Sprawdź, co zrobić, gdy wpłynie sprzeciw wobec przetwarzania danych

Przetwarzanie danych osobowych, co do zasady, wymaga zgody osoby, której one dotyczą. Od tej generalnej zasady istnieją jednak wyliczone dokładnie w ustawie o ochronie danych osobowych wyjątki, które pozwalają administratorom danych na przetwarzanie danych osobowych w określonych celach nawet bez tej zgody. Chodzi tu m.in. o sytuacje, gdy przetwarzanie danych jest niezbędne do:

• wykonania określonych prawem zadań realizowanych dla dobra publicznego,
• wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych i nie narusza praw i wolności osoby, której dane dotyczą.

Takim usprawiedliwionym celem realizowanym przez administratora danych jest przede wszystkim:

• marketing bezpośredni własnych produktów lub usług tego administratora danych,
• dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

I właśnie od takiego przetwarzania danych oraz od przekazania danych innemu administratorowi osobie, której dane są przetwarzane, służy prawo wniesienia sprzeciwu.

Sprzeciw wobec przetwarzania danych osobowych może być wyrażony w dowolnej formie – ustnie w siedzibie firmy, pisemnie za pośrednictwem poczty, pocztą elektroniczną czy z wykorzystaniem formularza kontaktowego na stronie firmy albo jej profilu w mediach społecznościowych.

Pierwszą czynnością administratora danych po otrzymaniu sprzeciwu powinno być jego odnotowanie. Administrator danych musi być więc przygotowany do odnotowania sprzeciwu niezależnie od tego, jakim kanałem informacyjnym został on złożony. Natomiast pracownicy odpowiedzialni za kontakt z klientem powinni być poinformowani o możliwości złożenia takiego sprzeciwu, konieczności jego odnotowania w systemach informatycznych administratora danych oraz nadaniu mu dalszego biegu.

Po wniesieniu sprzeciwu kontynuowanie przetwarzania danych osobowych jest niedopuszczalne. Administrator danych powinien natychmiast zaprzestać przetwarzania. Może jednak pozostawić dane identyfikujące jednoznacznie osobę, która zgłosiła sprzeciw (imię, nazwisko, PESEL, adres), ale jedynie na potrzeby uniknięcia ponownego przetwarzania danych tej osoby.

Trzeba pamiętać, że sprzeciw dotyczy wyłącznie wykorzystywania danych na podstawie przesłanek z art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych, tj. niezbędnośi do zadań realizowanych dla dobra publicznego lub do wypełnienia prawnie usprawiedliwionych celów. Oznacza to, że jeżeli administrator danych ma jeszcze inną podstawę prawną przetwarzania danych osobowych, to może nadal przetwarzać dane osobowe na tej innej podstawie prawnej. A zatem sprzeciwu tak naprawdę nie da się skutecznie wnieść, jeżeli na przykład:

• podmiot danych zawarł wcześniej z administratorem umowę, w związku z realizacją której musi dochodzić do przetwarzania danych osobowych,
• podmiot danych wyraził zgodę na przetwarzanie jego danych osobowych,
• podmiot publiczny przetwarza dane w związku z wypełnianiem zadań i obowiązków określonych w przepisach prawa.

W takich przypadkach nie dojdzie bowiem do całkowitego zaprzestania przetwarzania danych osobowych przez administratora danych, a tylko do zaprzestania przetwarzania tych danych w zakresie, w jakim pozwalały na to przesłanki z art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych. De facto oznacza to wyłącznie zaprzestanie marketingu bezpośredniego własnych produktów lub usług.

Administrator danych ma przyjąć sprzeciw i przestać przetwarzać dane osobowe podmiotu. Czy to oznacza, że nie ma żadnej możliwości nieuznania sprzeciwu?

Sprzeciw wywołuje skutek natychmiastowy. Nie jest to prośba czy wniosek, lecz czynność wywołująca z mocy samego prawa natychmiastowy skutek w postaci powstania obowiązku administratora zaprzestania przetwarzania danych osobowych osoby zgłaszającej sprzeciw.

Aby jednak ten skutek nastąpił, sprzeciw musi zostać złożony prawidłowo i dlatego administrator może przed zaprzestaniem przetwarzania danych osobowych:

• zbadać treść sprzeciwu pod kątem spełniania przez niego wymogów, tj. tego, czy wynika z jego treści, kto go wnosi oraz czego żąda,
• w przypadku gdy sprzeciw nie może zostać zrealizowany – wezwać osobę zgłaszającą sprzeciw do uzupełnienia jego braków.

Prawidłowa realizacja sprzeciwu powinna skutkować zaprzestaniem przetwarzania danych osobowych klienta – najczęściej w zakresie wykorzystywania jego danych osobowych do celów marketingowych. Oznacza to, że najpierw należy dokładnie przeanalizować treść żądania i dobrze zidentyfikować zakres przedmiotowy sprzeciwu.

Zidentyfikuj żądanie

Chodzi o to, aby dowiedzieć się dokładnie, czego chce osoba składająca sprzeciw. W przypadku wątpliwości odnośnie do zakresu sprzeciwu należy:

• stwierdzić, w jakiej części żądanie sprzeciwu jest jasne – i niezwłocznie tę część sprzeciwu zrealizować, tj. zaprzestać przetwarzania danych osobowych w zakresie niebudzącym wątpliwości;
• stwierdzić, w jakiej części żądanie sprzeciwu nie jest jasne lub nie daje się wykonać z przyczyn obiektywnych – i niezwłocznie odpowiedzieć na sprzeciw. Odpowiedź powinna zawierać informację o tym, w jakim zakresie sprzeciw został już wykonany, a w jakim zakresie administrator danych prosi o doprecyzowanie sprzeciwu.

Potwierdź otrzymanie sprzeciwu

Przepisy nie wymagają, aby administrator danych osobowych potwierdził otrzymanie sprzeciwu. Takie potwierdzenie będzie musiał dać w zasadzie, tylko jeżeli odbierze sprzeciw wysłany pocztą za zwrotnym potwierdzeniem odbioru. Warto rozważyć zapisanie obowiązku potwierdzania otrzymania sprzeciwu w wewnętrznych regulacjach administratora danych.

Odnotuj sprzeciw w systemach

Gdy administrator danych będzie wiedział, czego podmiot danych od niego żąda (czy to na skutek pierwotnie złożonego sprzeciwu, czy też dodatkowych informacji złożonych przez podmiot danych w późniejszym czasie), może przystąpić do faktycznej realizacji sprzeciwu. Pierwszym krokiem powinno być zidentyfikowanie, jakie procesy u administratora danych opierają się na przetwarzaniu danych osobowych w zakresie objętym sprzeciwem. Należy wylistować wszystkie takie procesy i do ich dysponentów skierować informację o konieczności zaprzestania przetwarzania danych osobowych.

Utwórz dashboard

Wskazany przykład niepełnej realizacji sprzeciwu wskazuje na to, że u wielu administratorów danych opłacalne może być zainstalowanie ujednoliconego systemu informatycznego służącego do zarządzania przetwarzaniem danych osobowych. W jednym, scentralizowanym miejscu będą wówczas zamieszczane newralgiczne informacje dotyczące konkretnego podmiotu danych, na przykład:

• jakie dane osobowe tego podmiotu są przetwarzane,
• kto ma upoważnienia imienne do przetwarzania konkretnych danych,
• czy i z kim zostały zawarte umowy powierzenia przetwarzania danych osobowych,
• czy są przetwarzane dane wrażliwe,
• jakie sprzeciwy zostały złożone,
• w jakiej wersji zostały wyrażone zgody na przetwarzanie danych osobowych.

Opisany sposób zarządzania ochroną danych osobowych pozwoli uniknąć sytuacji, gdy mimo sprzeciwu dane dalej będą przetwarzane w celach nim objętych. Jest on ponadto zgodny z zasadą privacy by design, która wynika z tzw. ogólnego rozporządzenia o ochronie danych (RODO), które będzie stosowane w Polsce od 25 maja 2018 r.

Zasada privacy by design nakazuje wzięcie pod uwagę ochronę prywatności już na etapie projektowania, np. systemu informatycznego. Dlatego warto rozważyć nie tylko samo utworzenie dashboardu, ale również jego częściowe udostępnienie klientowi. Podobne rozwiązania informatyczne przygotowały już większe firmy (Google, Microsoft), ale nie każdy dashboard musi być tak rozbudowany i kosztowny we wdrożeniu. Dobry dashboard przeznaczony dla podmiotu danych powinien mieć formę np. osobnej zakładki w panelu użytkownika na stronie internetowej administratora danych. Z tej zakładki użytkownik powinien móc dowiedzieć się:

• jakiej zgody i o jakiej dokładnie treści udzielił i kiedy,
• jakie dane osobowe ma administrator danych,
• czy i jakie sprzeciwy złożył do tej pory.

Przede wszystkim jednak dashboard powinien umożliwić złożenie sprzeciwu, który automatycznie odnotuje się w podstawowych systemach informatycznych spółki.

Prawidłowa obsługa sprzeciwów wymaga także szkolenia pracowników z ich przyjmowania i obsługi. Nie chodzi tu tylko o szkolenia jednorazowe (dla nowych pracowników), ale o szkolenia okresowe. Konieczność powtarzania szkoleń wynika z tego, że działalność administratora danych się zmienia – otwierane są lub zamykane poszczególne kanały informacji z klientami, wprowadzane modyfikacje w wewnętrznych systemach informatycznych itd.

Szkolenia nie muszą być dedykowane specjalnie tematyce sprzeciwów, ale mogą się wpisywać w szerszy obowiązek administratorów danych do okresowego szkolenia osób upoważnionych do przetwarzania danych osobowych. Pracownicy powinni wiedzieć przede wszystkim:

• jak postępować ze zgłoszonym sprzeciwem,
• skąd czerpać informacje o tym, jakie dane osobowe osoby zgłaszającej sprzeciw i w jakich celach są przetwarzane,
• jakie procesy u administratora powinny zostać uruchomione w toku realizacji sprzeciwu,
• do kogo zwracać się w przypadku wątpliwości odnośnie do właściwego sposobu realizacji sprzeciwu.