Osoby, których dane osobowe są przetwarzane, mają określone prawa. Jednym z nich jest prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Dowiedz się, co powinien zrobić administrator danych, gdy wpłynie do niego taki sprzeciw.
Przetwarzanie danych osobowych, co do zasady, wymaga zgody osoby, której one dotyczą. Od tej generalnej zasady istnieją jednak wyliczone dokładnie w ustawie o ochronie danych osobowych wyjątki, które pozwalają administratorom danych na przetwarzanie danych osobowych w określonych celach nawet bez tej zgody. Chodzi tu m.in. o sytuacje, gdy przetwarzanie danych jest niezbędne do:
Takim usprawiedliwionym celem realizowanym przez administratora danych jest przede wszystkim:
I właśnie od takiego przetwarzania danych oraz od przekazania danych innemu administratorowi osobie, której dane są przetwarzane, służy prawo wniesienia sprzeciwu.
Sprzeciw wobec przetwarzania danych osobowych może być wyrażony w dowolnej formie – ustnie w siedzibie firmy, pisemnie za pośrednictwem poczty, pocztą elektroniczną czy z wykorzystaniem formularza kontaktowego na stronie firmy albo jej profilu w mediach społecznościowych.
Pierwszą czynnością administratora danych po otrzymaniu sprzeciwu powinno być jego odnotowanie. Administrator danych musi być więc przygotowany do odnotowania sprzeciwu niezależnie od tego, jakim kanałem informacyjnym został on złożony. Natomiast pracownicy odpowiedzialni za kontakt z klientem powinni być poinformowani o możliwości złożenia takiego sprzeciwu, konieczności jego odnotowania w systemach informatycznych administratora danych oraz nadaniu mu dalszego biegu.
Sprzeciw może być wniesiony w każdym czasie i nie ma znaczenia to, że podmiot danych wcześniej zgodził się na przetwarzanie jego danych.
Po wniesieniu sprzeciwu kontynuowanie przetwarzania danych osobowych jest niedopuszczalne. Administrator danych powinien natychmiast zaprzestać przetwarzania. Może jednak pozostawić dane identyfikujące jednoznacznie osobę, która zgłosiła sprzeciw (imię, nazwisko, PESEL, adres), ale jedynie na potrzeby uniknięcia ponownego przetwarzania danych tej osoby.
Trzeba pamiętać, że sprzeciw dotyczy wyłącznie wykorzystywania danych na podstawie przesłanek z art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych, tj. niezbędnośi do zadań realizowanych dla dobra publicznego lub do wypełnienia prawnie usprawiedliwionych celów. Oznacza to, że jeżeli administrator danych ma jeszcze inną podstawę prawną przetwarzania danych osobowych, to może nadal przetwarzać dane osobowe na tej innej podstawie prawnej. A zatem sprzeciwu tak naprawdę nie da się skutecznie wnieść, jeżeli na przykład:
W takich przypadkach nie dojdzie bowiem do całkowitego zaprzestania przetwarzania danych osobowych przez administratora danych, a tylko do zaprzestania przetwarzania tych danych w zakresie, w jakim pozwalały na to przesłanki z art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych. De facto oznacza to wyłącznie zaprzestanie marketingu bezpośredniego własnych produktów lub usług.
Administrator danych ma przyjąć sprzeciw i przestać przetwarzać dane osobowe podmiotu. Czy to oznacza, że nie ma żadnej możliwości nieuznania sprzeciwu?
Sprzeciw wywołuje skutek natychmiastowy. Nie jest to prośba czy wniosek, lecz czynność wywołująca z mocy samego prawa natychmiastowy skutek w postaci powstania obowiązku administratora zaprzestania przetwarzania danych osobowych osoby zgłaszającej sprzeciw.
Aby jednak ten skutek nastąpił, sprzeciw musi zostać złożony prawidłowo i dlatego administrator może przed zaprzestaniem przetwarzania danych osobowych:
|
PRZYKŁAD Sprzeciw, którego nie da się zrealizować Do przedsiębiorcy prowadzącego hotel zgłoszono, za pośrednictwem jego profilu na portalu Facebook, sprzeciw wobec przetwarzania przez ten hotel danych osobowych w celach marketingowych tego przedsiębiorcy. Sprzeciw został wysłany przez użytkownika o pseudonimie „Niezadowolony1974”, którego profil nie zawierał informacji pozwalających zidentyfikować bliżej osobę składającą sprzeciw. Także w zbiorach danych osobowych hotelu nie znaleziono wskazówki na temat tego, który z gości hotelowych mógłby się posługiwać takim nickiem (w szczególności przeanalizowano pod tym kątem bazę posiadanych adresów e-mail). W rezultacie administrator nie był w stanie zidentyfikować osoby wnoszącej sprzeciw i tym samym kanałem informacyjnym (tj. wiadomością na portalu Facebook) zapytał o dane osoby wnoszącej sprzeciw. |
Prawidłowa realizacja sprzeciwu powinna skutkować zaprzestaniem przetwarzania danych osobowych klienta – najczęściej w zakresie wykorzystywania jego danych osobowych do celów marketingowych. Oznacza to, że najpierw należy dokładnie przeanalizować treść żądania i dobrze zidentyfikować zakres przedmiotowy sprzeciwu.
Zidentyfikuj żądanie
Chodzi o to, aby dowiedzieć się dokładnie, czego chce osoba składająca sprzeciw. W przypadku wątpliwości odnośnie do zakresu sprzeciwu należy:
Potwierdź otrzymanie sprzeciwu
Przepisy nie wymagają, aby administrator danych osobowych potwierdził otrzymanie sprzeciwu. Takie potwierdzenie będzie musiał dać w zasadzie, tylko jeżeli odbierze sprzeciw wysłany pocztą za zwrotnym potwierdzeniem odbioru. Warto rozważyć zapisanie obowiązku potwierdzania otrzymania sprzeciwu w wewnętrznych regulacjach administratora danych.
Odnotuj sprzeciw w systemach
Gdy administrator danych będzie wiedział, czego podmiot danych od niego żąda (czy to na skutek pierwotnie złożonego sprzeciwu, czy też dodatkowych informacji złożonych przez podmiot danych w późniejszym czasie), może przystąpić do faktycznej realizacji sprzeciwu. Pierwszym krokiem powinno być zidentyfikowanie, jakie procesy u administratora danych opierają się na przetwarzaniu danych osobowych w zakresie objętym sprzeciwem. Należy wylistować wszystkie takie procesy i do ich dysponentów skierować informację o konieczności zaprzestania przetwarzania danych osobowych.
|
PRZYKŁAD Niepełna realizacja sprzeciwu Adam Kowalski złożył do Ameba sp. z o.o. sprzeciw przeciwko przetwarzaniu jego danych osobowych do celów marketingowych tej spółki. Osoba, do której trafił sprzeciw, sprawdziła w systemach informatycznych, że informacje marketingowe są wysyłane do tego klienta e-mailem i SMS-ami. Zaprzestano więc wysyłania e-maili i SMS-ów. Za kilka miesięcy Ameba sp. z o.o. rozpoczęła nową akcję marketingową, w ramach której wysłała klientom tradycyjną pocztą życzenia świąteczne wraz z ofertą reklamową. Adam Kowalski złożył skargę do Generalnego Inspektora Ochrony Danych Osobowych i mimo że w chwili interwencji organu nadzorczego Ameba nie naruszała już przepisów prawa, spółka mogła pożegnać się z panem Adamem jako jej klientem. W tym przypadku winę ponosi sposób załatwienia sprzeciwu. Zamiast poprzestać na wypisaniu klienta z systemów wysyłających e-maile i SMS-y, spółka powinna była zaznaczyć przy tym kliencie, że nie zgadza się on na wysyłanie mu ofert marketingowych wszelkimi kanałami, w tym takimi, które w chwili składania sprzeciwu nie były w spółce używane. |
Utwórz dashboard
Wskazany przykład niepełnej realizacji sprzeciwu wskazuje na to, że u wielu administratorów danych opłacalne może być zainstalowanie ujednoliconego systemu informatycznego służącego do zarządzania przetwarzaniem danych osobowych. W jednym, scentralizowanym miejscu będą wówczas zamieszczane newralgiczne informacje dotyczące konkretnego podmiotu danych, na przykład:
Opisany sposób zarządzania ochroną danych osobowych pozwoli uniknąć sytuacji, gdy mimo sprzeciwu dane dalej będą przetwarzane w celach nim objętych. Jest on ponadto zgodny z zasadą privacy by design, która wynika z tzw. ogólnego rozporządzenia o ochronie danych (RODO), które będzie stosowane w Polsce od 25 maja 2018 r.
Zasada privacy by design nakazuje wzięcie pod uwagę ochronę prywatności już na etapie projektowania, np. systemu informatycznego. Dlatego warto rozważyć nie tylko samo utworzenie dashboardu, ale również jego częściowe udostępnienie klientowi. Podobne rozwiązania informatyczne przygotowały już większe firmy (Google, Microsoft), ale nie każdy dashboard musi być tak rozbudowany i kosztowny we wdrożeniu. Dobry dashboard przeznaczony dla podmiotu danych powinien mieć formę np. osobnej zakładki w panelu użytkownika na stronie internetowej administratora danych. Z tej zakładki użytkownik powinien móc dowiedzieć się:
Przede wszystkim jednak dashboard powinien umożliwić złożenie sprzeciwu, który automatycznie odnotuje się w podstawowych systemach informatycznych spółki.
Nie można wymagać od użytkownika, aby składał sprzeciw wobec przetwarzania jego danych osobowych wyłącznie przez dashboard – nadal będzie to mógł robić dowolnym, wybranym przez siebie kanałem informacyjnym.
Prawidłowa obsługa sprzeciwów wymaga także szkolenia pracowników z ich przyjmowania i obsługi. Nie chodzi tu tylko o szkolenia jednorazowe (dla nowych pracowników), ale o szkolenia okresowe. Konieczność powtarzania szkoleń wynika z tego, że działalność administratora danych się zmienia – otwierane są lub zamykane poszczególne kanały informacji z klientami, wprowadzane modyfikacje w wewnętrznych systemach informatycznych itd.
Szkolenia nie muszą być dedykowane specjalnie tematyce sprzeciwów, ale mogą się wpisywać w szerszy obowiązek administratorów danych do okresowego szkolenia osób upoważnionych do przetwarzania danych osobowych. Pracownicy powinni wiedzieć przede wszystkim:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
