Jeżeli administrator danych osobowych otrzyma sprzeciw podmiotu tych danych co do ich przetwarzania, wówczas musi podjąć określone działania w celu realizacji tego uprawnienia. Sprawdź, jak zareagować na wniesiony sprzeciw, aby nie naruszyć praw podmiotu danych i nie narazić się na konsekwencje finansowe względem podmiotu danych i Prezesa UODO.
Z tematu tygodnia dowiesz się:
Kiedy podmiot danych może złożyć skuteczny sprzeciw? Jest to możliwe w przypadku przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. e lub f RODO.
Podmiot danych może złożyć sprzeciw w przypadku przetwarzania danych osobowych:
Sprzeciw może być wniesiony wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
Sprzeciw wobec przetwarzania danych na potrzeby marketingu bezpośredniego może być wniesiony w każdym przypadku, a nie tylko w przypadku przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. e lub f RODO. Uprawnienie z art. 21 ust. 2 RODO to sprzeciw szczególny, niezależny od prawa z art. 21 ust. 1 RODO. Taka interpretacja jest uzasadniona ze względu brak odwołania w art. 21 ust. 2 RODO do art. 21 ust. 1 RODO ale także użycie sformułowania „w dowolnym momencie”. Poza tym z motywu 70 RODO wynika, że podmiot danych powinien mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec przetwarzania danych w celu marketingu bezpośredniego - pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.
Ponadto podmiot danych może sprzeciwić się przetwarzaniu danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO – chyba że takie przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
Sklep przetwarza dane swoich klientów w celu tworzenia analiz statystycznych (popularność towarów, czas kupowania i inne dane przetwarzane m.in. w zakresie tzw. big data). Administrator odmawia realizacji sprzeciwu podmiotu danych przeciwko przetwarzaniu danych. Odmawiając realizacji uprawnienia podmiotu danych, ADO w tym zakresie postępuje nieprawidłowo, ponieważ osoba ta mogła złożyć skuteczny sprzeciw względem przetwarzania danych w celach statystycznych gdy nie jest to niezbędne do wykonania zadania realizowanego w interesie publicznym.
Podmiot danych może złożyć sprzeciw w każdym czasie i w dowolnej formie:
W pierwszej kolejności administrator powinien zarejestrować złożony sprzeciw. Musi to zrobić niezależnie od formy jego złożenia.
Warto pouczyć swój personel o tym, że sprzeciw może być złożony nawet ustnie, a osoba przyjmująca musi niezwłocznie odnotować go w systemach informatycznych administratora danych oraz nadaniu dalszego biegu.
Wprawdzie administrator danych osobowych nie musi potwierdzać otrzymania sprzeciwu. Niemniej jednak warto to uczynić, ponieważ:
W wyniku skutecznego wniesienia sprzeciwu administrator danych osobowych powinien natychmiast zaprzestać przetwarzania danych osobowych objętych tym sprzeciwem. Sprzeciw wywołuje bowiem natychmiastowy skutek. Nie jest to wniosek lecz czynność generująca z mocy samego prawa obowiązek ADO zaprzestania przetwarzania danych osobowych osoby zgłaszającej sprzeciw. Oczywiście, aby zrealizować uprawnienie, należy wnikliwie przeanalizować treść i zakres przedmiotowy sprzeciwu.
Nim zrealizujesz sprzeciw, przeanalizuj jego treść, w szczególności:
Przedsiębiorca otrzymał sprzeciw w wiadomości wysłanej za pośrednictwem aplikacji Messenger w ramach profilu na swoim portalu społecznościowego. Z treści sprzeciwu wynikało, że złożyła go osoba o profilu, na którym znajduje się jedynie login tej osoby (brak natomiast danych identyfikacyjnych). W bazie danych klientów przedsiębiorcy nikogo takiego nie znaleziono.
W takiej sytuacji należy wystąpić za pośrednictwem tego samego kanału komunikacji do osoby, od której wpłynął sprzeciw, z prośbą o podanie danych osobowych, które pozwolą odnaleźć tę osobę w bazie danych klientów i w ten sposób zrealizować to uprawnienie.
Jak zrealizować sprzeciw? Po wyeliminowaniu wszelkich wątpliwości odnośnie jego treści należy zidentyfikować, które procesy u administratora danych opierają się na przetwarzaniu danych osobowych w zakresie objętym sprzeciwem. Następnie do dysponentów tych procesów należy skierować informację o konieczności zaprzestania przetwarzania danych osobowych.
Administrator danych powinien też zwrócić szczególną uwagę na to, czy otrzymane żądanie jest na pewno sprzeciwem a nie dotyczy innego uprawnienia. Przykładowo zgodnie z art. 18 RODO podmiot danych może domagać się od ADO ograniczenia przetwarzania jego danych – w szczególności w przypadkach, gdy:
Jest to odmienne rozwiązanie w stosunku do sprzeciwu. Dlatego w razie ewentualnych wątpliwość interpretacyjnych w przedmiocie tego, czego domaga się podmiot danych, administrator powinien dążyć do ich wyjaśnienia. Administrator powinien to zrobić w taki sposób, by w razie ewentualnej kontroli mógł wykazać, jaki komunikat i kiedy został przez niego wysłany do podmiotu danych.
Na marginesie, sprzeciw ma jednak pewne powiązanie z ograniczeniem przetwarzania danych. Otóż jeżeli podmiot danych wniósł sprzeciw to wówczas może żądać od administratora ograniczenia przetwarzania jej danych osobowych ale tylko do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Administrator, który przetwarza dużą liczbę danych i który z tego tytułu może spodziewać się częstszych sprzeciwów, powinien rozważyć wdrożenie ujednoliconego systemu informatycznego służącego do zarządzania przetwarzaniem danych osobowych. W systemie takim mogłyby zostać zamieszczone najistotniejsze informacje dotyczące poszczególnych podmiotów danych, w szczególności:
Rozwiązanie takie minimalizuje ryzyko dalszego przetwarzania danych mimo skutecznego złożenia sprzeciwu. Poza tym jest ono zgodne z regułą privacy by design, która ta nakazuje wzięcie pod uwagę ochronę prywatności już na etapie projektowania, np. systemu informatycznego.
Tego typu system (dashboard) może przybrać formę osobnej zakładki w panelu użytkownika na stronie www administratora danych. Z tej zakładki użytkownik może dowiedzieć się:
Pamiętajmy, że sprzeciw dotyczy wyłącznie przetwarzania danych na podstawie przesłanek, o których mowa w art. 6 ust. 1 lit. e-f RODO i w związku z marketingiem bezpośrednim. Administrator danych może zatem wykazać inną podstawę prawną przetwarzania danych osobowych objętych sprzeciwem i dalej te dane przetwarzać.
Kiedy można dalej przetwarzać dane osobowe mimo sprzeciwu?
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl