Úřad po šetření vydal na základě svých opravných pravomocí dle čl. 58 odst. 2 písm. d) GDPR příkaz k nápravě. Společnosti nařídil, aby do 10 týdnů upravila banner tak, aby možnost „odmítnout vše“ byla stejně snadná a vizuálně nápadná jako možnost „přijmout vše“. Tento požadavek přímo vyplývá z podmínek platného souhlasu podle čl. 7 GDPR. Správce se proti příkazu odvolával až k Nejvyššímu správnímu soudu, což celý proces protáhlo. Ačkoli odvolání nemělo automaticky odkladný účinek, exekuce příkazu byla fakticky pozastavena. Poté, co se příkaz stal konečným a vykonatelným, společnost stanovenou povinnost ignorovala. Aktualizovaný banner, který umožňoval rovnocenné odmítnutí, zavedla až 1. dubna 2025, což znamenalo porušení lhůty o více než 20 týdnů.

Toto opakované nedodržení příkazu úřadu se stalo předmětem nového správního řízení o pokutě. DSB rozhodl, že společnost porušila čl. 58 odst. 2 písm. d) GDPR tím, že nesplnila závazné pokyny dozorce. Úřad shledal jednání jako nedbalostní, přičemž připomněl, že podle judikatury Soudního dvora EU pro uložení pokuty dle GDPR postačuje prokázání nedbalosti. Společnost podle něj věděla nebo měla vědět o své povinnosti příkaz včas splnit.

Úřad uložil pokutu 6 200 EUR za samotné porušení a přidal 620 EUR na náhradu procesních nákladů, celkem tedy 6 820 EUR. Při stanovení výše přihlédl k zásadám účinnosti, přiměřenosti a odrazujícího účinku z čl. 83 GDPR.

Ponaučení z případu:
Rozhodnutí DSB ukazuje, že dozorčí úřady nejen aktivně kontrolují soulad s pravidly pro souhlas, ale také důsledně vymáhají plnění svých vlastních příkazů. Pro firmy to znamená, že i během odvolání proti rozhodnutí úřadu musí vážně zvažovat provedení požadovaných nápravných opatření, neboť riziko další výrazné pokuty za neuposlechnutí je reálné.

ZDROJ: gdprhub.eu