Sprawdź, co zrobić, gdy wpłynie sprzeciw wobec przetwarzania danych

Marcin Sarna

Autor: Marcin Sarna

Dodano: 22 stycznia 2018
Sprawdź, co zrobić, gdy wpłynie sprzeciw wobec przetwarzania danych

Osoby, których dane osobowe są przetwarzane, mają określone prawa. Jednym z nich jest prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Dowiedz się, co powinien zrobić administrator danych, gdy wpłynie do niego taki sprzeciw.

Przetwarzanie danych osobowych, co do zasady, wymaga zgody osoby, której one dotyczą. Od tej generalnej zasady istnieją jednak wyliczone dokładnie w ustawie o ochronie danych osobowych wyjątki, które pozwalają administratorom danych na przetwarzanie danych osobowych w określonych celach nawet bez tej zgody. Chodzi tu m.in. o sytuacje, gdy przetwarzanie danych jest niezbędne do:

  • wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych i nie narusza praw i wolności osoby, której dane dotyczą.

Takim usprawiedliwionym celem realizowanym przez administratora danych jest przede wszystkim:

  • marketing bezpośredni własnych produktów lub usług tego administratora danych,
  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

I właśnie od takiego przetwarzania danych oraz od przekazania danych innemu administratorowi osobie, której dane są przetwarzane, służy prawo wniesienia sprzeciwu.

Sprzeciw na przetwarzanie danych osobowych – w jakiej formie może wpłynąć

Sprzeciw wobec przetwarzania danych osobowych może być wyrażony w dowolnej formie – ustnie w siedzibie firmy, pisemnie za pośrednictwem poczty, pocztą elektroniczną czy z wykorzystaniem formularza kontaktowego na stronie firmy albo jej profilu w mediach społecznościowych.

Pierwszą czynnością administratora danych po otrzymaniu sprzeciwu powinno być jego odnotowanie. Administrator danych musi być więc przygotowany do odnotowania sprzeciwu niezależnie od tego, jakim kanałem informacyjnym został on złożony. Natomiast pracownicy odpowiedzialni za kontakt z klientem powinni być poinformowani o możliwości złożenia takiego sprzeciwu, konieczności jego odnotowania w systemach informatycznych administratora danych oraz nadaniu mu dalszego biegu.

Ważne:

Sprzeciw może być wniesiony w każdym czasie i nie ma znaczenia to, że podmiot danych wcześniej zgodził się na przetwarzanie jego danych.

Kiedy sprzeciwu nie trzeba realizować

Po wniesieniu sprzeciwu kontynuowanie przetwarzania danych osobowych jest niedopuszczalne. Administrator danych powinien natychmiast zaprzestać przetwarzania. Może jednak pozostawić dane identyfikujące jednoznacznie osobę, która zgłosiła sprzeciw (imię, nazwisko, PESEL, adres), ale jedynie na potrzeby uniknięcia ponownego przetwarzania danych tej osoby.

Trzeba pamiętać, że sprzeciw dotyczy wyłącznie wykorzystywania danych na podstawie przesłanek z art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych, tj. niezbędnośi do zadań realizowanych dla dobra publicznego lub do wypełnienia prawnie usprawiedliwionych celów. Oznacza to, że jeżeli administrator danych ma jeszcze inną podstawę prawną przetwarzania danych osobowych, to może nadal przetwarzać dane osobowe na tej innej podstawie prawnej. A zatem sprzeciwu tak naprawdę nie da się skutecznie wnieść, jeżeli na przykład:

  • podmiot danych zawarł wcześniej z administratorem umowę, w związku z realizacją której musi dochodzić do przetwarzania danych osobowych,
  • podmiot danych wyraził zgodę na przetwarzanie jego danych osobowych,
  • podmiot publiczny przetwarza dane w związku z wypełnianiem zadań i obowiązków określonych w przepisach prawa.

W takich przypadkach nie dojdzie bowiem do całkowitego zaprzestania przetwarzania danych osobowych przez administratora danych, a tylko do zaprzestania przetwarzania tych danych w zakresie, w jakim pozwalały na to przesłanki z art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych. De facto oznacza to wyłącznie zaprzestanie marketingu bezpośredniego własnych produktów lub usług.

Odnotowałeś sprzeciw, co dalej?

Administrator danych ma przyjąć sprzeciw i przestać przetwarzać dane osobowe podmiotu. Czy to oznacza, że nie ma żadnej możliwości nieuznania sprzeciwu?

Sprzeciw wywołuje skutek natychmiastowy. Nie jest to prośba czy wniosek, lecz czynność wywołująca z mocy samego prawa natychmiastowy skutek w postaci powstania obowiązku administratora zaprzestania przetwarzania danych osobowych osoby zgłaszającej sprzeciw.

Aby jednak ten skutek nastąpił, sprzeciw musi zostać złożony prawidłowo i dlatego administrator może przed zaprzestaniem przetwarzania danych osobowych:

  • zbadać treść sprzeciwu pod kątem spełniania przez niego wymogów, tj. tego, czy wynika z jego treści, kto go wnosi oraz czego żąda,
  • w przypadku gdy sprzeciw nie może zostać zrealizowany – wezwać osobę zgłaszającą sprzeciw do uzupełnienia jego braków.

PRZYKŁAD

Sprzeciw, którego nie da się zrealizować

Do przedsiębiorcy prowadzącego hotel zgłoszono, za pośrednictwem jego profilu na portalu Facebook, sprzeciw wobec przetwarzania przez ten hotel danych osobowych w celach marketingowych tego przedsiębiorcy. Sprzeciw został wysłany przez użytkownika o pseudonimie „Niezadowolony1974”, którego profil nie zawierał informacji pozwalających zidentyfikować bliżej osobę składającą sprzeciw. Także w zbiorach danych osobowych hotelu nie znaleziono wskazówki na temat tego, który z gości hotelowych mógłby się posługiwać takim nickiem (w szczególności przeanalizowano pod tym kątem bazę posiadanych adresów e-mail).

W rezultacie administrator nie był w stanie zidentyfikować osoby wnoszącej sprzeciw i tym samym kanałem informacyjnym (tj. wiadomością na portalu Facebook) zapytał o dane osoby wnoszącej sprzeciw.

Jak krok po kroku zrealizować sprzeciw

Prawidłowa realizacja sprzeciwu powinna skutkować zaprzestaniem przetwarzania danych osobowych klienta – najczęściej w zakresie wykorzystywania jego danych osobowych do celów marketingowych. Oznacza to, że najpierw należy dokładnie przeanalizować treść żądania i dobrze zidentyfikować zakres przedmiotowy sprzeciwu.

Zidentyfikuj żądanie

Chodzi o to, aby dowiedzieć się dokładnie, czego chce osoba składająca sprzeciw. W przypadku wątpliwości odnośnie do zakresu sprzeciwu należy:

  • stwierdzić, w jakiej części żądanie sprzeciwu jest jasne – i niezwłocznie tę część sprzeciwu zrealizować, tj. zaprzestać przetwarzania danych osobowych w zakresie niebudzącym wątpliwości;
  • stwierdzić, w jakiej części żądanie sprzeciwu nie jest jasne lub nie daje się wykonać z przyczyn obiektywnych – i niezwłocznie odpowiedzieć na sprzeciw. Odpowiedź powinna zawierać informację o tym, w jakim zakresie sprzeciw został już wykonany, a w jakim zakresie administrator danych prosi o doprecyzowanie sprzeciwu.

Potwierdź otrzymanie sprzeciwu

Przepisy nie wymagają, aby administrator danych osobowych potwierdził otrzymanie sprzeciwu. Takie potwierdzenie będzie musiał dać w zasadzie, tylko jeżeli odbierze sprzeciw wysłany pocztą za zwrotnym potwierdzeniem odbioru. Warto rozważyć zapisanie obowiązku potwierdzania otrzymania sprzeciwu w wewnętrznych regulacjach administratora danych.

Odnotuj sprzeciw w systemach

Gdy administrator danych będzie wiedział, czego podmiot danych od niego żąda (czy to na skutek pierwotnie złożonego sprzeciwu, czy też dodatkowych informacji złożonych przez podmiot danych w późniejszym czasie), może przystąpić do faktycznej realizacji sprzeciwu. Pierwszym krokiem powinno być zidentyfikowanie, jakie procesy u administratora danych opierają się na przetwarzaniu danych osobowych w zakresie objętym sprzeciwem. Należy wylistować wszystkie takie procesy i do ich dysponentów skierować informację o konieczności zaprzestania przetwarzania danych osobowych.

PRZYKŁAD

Niepełna realizacja sprzeciwu

Adam Kowalski złożył do Ameba sp. z o.o. sprzeciw przeciwko przetwarzaniu jego danych osobowych do celów marketingowych tej spółki. Osoba, do której trafił sprzeciw, sprawdziła w systemach informatycznych, że informacje marketingowe są wysyłane do tego klienta e-mailem i SMS-ami. Zaprzestano więc wysyłania e-maili i SMS-ów. Za kilka miesięcy Ameba sp. z o.o. rozpoczęła nową akcję marketingową, w ramach której wysłała klientom tradycyjną pocztą życzenia świąteczne wraz z ofertą reklamową. Adam Kowalski złożył skargę do Generalnego Inspektora Ochrony Danych Osobowych i mimo że w chwili interwencji organu nadzorczego Ameba nie naruszała już przepisów prawa, spółka mogła pożegnać się z panem Adamem jako jej klientem.

W tym przypadku winę ponosi sposób załatwienia sprzeciwu. Zamiast poprzestać na wypisaniu klienta z systemów wysyłających e-maile i SMS-y, spółka powinna była zaznaczyć przy tym kliencie, że nie zgadza się on na wysyłanie mu ofert marketingowych wszelkimi kanałami, w tym takimi, które w chwili składania sprzeciwu nie były w spółce używane.

Utwórz dashboard

Wskazany przykład niepełnej realizacji sprzeciwu wskazuje na to, że u wielu administratorów danych opłacalne może być zainstalowanie ujednoliconego systemu informatycznego służącego do zarządzania przetwarzaniem danych osobowych. W jednym, scentralizowanym miejscu będą wówczas zamieszczane newralgiczne informacje dotyczące konkretnego podmiotu danych, na przykład:

  • jakie dane osobowe tego podmiotu są przetwarzane,
  • kto ma upoważnienia imienne do przetwarzania konkretnych danych,
  • czy i z kim zostały zawarte umowy powierzenia przetwarzania danych osobowych,
  • czy są przetwarzane dane wrażliwe,
  • jakie sprzeciwy zostały złożone,
  • w jakiej wersji zostały wyrażone zgody na przetwarzanie danych osobowych.

Pamiętaj o zasadzie privacy by design

Opisany sposób zarządzania ochroną danych osobowych pozwoli uniknąć sytuacji, gdy mimo sprzeciwu dane dalej będą przetwarzane w celach nim objętych. Jest on ponadto zgodny z zasadą privacy by design, która wynika z tzw. ogólnego rozporządzenia o ochronie danych (RODO), które będzie stosowane w Polsce od 25 maja 2018 r.

Zasada privacy by design nakazuje wzięcie pod uwagę ochronę prywatności już na etapie projektowania, np. systemu informatycznego. Dlatego warto rozważyć nie tylko samo utworzenie dashboardu, ale również jego częściowe udostępnienie klientowi. Podobne rozwiązania informatyczne przygotowały już większe firmy (Google, Microsoft), ale nie każdy dashboard musi być tak rozbudowany i kosztowny we wdrożeniu. Dobry dashboard przeznaczony dla podmiotu danych powinien mieć formę np. osobnej zakładki w panelu użytkownika na stronie internetowej administratora danych. Z tej zakładki użytkownik powinien móc dowiedzieć się:

  • jakiej zgody i o jakiej dokładnie treści udzielił i kiedy,
  • jakie dane osobowe ma administrator danych,
  • czy i jakie sprzeciwy złożył do tej pory.

Przede wszystkim jednak dashboard powinien umożliwić złożenie sprzeciwu, który automatycznie odnotuje się w podstawowych systemach informatycznych spółki.

Uwaga

Nie można wymagać od użytkownika, aby składał sprzeciw wobec przetwarzania jego danych osobowych wyłącznie przez dashboard – nadal będzie to mógł robić dowolnym, wybranym przez siebie kanałem informacyjnym.

Pamiętaj o szkoleniu pracowników

Prawidłowa obsługa sprzeciwów wymaga także szkolenia pracowników z ich przyjmowania i obsługi. Nie chodzi tu tylko o szkolenia jednorazowe (dla nowych pracowników), ale o szkolenia okresowe. Konieczność powtarzania szkoleń wynika z tego, że działalność administratora danych się zmienia – otwierane są lub zamykane poszczególne kanały informacji z klientami, wprowadzane modyfikacje w wewnętrznych systemach informatycznych itd.

Szkolenia nie muszą być dedykowane specjalnie tematyce sprzeciwów, ale mogą się wpisywać w szerszy obowiązek administratorów danych do okresowego szkolenia osób upoważnionych do przetwarzania danych osobowych. Pracownicy powinni wiedzieć przede wszystkim:

  • jak postępować ze zgłoszonym sprzeciwem,
  • skąd czerpać informacje o tym, jakie dane osobowe osoby zgłaszającej sprzeciw i w jakich celach są przetwarzane,
  • jakie procesy u administratora powinny zostać uruchomione w toku realizacji sprzeciwu,
  • do kogo zwracać się w przypadku wątpliwości odnośnie do właściwego sposobu realizacji sprzeciwu.
Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel