Przejdź do treści
Strona główna » Strefa wiedzy » Nie można utrudniać wycofania zgody

Nie można utrudniać wycofania zgody

Niby nic odkrywczego, ale to jednak wciąż pomijany aspekt zbierania zgody na przetwarzanie danych osobowych. Sam spotykam się co jakiś czas z takim podejściem. Na temat wycofywania zgody wypowiedział się w swoim odniesieniu Naczelny Sąd Administracyjny, kończąc tym samym postępowanie w sprawie nałożenia kary na ClickQuickNow.

O warunkach wyrażenia zgody napisałem już tutaj – jeżeli ich nie znasz, zachęcam Cię do przeczytania tego krótkiego wpisu. W kontekście samego przykładu podarowanego przez życie, czyli wspomnianej spółki ClickQuickNow, czuję się natomiast zobowiązany do opisania jeszcze jednego wątku. Wątkiem tym jest właśnie możliwość wycofania zgody. Sięgnijmy do źródła, czyli przepisu art. 7 ust. 3 RODO:

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Jakie wnioski możemy wyciągnąć z przytoczonego przepisu? Co najmniej cztery:

  • zgodę można w dowolnym momencie wycofać;
  • wycofanie zgody nie działa wstecz – wszystko, co wydarzyło się na jej podstawie przed wycofaniem jest legalne;
  • o możliwości wycofania zgody należy poinformować osobę, która ma ją złożyć, np. w związku z realizacją obowiązku informacyjnego;
  • wycofanie zgody musi być równie łatwe, co jej wyrażenie.

Łatwe, czyli jakie? Aby odpowiedzieć na to pytanie należy cofnąć się do tego, w jaki sposób zgoda została odebrana. To forma pozyskania zgody będzie wyznaczała próg trudności jej wycofania, powyżej którego możesz narazić się na nieprzyjemne konsekwencje. Przykłady? Proszę bardzo!

  • Jeżeli zgoda była wyrażona w formie pisemnego oświadczenia, jej wycofanie powinno być możliwe w tej samej formie.
  • Jeżeli zgoda była wyrażona przez działanie, to również przez działanie może zostać wycofana.
  • Jeżeli zgoda była wyrażona przez zaznaczone checkbox’a na stronie internetowej, to jej wycofanie powinno być możliwe zasadniczo przez jedno kliknięcie.

I tu wkracza na scenę ukarana spółka ClickQuickNow.

W przypadku ukaranej spółki problemem było właśnie elektroniczne odbieranie zgód. Do wycofania zgody wymagane było podanie przyczyny. Z punktu widzenia RODO zgoda może być wycofana wtedy, gdy osoba, której ona dotyczy po prostu zmieni zdanie. Niezależnie od tego, co tę zmianę zdania spowodowało. W przypadku ClickQuickNow natomiast, pomimo prawidłowego rozwiązania polegającego na wprowadzeniu linku, którego kliknięcie powodowało wycofanie zgody, w praktyce do wycofania zgody nie dochodziło. Użytkownik otrzymywał wprawdzie komunikat o wycofaniu zgody, jednak wymagał również podania właśnie przyczyny, a brak jej podania skutkował przerwaniem procesu jej odwołania. Efektem jest potwierdzona przez Naczelny Sąd Administracyjny konieczność zapłacenia kary pieniężnej w wysokości 201 559,50 zł.

Jak to powinno wyglądać? Kliknięcie w link odwołania zgody powinien wysłać komunikat do operatora, na podstawie którego – automatycznie albo ręcznie – zgoda zostałaby usunięta z systemu. Po co informacja o przyczynach? Takie informacje spełniają funkcję feedbacku, który pozwala lepiej projektować rozwiązania w przyszłości. Czy kategorycznie zakazane jest zbieranie takich informacji? Moim zdaniem nie, ale trzeba pamiętać, że nie można od jej udzielenia uzależnić możliwości wycofania zgody. Główną informacją jest wycofanie zgody, a wskazanie przyczyny powinno być opcjonalne.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *