Jak zareagować na sprzeciw odnośnie przetwarzania danych – 6 wskazówek dla ADO
Jeżeli administrator danych osobowych otrzyma sprzeciw podmiotu tych danych co do ich przetwarzania, wówczas musi podjąć określone działania w celu realizacji tego uprawnienia. Sprawdź, jak zareagować na wniesiony sprzeciw, aby nie naruszyć praw podmiotu danych i nie narazić się na konsekwencje finansowe względem podmiotu danych i Prezesa UODO.
Z tematu tygodnia dowiesz się:
- kiedy sprzeciw jest dopuszczalny,
- jak zarejestrować sprzeciw,
- jak przeanalizować żądanie podmiot danych,
- jak zareagować na sprzeciw,
- kiedy mimo sprzeciwu można dalej przetwarzać dane.
Wszystko zależy od podstawy przetwarzania danych
Kiedy podmiot danych może złożyć skuteczny sprzeciw? Jest to możliwe w przypadku przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. e lub f RODO.
Podmiot danych może złożyć sprzeciw w przypadku przetwarzania danych osobowych:
- które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
- jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Sprzeciw może być wniesiony wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
Sprzeciw wobec przetwarzania danych na potrzeby marketingu bezpośredniego może być wniesiony w każdym przypadku, a nie tylko w przypadku przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. e lub f RODO. Uprawnienie z art. 21 ust. 2 RODO to sprzeciw szczególny, niezależny od prawa z art. 21 ust. 1 RODO. Taka interpretacja jest uzasadniona ze względu brak odwołania w art. 21 ust. 2 RODO do art. 21 ust. 1 RODO ale także użycie sformułowania „w dowolnym momencie”. Poza tym z motywu 70 RODO wynika, że podmiot danych powinien mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec przetwarzania danych w celu marketingu bezpośredniego - pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.
Ponadto podmiot danych może sprzeciwić się przetwarzaniu danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO – chyba że takie przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
Sklep przetwarza dane swoich klientów w celu tworzenia analiz statystycznych (popularność towarów, czas kupowania i inne dane przetwarzane m.in. w zakresie tzw. big data). Administrator odmawia realizacji sprzeciwu podmiotu danych przeciwko przetwarzaniu danych. Odmawiając realizacji uprawnienia podmiotu danych, ADO w tym zakresie postępuje nieprawidłowo, ponieważ osoba ta mogła złożyć skuteczny sprzeciw względem przetwarzania danych w celach statystycznych gdy nie jest to niezbędne do wykonania zadania realizowanego w interesie publicznym.
Jak zarejestrować sprzeciw
Podmiot danych może złożyć sprzeciw w każdym czasie i w dowolnej formie:
- ustnie w siedzibie administratora danych osobowych,
- pisemnie za pośrednictwem poczty,
- pocztą elektroniczną,
- z wykorzystaniem formularza kontaktowego na stronie firmy albo jej profilu w mediach społecznościowych itp.
W pierwszej kolejności administrator powinien zarejestrować złożony sprzeciw. Musi to zrobić niezależnie od formy jego złożenia.
Warto pouczyć swój personel o tym, że sprzeciw może być złożony nawet ustnie, a osoba przyjmująca musi niezwłocznie odnotować go w systemach informatycznych administratora danych oraz nadaniu dalszego biegu.
Wprawdzie administrator danych osobowych nie musi potwierdzać otrzymania sprzeciwu. Niemniej jednak warto to uczynić, ponieważ:
- osoba wnosząca sprzeciw dostając potwierdzenie jego otrzymania może mieć przekonanie iż zostanie potraktowana zgodnie z przepisami prawa – rozwiązanie takie świadczy więc o profesjonalizmie administratora,
- pracownik, który potwierdzi otrzymanie sprzeciwu, będzie czuł się bardziej zobowiązany do jego rozpoznania niż gdy tego nie zrobi.
Koniec z przetwarzaniem danych
W wyniku skutecznego wniesienia sprzeciwu administrator danych osobowych powinien natychmiast zaprzestać przetwarzania danych osobowych objętych tym sprzeciwem. Sprzeciw wywołuje bowiem natychmiastowy skutek. Nie jest to wniosek lecz czynność generująca z mocy samego prawa obowiązek ADO zaprzestania przetwarzania danych osobowych osoby zgłaszającej sprzeciw. Oczywiście, aby zrealizować uprawnienie, należy wnikliwie przeanalizować treść i zakres przedmiotowy sprzeciwu.
Nim zrealizujesz sprzeciw, przeanalizuj jego treść, w szczególności:
- weryfikując czy wynika z jego treści kto go wnosi oraz czego żąda,
- wzywając osobę zgłaszającą sprzeciw do uzupełnienia jego braków - w przypadku gdy sprzeciw w przedstawionym brzmieniu nie może zostać zrealizowany.
Przedsiębiorca otrzymał sprzeciw w wiadomości wysłanej za pośrednictwem aplikacji Messenger w ramach profilu na swoim portalu społecznościowego. Z treści sprzeciwu wynikało, że złożyła go osoba o profilu, na którym znajduje się jedynie login tej osoby (brak natomiast danych identyfikacyjnych). W bazie danych klientów przedsiębiorcy nikogo takiego nie znaleziono.
W takiej sytuacji należy wystąpić za pośrednictwem tego samego kanału komunikacji do osoby, od której wpłynął sprzeciw, z prośbą o podanie danych osobowych, które pozwolą odnaleźć tę osobę w bazie danych klientów i w ten sposób zrealizować to uprawnienie.
Jak zrealizować sprzeciw? Po wyeliminowaniu wszelkich wątpliwości odnośnie jego treści należy zidentyfikować, które procesy u administratora danych opierają się na przetwarzaniu danych osobowych w zakresie objętym sprzeciwem. Następnie do dysponentów tych procesów należy skierować informację o konieczności zaprzestania przetwarzania danych osobowych.
Należy odróżnić sprzeciw od innych uprawnień
Administrator danych powinien też zwrócić szczególną uwagę na to, czy otrzymane żądanie jest na pewno sprzeciwem a nie dotyczy innego uprawnienia. Przykładowo zgodnie z art. 18 RODO podmiot danych może domagać się od ADO ograniczenia przetwarzania jego danych – w szczególności w przypadkach, gdy:
- podmiot danych kwestionuje prawidłowość przetwarzanych danych (np. twierdzi, że jego numer telefonu został zapisany błędnie); albo
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania (np. klient firmy twierdzi, że firma nie ma prawa przetwarzać jego danych o stanie zdrowia ale nie ma nic przeciwko dalszemu przetwarzaniu jego danych personalnych i adresowych).
Jest to odmienne rozwiązanie w stosunku do sprzeciwu. Dlatego w razie ewentualnych wątpliwość interpretacyjnych w przedmiocie tego, czego domaga się podmiot danych, administrator powinien dążyć do ich wyjaśnienia. Administrator powinien to zrobić w taki sposób, by w razie ewentualnej kontroli mógł wykazać, jaki komunikat i kiedy został przez niego wysłany do podmiotu danych.
Na marginesie, sprzeciw ma jednak pewne powiązanie z ograniczeniem przetwarzania danych. Otóż jeżeli podmiot danych wniósł sprzeciw to wówczas może żądać od administratora ograniczenia przetwarzania jej danych osobowych ale tylko do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Warto wprowadzić odpowiedni system IT
Administrator, który przetwarza dużą liczbę danych i który z tego tytułu może spodziewać się częstszych sprzeciwów, powinien rozważyć wdrożenie ujednoliconego systemu informatycznego służącego do zarządzania przetwarzaniem danych osobowych. W systemie takim mogłyby zostać zamieszczone najistotniejsze informacje dotyczące poszczególnych podmiotów danych, w szczególności:
- jakie dane osobowe tego podmiotu są przetwarzane;
- kto ma upoważnienia imienne do przetwarzania których z danych;
- czy i z kim zostały zawarte umowy powierzenia przetwarzania danych osobowych;
- czy są przetwarzane dane wrażliwe;
- jakie sprzeciwy zostały złożone;
- w jakiej wersji zostały wyrażone zgody na przetwarzanie danych osobowych.
Rozwiązanie takie minimalizuje ryzyko dalszego przetwarzania danych mimo skutecznego złożenia sprzeciwu. Poza tym jest ono zgodne z regułą privacy by design, która ta nakazuje wzięcie pod uwagę ochronę prywatności już na etapie projektowania, np. systemu informatycznego.
Tego typu system (dashboard) może przybrać formę osobnej zakładki w panelu użytkownika na stronie www administratora danych. Z tej zakładki użytkownik może dowiedzieć się:
- jakiej zgody oraz jakiej dokładne treści udzielił i kiedy;
- jakie dane osobowe posiada administrator danych;
- czy i jakie sprzeciwy złożył do tej pory.
Kiedy dalsze przetwarzanie danych będzie możliwe
Pamiętajmy, że sprzeciw dotyczy wyłącznie przetwarzania danych na podstawie przesłanek, o których mowa w art. 6 ust. 1 lit. e-f RODO i w związku z marketingiem bezpośrednim. Administrator danych może zatem wykazać inną podstawę prawną przetwarzania danych osobowych objętych sprzeciwem i dalej te dane przetwarzać.
Kiedy można dalej przetwarzać dane osobowe mimo sprzeciwu?
- Podmiot danych zawarł wcześniej z administratorem umowę, w związku z realizacją której musi dochodzić do przetwarzania danych osobowych a umowa ta nie została rozwiązana;
- Umowa z klientem została rozwiązana, klient wniósł sprzeciw ale administrator danych osobowych będzie dochodził od klienta zaległych opłat.
- Podmiot publiczny przetwarza dane w związku z wypełnianiem zadań i obowiązków określonych w przepisach prawa.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 18, art. 21, art. 89.
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Zgoda na przetwarzanie danych osobowych o zdrowiu musi być udokumentowana
- Księga główna przychodni zawiera dane osobowe o zdrowiu pacjentów
- Jak przeprowadzić analizę ryzyka dla danych osobowych w związku z wdrożeniem sztucznej inteligencji
- Samorządy muszą spodziewać się kontroli RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
