Wielu administratorów danych zastanawia się, czy w przypadku przetwarzania danych osobowych na podstawie realizacji umowy konieczne jest poinformowanie klienta o prawie do wniesienia sprzeciwu. Wyjaśniamy, co w tej sytuacji mówi RODO i jakie obowiązki informacyjne ciążą na administratorze.
Prawo do wniesienia sprzeciwu, zgodnie z art. 21 RODO, przysługuje osobie, której dane są przetwarzane w szczególnych sytuacjach, m.in. gdy podstawą przetwarzania jest interes publiczny, wykonywanie władzy publicznej, prawnie uzasadniony interes administratora czy prowadzenie działań marketingowych.
W przypadku przetwarzania danych osobowych w związku z realizacją zawartej umowy (art. 6 ust. 1 lit. b RODO) klient nie posiada prawa do wniesienia sprzeciwu. Oznacza to, że sam fakt zawarcia umowy uzasadnia i legalizuje przetwarzanie danych osobowych niezbędnych do jej wykonania.
Skoro prawo do sprzeciwu nie przysługuje przy przetwarzaniu danych w ramach realizacji umowy, administrator nie jest zobowiązany do informowania o takim uprawnieniu w ramach klauzul informacyjnych.
Należy jednak pamiętać, że obowiązek informacyjny nadal obejmuje:
wskazanie podstawy prawnej przetwarzania (art. 6 ust. 1 lit. b RODO),
określenie celu przetwarzania (np. wykonanie usługi, realizacja zamówienia),
poinformowanie o innych prawach osoby, której dane dotyczą (np. prawo dostępu do danych, sprostowania czy skargi do organu nadzorczego).
Dane przetwarzane w związku z umową podlegają innym regułom niż np. dane wykorzystywane do marketingu czy badań statystycznych. Administrator powinien pamiętać, że:
prawo do sprzeciwu nie dotyczy sytuacji, gdy dane są niezbędne do realizacji umowy,
w ramach obowiązku informacyjnego nie należy wprowadzać klienta w błąd poprzez informowanie o uprawnieniu, które w danej sytuacji nie istnieje,
mimo to należy w pełni poinformować o innych prawach przewidzianych w RODO.
Pamiętajmy, iż skuteczny sprzeciw oznacza taki, który powoduje konieczność zaprzestania dalszego przetwarzania danych osobowych przez administratora. Zgodnie z art. 21 RODO, osoba, której dane dotyczą, ma prawo wnieść sprzeciw w dowolnym momencie, jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. e lub f RODO.
Oznacza to, że sprzeciw może zostać zgłoszony w sytuacji, gdy przetwarzanie danych:
jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
odbywa się w oparciu o prawnie uzasadniony interes administratora lub strony trzeciej – z wyjątkiem przypadków, gdy nadrzędne znaczenie mają interesy, prawa lub wolności osoby, której dane dotyczą. Szczególna ochrona dotyczy tu w szczególności dzieci.
Kiedy można dalej przetwarzać dane osobowe mimo sprzeciwu?
1. Podmiot danych zawarł wcześniej z administratorem umowę, w związku z realizacją której musi dochodzić do przetwarzania danych osobowych a umowa ta nie została rozwiązana;
2. Umowa z klientem została rozwiązana, klient wniósł sprzeciw ale administrator danych osobowych będzie dochodził od klienta zaległych opłat.
3. Podmiot publiczny przetwarza dane w związku z wypełnianiem zadań i obowiązków określonych w przepisach prawa.
Osoba, której dane dotyczą, ma możliwość wniesienia sprzeciwu wobec przetwarzania jej danych osobowych w celach marketingu bezpośredniego – w tym także wobec profilowania, o ile profilowanie pozostaje w związku z takim marketingiem.
Sprzeciw wobec przetwarzania danych w celach marketingu bezpośredniego może zostać zgłoszony zawsze, niezależnie od tego, na jakiej podstawie prawnej odbywa się przetwarzanie. Oznacza to, że w tym przypadku uprawnienie osoby, której dane dotyczą, nie jest ograniczone wyłącznie do sytuacji wskazanych w art. 6 ust. 1 lit. e lub f RODO.
Zgodnie z art. 21 ust. 2 RODO jest to szczególny rodzaj sprzeciwu, odrębny od tego przewidzianego w art. 21 ust. 1 RODO. Wynika to m.in. z braku odesłania w ust. 2 do ust. 1 oraz z użycia sformułowania „w dowolnym momencie”.
Ponadto motyw 70 RODO wyraźnie wskazuje, że każda osoba powinna mieć prawo wnieść sprzeciw wobec przetwarzania dotyczącego marketingu bezpośredniego – zarówno pierwotnego, jak i dalszego – w tym również profilowania związanego z tym celem. Sprzeciw ten powinien być:
darmowy,
możliwy w dowolnym momencie,
przekazany osobie, której dane dotyczą, w sposób jasny, zrozumiały i odrębny od innych informacji.
Dodatkowo RODO przewiduje możliwość wniesienia sprzeciwu również wobec przetwarzania danych w celach badań naukowych, historycznych czy statystycznych (art. 89 ust. 1 RODO). Wyjątkiem jest sytuacja, gdy takie przetwarzanie jest niezbędne do realizacji zadania wykonywanego w interesie publicznym.
Tabela: Sprzeciw wobec marketingu bezpośredniego
|
Opis |
Charakterystyka |
|
Prawo osoby, której dane dotyczą |
|
|
Forma i czas wniesienia sprzeciwu |
|
|
Skutki sprzeciwu |
|
|
Obowiązek informacyjny administratora |
|
Przeczytaj także:
UODO
Opracowanie: Marcin Sarna
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
