzanie danych osobowych.
Stanowisko sądu
W swoim wyroku WSA w Warszawie oddalił skargę. Sąd podzielił stanowisko organu nadzorczego, że Spółka nie zastosowała odpowiednich środków technicznych i organizacyjnych, które umożliwiłyby osobom, których dane dotyczą, skuteczne skorzystanie z ich praw, jak stanowi art. 24 ust. 1 RODO. W procesie odwołania zgody skarżąca nie uwzględniła zasady stanowiącej, że wycofanie zgody powinno być równie łatwe, jak jej wyrażenie, stosownie do art. 7 ust. 3 RODO.
Jednocześnie w uzasadnieniu wyroku sformułowano kilka istotnych zasad dotyczących wycofywania zgody na przetwarzanie danych osobowych:
- wycofanie zgody powinno spełniać kryteria nieskomplikowanego i szybkiego odwołania za pośrednictwem tego samego kanału informacyjnego, za pomocą którego pozyskano zgodę (w tym online);
- komunikaty mylące i wprowadzające w błąd osoby zamierzające skorzystać z prawa do odwołania zgody naruszają zasady przejrzystości i rzetelności z RODO;
- pytanie osoby, której dane dotyczą, o przyczyny wycofania zgody jest pozbawione jakiejkolwiek podstawy prawnej i jest działaniem umyślnym mającym na celu utrudnienie czy wręcz uniemożliwienie realizacji praw osób, których dane dotyczą.
W uzasadnieniu wyroku skoncentrowano się na wadliwie funkcjonującym mechanizmie internetowym i nie uwzględniono argumentów Spółki, że zastosowała inne sposoby wycofania zgody, co – jak się wydaje – świadczy o tym, że dla sądu pozostawały one bez znaczenia dla oceny naruszenia administratora polegającego na funkcjonowaniu mylącego i wprowadzającego w błąd rozwiązania.
Wyrok jest nieprawomocny.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).