Według UODO ukarana spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym). Naruszyła więc określone w RODO zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych.
Urząd przypomniał, że zgodnie z RODO wycofanie zgody powinno być równie łatwe jak jej wyrażenie, tymczasem ukarana spółka postępowała wręcz odwrotnie - stosowała dla odwołania zgody skomplikowane rozwiązania organizacyjne i techniczne.
Postępowanie Prezesa UODO wykazało, że spółka naruszyła powyższe przepisy RODO, gdyż stosowany przez nią mechanizm odwołania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim odwołaniem zgody. Po uruchomieniu linku, komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Ponadto, spółka wymuszała podanie przyczyny odwołania zgody, a prawo tego nie wymaga. Co więcej, brak wskazania przyczyny skutkował przerwaniem procesu odwoływania zgody.
W decyzji Prezes Urzędu wskazał również, że spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc także tzw. prawo do bycia zapomnianym.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na ostateczny wymiar kary. Uznał też, że działanie spółki było umyślne - przekazywanie osobie zainteresowanej odwołaniem zgody sprzecznych ze sobą komunikatów skutkowało tym, że odwołanie zgody nie dochodziło do skutku. W ten sposób spółka utrudniała, czy wręcz uniemożliwiała realizację praw osób, których dane dotyczą.
Prezes UODO nie tylko nałożył karę finansową na spółkę, ale nakazał jej także dostosowanie do przepisów RODO procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych. Ma ona na to 14 dni od dnia doręczenia decyzji. Spółka musi też usunąć dane osób, które nie są jej klientami i żądały zaprzestania przetwarzania ich danych osobowych.