W decyzji z dnia 16 października możemy przeczytać, że naruszenie polegało na tym, że stosowany przez ukaraną Spółkę mechanizm wycofania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem zgody. Po uruchomieniu linku komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Spółka miała wymuszać dodatkowo podanie przyczyny wycofania zgody, czego przepisy o ochronie danych osobowych nie wymagają. Co więcej, brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody.

Zdaniem Spółki taki obowiązek nie uchybiał jednak obowiązkom w zakresie łatwego odwołania zgody, ponieważ po udzieleniu odpowiedzi na pytanie o przyczynę potencjalnej rezygnacji, wyświetlał się komunikat o sposobie odwołania zgody w postaci wysłania żądania na wskazany adres e-mail.

Zdaniem Spółki nie jest to procedura bardziej skomplikowana niż proces pozyskania zgody. Inaczej uznał Prezes UODO. W jego ocenie  za złożenie oświadczenia woli o odwołaniu zgody powinno zostać jednak uznane kliknięcie w link „odwołanie zgody" zawarty w wiadomości marketingowej.

Ponadto w decyzji Prezes UODO wskazał również, że Spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Osoby te posiadają konta poczty elektronicznej we wskazanych serwisach, ale nie są klientami Spółki. Ich dane były jednak w bazie Spółki. Spółka broniła się argumentem, że prowadziła z takimi osobami korespondencję, jednak w ocenie Prezesa UODO nie było to wystarczające.

Zdaniem Prezesa UODO Spółka przetwarzała dane bez podstawy prawnej, a zatem naruszyła zasadę legalności, a nie usuwając danych osób, od których otrzymała żądanie ich usunięcia, naruszyła także tzw. prawo do bycia zapomnianym.

Spółka ma zapłacić 201 559,50 złotych (ok. 47 tys. euro). Warto podkreślić, że Prezes UODO nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary. Uznał też, że działanie Spółki było umyślne, gdyż przekazywanie osobie zainteresowanej wycofaniem zgody sprzecznych ze sobą komunikatów skutkowało tym, że wycofanie zgody nie było skuteczne. W ten sposób Spółka miała utrudniać czy nawet uniemożliwiać realizację praw osób, których dane dotyczą.

Prezes UODO nakazał także ukaranej spółce dostosowanie do przepisów RODO procesu obsługi wniosków o wycofanie zgody na przetwarzanie danych. Ma ona na to 14 dni od dnia doręczenia decyzji. Spółka musi też usunąć dane osób, które nie są jej klientami i które żądały zaprzestania przetwarzania ich danych osobowych.

Oprócz kary pieniężnej Prezes UODO nakazał również podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni. Wskazać należy, że zgodnie z art. 102 ustawy o ochronie danych osobowych dla sektora publicznego maksymalna wysokość kary wynosi 100 tys. zł. Nałożona kara stanowi więc 40 proc. maksymalnej stawki w sektorze publicznym.

Przy ustalaniu wysokości kary Prezes UODO wziął pod uwagę wagę naruszenia, kategorie danych osobowych, których dotyczyło naruszenie, brak realizacji obowiązków administratora wynikających z ogólnego rozporządzenia o ochronie danych, a także czas trwania naruszenia, tj. fakt, że naruszenia objęte nakazem nie zostały usunięte w toku kontroli.

Kara została nałożona za naruszenie art. 28 ust. 3 RODO, czyli brak umowy powierzenia, która powinna zostać zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Taka umowa nie została zawarta również z innym przedsiębiorstwem, które dostarczało oprogramowanie do stworzenia BIP i zajmowało się obsługą serwisową w tym zakresie. Skutkiem braku umowy powierzenia burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej.

Prezes UODO ustalił także brak procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że w BIP były dostępne oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. Prezes UODO zwrócił także uwagę na to, że materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez kanał na YouTube. Urząd nie dysponował kopiami zapasowymi tych nagrań. Ma to znaczenie w przypadku, gdy dojdzie do utraty danych zapisanych w serwisie YouTube.

Administrator nie dysponowałby wtedy nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Ostatecznie doszło zatem do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO).