W decyzji z dnia 16 października możemy przeczytać, że naruszenie polegało na tym, że stosowany przez ukaraną Spółkę mechanizm wycofania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem zgody. Po uruchomieniu linku komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Spółka miała wymuszać dodatkowo podanie przyczyny wycofania zgody, czego przepisy o ochronie danych osobowych nie wymagają. Co więcej, brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody.
Zdaniem Spółki taki obowiązek nie uchybiał jednak obowiązkom w zakresie łatwego odwołania zgody, ponieważ po udzieleniu odpowiedzi na pytanie o przyczynę potencjalnej rezygnacji, wyświetlał się komunikat o sposobie odwołania zgody w postaci wysłania żądania na wskazany adres e-mail.
Zdaniem Spółki nie jest to procedura bardziej skomplikowana niż proces pozyskania zgody. Inaczej uznał Prezes UODO. W jego ocenie za złożenie oświadczenia woli o odwołaniu zgody powinno zostać jednak uznane kliknięcie w link „odwołanie zgody" zawarty w wiadomości marketingowej.
Ponadto w decyzji Prezes UODO wskazał również, że Spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Osoby te posiadają konta poczty elektronicznej we wskazanych serwisach, ale nie są klientami Spółki. Ich dane były jednak w bazie Spółki. Spółka broniła się argumentem, że prowadziła z takimi osobami korespondencję, jednak w ocenie Prezesa UODO nie było to wystarczające.
Zdaniem Prezesa UODO Spółka przetwarzała dane bez podstawy prawnej, a zatem naruszyła zasadę legalności, a nie usuwając danych osób, od których otrzymała żądanie ich usunięcia, naruszyła także tzw. prawo do bycia zapomnianym.
Spółka ma zapłacić 201 559,50 złotych (ok. 47 tys. euro). Warto podkreślić, że Prezes UODO nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary. Uznał też, że działanie Spółki było umyślne, gdyż przekazywanie osobie zainteresowanej wycofaniem zgody sprzecznych ze sobą komunikatów skutkowało tym, że wycofanie zgody nie było skuteczne. W ten sposób Spółka miała utrudniać czy nawet uniemożliwiać realizację praw osób, których dane dotyczą.
Prezes UODO nakazał także ukaranej spółce dostosowanie do przepisów RODO procesu obsługi wniosków o wycofanie zgody na przetwarzanie danych. Ma ona na to 14 dni od dnia doręczenia decyzji. Spółka musi też usunąć dane osób, które nie są jej klientami i które żądały zaprzestania przetwarzania ich danych osobowych.