Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2378/20 zmierzył się z problemem, który dotyka tysięcy konsumentów – nadmiernie skomplikowanym i wprowadzającym w błąd procesem wycofania zgody na przetwarzanie danych osobowych. Ważne w tym sporze jest to, że w wyroku z dnia 12 listopada 2024 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki ClickQuickNow, przychylając się do stanowiska Wojewódzkiego Sądu Administracyjnego.
Historia sporu
Sprawa rozpoczęła się od kontroli Prezesa Urzędu Ochrony Danych Osobowych w spółce ClickQuickNow prowadzącej działalność marketingową i lead generation. Firma zgromadziła imponującą bazę ponad 2,2 miliona rekordów, pozyskanych głównie poprzez organizację konkursu „Najszybszy – wygrywa”. Dane te wykorzystywano do prowadzenia kampanii marketingowych na zlecenie innych podmiotów.
Problemy pojawiły się, gdy osoby znajdujące się w bazie próbowały wycofać swoją zgodę na przetwarzanie danych. Spółka stworzyła złożony, wieloetapowy proces, który zamiast ułatwiać, skutecznie utrudniał realizację tego podstawowego prawa. Użytkownik musiał najpierw kliknąć w specjalny link, następnie został przekierowany na stronę z pytaniem o przyczynę rezygnacji, gdzie mógł wybrać tylko jedną z dwóch predefiniowanych odpowiedzi. Po dokonaniu wyboru system wyświetlał komunikat sugerujący skuteczne odwołanie zgody, by następnie poinformować o konieczności ponownego kontaktu w celu faktycznego wycofania zgody.
Sprawdź również: Outsourcing IOD do naszej kancelarii – czy sprawdzi się w Twojej firmie?
Stanowisko organu nadzorczego
Prezes UODO uznał takie działanie za rażące naruszenie przepisów o ochronie danych osobowych. W swojej decyzji organ podkreślił, że proces odwołania zgody powinien być równie prosty jak jej wyrażenie. Wprowadzanie dodatkowych, nieuzasadnionych wymagań, takich jak konieczność podania przyczyny rezygnacji, stanowi niedopuszczalne utrudnienie w realizacji praw podmiotu danych.
Szczególnie krytycznie organ ocenił praktykę wysyłania sprzecznych komunikatów, które wprowadzały użytkowników w błąd co do skuteczności odwołania zgody. Za naganne uznano również ignorowanie tzw. „pustych maili” przesyłanych na dedykowany adres do odwoływania zgód, których spółka otrzymywała około 10 tysięcy dziennie.
W efekcie organ nałożył na spółkę karę w wysokości 201 559,50 złotych, uznając, że naruszenia miały charakter umyślny i dotyczyły bardzo szerokiego kręgu osób.
Rozstrzygnięcie WSA
Wojewódzki Sąd Administracyjny w pełni podzielił stanowisko PUODO, oddalając skargę spółki. W uzasadnieniu wyroku sąd szczególną uwagę zwrócił na kwestię przejrzystości i rzetelności w relacjach z osobami, których dane dotyczą. Podkreślił, że administrator danych nie może tworzyć sztucznych barier w realizacji praw podmiotów danych, a każde żądanie powinno być rozpatrzone skutecznie już przy pierwszej próbie jego złożenia.
Sąd zgodził się również z organem, że wysokość nałożonej kary jest adekwatna do wagi naruszeń. Wzięto pod uwagę nie tylko skalę nieprawidłowości i liczbę dotkniętych nimi osób, ale również brak rzeczywistych działań naprawczych ze strony spółki, która ograniczyła się jedynie do deklaracji zmian, nie przedstawiając na to żadnych dowodów.
Sprawdź: Audyt zgodności z RODO – jak go przeprowadzić?
Znaczenie wyroku dla praktyki
Orzeczenie to ma duże znaczenie dla branży marketingowej. Jasno wskazuje, że proces odwołania zgody musi być maksymalnie uproszczony i transparentny. Administrator nie może wymagać od osoby odwołującej zgodę żadnych dodatkowych informacji czy działań, które nie są niezbędne do realizacji tego prawa.
Wyrok stanowi też przestrogę dla przedsiębiorców, którzy mogliby być skłonni do stosowania podobnych praktyk. Pokazuje, że zarówno PUODO, jak i sądy administracyjne bardzo poważnie traktują naruszenia związane z utrudnianiem realizacji praw osób, których dane dotyczą. Wysokość nałożonej kary dowodzi, że takie działania mogą wiązać się z poważnymi konsekwencjami finansowymi.
Przedsiębiorcy powinni więc dokładnie przeanalizować stosowane przez siebie procedury, szczególnie w zakresie marketingu i przetwarzania danych na podstawie zgody. Kluczowe jest zapewnienie prostych, intuicyjnych mechanizmów pozwalających na skuteczne odwołanie zgody oraz jasnej, jednoznacznej komunikacji z osobami korzystającymi z tego prawa.
Komentarz praktyczny: Mechanizm odwołania zgody musi być prosty i skuteczny
Wyrok NSA potwierdza fundamentalną zasadę, że proces odwołania zgody na przetwarzanie danych osobowych powinien być tak samo prosty jak jej wyrażenie. Stanowisko sądu zasługuje na pełną aprobatę i powinno stanowić jasny sygnał dla branży marketingowej.
Jak powinien wyglądać prawidłowy mechanizm wycofywania zgody marketingowej? – checklista
- Zakaz sztucznych barier
- Niedopuszczalne jest tworzenie wieloetapowych procesów odwołania zgody
- Nie można wymagać uzasadnienia decyzji o wycofaniu zgody
- Każda próba odwołania zgody powinna być skuteczna już za pierwszym razem
- Praktyczne rekomendacje dla administratorów
- Wdrożenie jednoprzyciskowego mechanizmu odwołania zgody
- Natychmiastowe potwierdzenie skuteczności odwołania
- Dokumentowanie procesu na wypadek kontroli
- Regularne audytowanie skuteczności procedur
- Administratorzy powinni niezwłocznie:
- Przeanalizować obecne procedury odwoływania zgód
- Usunąć wszystkie zbędne kroki i wymagania
- Wdrożyć mechanizm jednokrotnego kliknięcia
- Przeszkolić personel w zakresie nowych standardów
Komentarz radcy prawnego
Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Omawiane orzeczenie oraz przytoczona decyzja PUODO z 2019 r. jednoznacznie wskazują, że nie można wprowadzać jakichkolwiek utrudnień w procesie wycofywania zgody na przetwarzanie danych osobowych. Prawo do wycofania zgody jest bowiem jednym z fundamentalnych uprawnień każdej osoby, której dane są przetwarzane.
Kluczowe w tej sprawie jest to, że proces wycofania zgody musi być równie prosty jak jej wyrażenie. Jeśli wyrażenie zgody następuje poprzez jedno kliknięcie, również jej wycofanie powinno być możliwe jednym kliknięciem. Wprowadzanie dodatkowych kroków, formularzy czy konieczności podania powodu wycofania zgody jest niedopuszczalne.
Dodatkowo, należy zwrócić uwagę na obowiązek informacyjny – administrator musi uprzedzić osobę o prawie do wycofania zgody jeszcze zanim ta zgoda zostanie wyrażona. Jest to warunek świadomej decyzji o przetwarzaniu danych.
Nałożona w tej sprawie kara ponad 200 tysięcy złotych pokazuje, że organy nadzorcze bardzo poważnie traktują naruszenia w tym zakresie. Jest to jasny sygnał dla administratorów – wycofanie zgody musi być proste, skuteczne i natychmiastowe. Wszelkie próby utrudniania tego procesu spotkają się z surową reakcją UODO.
W praktyce oznacza to konieczność wdrożenia prostych mechanizmów wycofywania zgody, najlepiej poprzez jeden przycisk lub link, oraz natychmiastowego potwierdzania skuteczności takiego wycofania. Warto też zadbać o właściwą dokumentację całego procesu, by w razie kontroli móc wykazać jego zgodność z RODO.
Kancelaria Linke Kulicki to kancelaria prawna, która od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowej pomocy dla firm. Rzetelnie sprawdzamy wszystkie kwestie, dzięki czemu jesteśmy w stanie wykazać ewentualne braki w zakresie ochrony danych osobowych i zaproponować skuteczne zmiany gwarantujące bezpieczeństwo. Nasza aktywność koncentruje się także na reprezentowaniu Klientów przed Prezesem Urzędu Ochrony Danych Osobowych oraz w postępowaniach sądowych z zakresu ochrony danych osobowych.