日期：6 November 2019

國家：波蘭

關鍵字：當事人同意；撤回同意

GDPR：§5(1)(a) (lawfulness, fairness and transparency)、§7(3) (withdraw consent)、§12 (transparent information)、§17 (right to erasure)

裁決：行政罰鍰（PLN 201,000）、命令（遵循資料主體行使權利之要求、適當處理資料）

摘要：

(1) 監管機關對控管者 ClickQuickNow 公司處以行政罰鍰，因為該公司沒有實施適當的技術及組織措施，以確保資料主體：

･ 得以容易、有效的方式撤回處理其個人資料之同意；

･ 請求刪除個人資料（被遺忘權）。

(2) 上述缺失，違反 GDPR §5(1)(a) 規定之合法性，公平性和透明度原則。

(3) 控管者違反了 GDPR §7(3) 的規定，因為該公司沒有考慮到，資料主體撤回同意，應該如同其給予同意一樣容易的原則（[Right to withdraw] shall be as easy to withdraw as to give consent.），相反的，控管者設計了複雜的組織與技術上的處理方式，因此，該公司並沒有遵守 GDPR §12(2) 規定，促進資料主體行使權利（facilitate the exercise of the subject rights）。

(4) 此外，由於控管者採用的撤回同意機制，是包裹在一連串商業訊息的連結中，監管機關認為，這樣的作法，無法讓資料主體達到快速撤回（quick withdrawal）的效果，而且，當有意撤回同意的資料主體進入連結後，提供給他的訊息也具有誤導性，甚者，該公司還強制要求資料主體必須說明撤回同意的理由，倘若沒有提供，撤回同意程序即告中斷，這是法律所沒有的限制。

(5) 因此，監管機關認為控管者也違反了被遺忘權的規定。