Aktualny

Prawo do sprzeciwu wobec przetwarzania danych osobowych (art. 21 RODO) - 5 kroków administratora

Marcin Sarna

Autor: Marcin Sarna

Dodano: 18 października 2024
aae223a699d904cabdf3a8c49e4ea0e6faab14a9-xlarge(5)

Sprzeciw wobec przetwarzania danych osobowych to jedno z najpopularniejszych praw wynikających z RODO. Gdy administrator danych osobowych otrzyma taki sprzeciw, wówczas musi podjąć określone działania w celu realizacji tego uprawnienia. Sprawdź, jak zareagować na wniesiony sprzeciw, aby nie naruszyć praw podmiotu danych i nie narazić się na konsekwencje finansowe względem podmiotu danych i Prezesa UODO.

Kto i kiedy może wnieść sprzeciw wobec przetwarzania danych osobowych

Kiedy podmiot danych może złożyć skuteczny sprzeciw, czyli taki, który wykluczy dalsze przetwarzanie danych osobowych. Zgodnie z artykułem 21 RODO podmiot danych ma prawo w dowolnym momencie wnieść sprzeciw, gdy dane osobowe są przetwarzane na podstawie art. 6 ust. 1 lit. e lub f RODO. Podmiot danych ma prawo wnieść sprzeciw w przypadku przetwarzania danych osobowych:

  •  które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec interesów ADO lub strony trzeciej mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Prawo do wniesienia sprzeciwu wobec marketingu bezpośredniego 

Sprzeciw może być wniesiony wobec przetwarzania do celów marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

Uwaga

Sprzeciw wobec przetwarzania danych na potrzeby marketingu bezpośredniego może być wniesiony w każdym przypadku, a nie tylko w przypadku przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. e lub f RODO.

Uprawnienie z art. 21 ust. 2 RODO to sprzeciw szczególny, niezależny od prawa z art. 21 ust. 1 RODO. Taka interpretacja jest uzasadniona ze względu brak odwołania w art. 21 ust. 2 RODO do art. 21 ust. 1 RODO ale także użycie sformułowania „w dowolnym momencie”. Poza tym z motywu 70 RODO wynika, że podmiot danych powinien mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec przetwarzania danych w celu marketingu bezpośredniego - pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem

bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.

Ponadto podmiot danych może sprzeciwić się przetwarzaniu danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO – chyba że takie przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

Przykład

Sklep przetwarza dane swoich klientów w celu tworzenia analiz statystycznych (popularność towarów, czas kupowania i inne dane przetwarzane m.in. w zakresie tzw. big data). Administrator odmawia realizacji sprzeciwu podmiotu danych przeciwko przetwarzaniu danych. Odmawiając realizacji uprawnienia podmiotu danych, administrator w tym zakresie postępuje nieprawidłowo, ponieważ osoba ta mogła złożyć skuteczny sprzeciw względem przetwarzania danych w celach statystycznych gdy nie jest to niezbędne do wykonania zadania realizowanego w interesie publicznym. 

Konieczna rejestracja sprzeciwu

Podmiot danych może złożyć sprzeciw w każdym czasie i w dowolnej formie:

  •  ustnie w siedzibie administratora danych osobowych,
  •  pisemnie za pośrednictwem poczty,
  •  pocztą elektroniczną,
  •  z wykorzystaniem formularza kontaktowego na stronie firmy albo jej profilu w mediach społecznościowych itp.

W pierwszej kolejności administrator powinien zarejestrować złożony sprzeciw. Musi to zrobić niezależnie od formy jego złożenia.

Uwaga

Warto pouczyć swój personel o tym, że sprzeciw może być złożony nawet ustnie, a osoba przyjmująca musi niezwłocznie odnotować go w systemach informatycznych administratora danych oraz nadaniu dalszego biegu.

Wprawdzie administrator danych osobowych nie musi potwierdzać otrzymania sprzeciwu. Niemniej jednak warto to uczynić, ponieważ:

  •  osoba wnosząca sprzeciw dostając potwierdzenie jego otrzymania może mieć przekonanie iż zostanie potraktowana zgodnie z przepisami prawa – rozwiązanie takie świadczy więc o profesjonalizmie administratora,
  •  pracownik, który potwierdzi otrzymanie sprzeciwu, będzie czuł się bardziej zobowiązany do jego rozpoznania niż gdy tego nie zrobi.

Administrator musi zaprzestać przetwarzania danych osobowych

W wyniku skutecznego wniesienia sprzeciwu administrator danych osobowych powinien natychmiast zaprzestać przetwarzania danych osobowych objętych tym sprzeciwem. Sprzeciw wywołuje bowiem natychmiastowy skutek - w następstwie jego złożenia objętych nim danych osobowych nie wolno już przetwarzać. Nie jest to wniosek lecz czynność generująca z mocy samego prawa obowiązek ADO zaprzestania przetwarzania danych osobowych osoby zgłaszającej sprzeciw. Oczywiście, aby zrealizować uprawnienie, należy wnikliwie przeanalizować treść i zakres przedmiotowy sprzeciwu.

Przed realizacją sprzeciwu należy dokonać analizy jego treści, w szczególności:

  •  weryfikując czy wynika z jego treści kto go wnosi oraz czego żąda,
  • wzywając osobę zgłaszającą sprzeciw do uzupełnienia jego braków - w przypadku gdy sprzeciw w przedstawionym brzmieniu nie może zostać zrealizowany.
Przykład

Przedsiębiorca otrzymał sprzeciw w wiadomości wysłanej za pośrednictwem aplikacji Messenger w ramach profilu na swoim portalu społecznościowego. Z treści sprzeciwu wynikało, że złożyła go osoba o profilu, na którym znajduje się jedynie login tej osoby (brak natomiast danych identyfikacyjnych). W bazie danych klientów przedsiębiorcy nikogo takiego nie znaleziono.

W takiej sytuacji należy wystąpić za pośrednictwem tego samego kanału komunikacji do osoby, od której wpłynął sprzeciw, z prośbą o podanie danych osobowych, które pozwolą odnaleźć tę osobę w bazie danych klientów i w ten sposób zrealizować to uprawnienie.

Jak zrealizować sprzeciw? Po wyeliminowaniu wszelkich wątpliwości odnośnie jego treści należy zidentyfikować, które procesy u administratora danych opierają się na przetwarzaniu danych osobowych w zakresie objętym sprzeciwem. Następnie do dysponentów tych procesów należy skierować informację o konieczności zaprzestania przetwarzania danych osobowych. Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Co więcej, administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda (art. 19 RODO).

Uwaga

Dobrą praktyką jest także poinformowanie samego wnioskodawcy o realizacji prawa do sprzeciwu.
Pobierz wzór informacji o uwzględnieniu lub odmowie uwzględnienia sprzeciwu.

Prawo do sprzeciwu z art. 21 RODO a ograniczenie przetwarzania

Administrator danych powinien też zwrócić szczególną uwagę na to, czy otrzymane żądanie jest na pewno sprzeciwem a nie dotyczy innego uprawnienia. Przykładowo zgodnie z art. 18 RODO podmiot danych może domagać się od ADO ograniczenia przetwarzania jego danych – w szczególności w przypadkach, gdy:

  •  podmiot danych kwestionuje prawidłowość przetwarzanych danych (np. twierdzi, że jego numer telefonu został zapisany błędnie); albo
  •  przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania (np. klient firmy twierdzi, że firma nie ma prawa przetwarzać jego danych o stanie zdrowia ale nie ma nic przeciwko dalszemu przetwarzaniu jego danych personalnych i adresowych).

Jest to odmienne rozwiązanie w stosunku do sprzeciwu. Dlatego w razie ewentualnych wątpliwość interpretacyjnych w przedmiocie tego, czego domaga się podmiot danych, administrator powinien dążyć do ich wyjaśnienia. Administrator powinien to zrobić w taki sposób, by w razie ewentualnej kontroli mógł wykazać, jaki komunikat i kiedy został przez niego wysłany do podmiotu danych.

Na marginesie, sprzeciw ma jednak pewne powiązanie z ograniczeniem przetwarzania danych. Otóż jeżeli podmiot danych wniósł sprzeciw to wówczas może żądać od administratora ograniczenia przetwarzania jej danych osobowych ale tylko do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Warto rozważyć zarządzanie sprzeciwami z wykorzystaniem systemu IT

Administrator, który przetwarza dużą liczbę danych i który z tego tytułu może spodziewać się częstszych sprzeciwów, powinien rozważyć wdrożenie ujednoliconego systemu informatycznego służącego do zarządzania przetwarzaniem danych osobowych. W systemie takim mogłyby zostać zamieszczone najistotniejsze informacje dotyczące poszczególnych podmiotów danych, w szczególności:

  •  jakie dane osobowe tego podmiotu są przetwarzane;
  •  kto ma upoważnienia imienne do przetwarzania których z danych;
  • czy i z kim zostały zawarte umowy powierzenia przetwarzania danych osobowych;
  •  czy są przetwarzane dane wrażliwe;
  •  jakie sprzeciwy zostały złożone;
  •  w jakiej wersji zostały wyrażone zgody na przetwarzanie danych osobowych.

Rozwiązanie takie minimalizuje ryzyko dalszego przetwarzania danych mimo skutecznego złożenia sprzeciwu. Poza tym jest ono zgodne z regułą privacy by design, która ta nakazuje wzięcie pod uwagę ochronę prywatności już na etapie projektowania, np. systemu informatycznego.

Przykład

Tego typu system (dashboard) może przybrać formę osobnej zakładki w panelu użytkownika na stronie www administratora danych. Z tej zakładki użytkownik może dowiedzieć się:

  • jakiej zgody oraz jakiej dokładne treści udzielił i kiedy;
  •  jakie dane osobowe posiada administrator danych;
  • czy i jakie sprzeciwy złożył do tej pory.

Dalsze przetwarzanie danych osobowych mimo sprzeciwu - kiedy możliwe

Sprzeciw dotyczy wyłącznie przetwarzania danych w oparciu o podstawy do przetwarzania, o których mowa w art. 6 ust. 1 lit. e-f RODO i w związku z marketingiem bezpośrednim. Administrator danych może zatem wykazać inną podstawę prawną przetwarzania danych osobowych objętych sprzeciwem i dalej te dane przetwarzać.

Przykład

Kiedy można dalej przetwarzać dane osobowe mimo sprzeciwu?

1. Podmiot danych zawarł wcześniej z administratorem umowę, w związku z realizacją której musi dochodzić do przetwarzania danych osobowych a umowa ta nie została rozwiązana;

2. Umowa z klientem została rozwiązana, klient wniósł sprzeciw ale administrator danych osobowych będzie dochodził od klienta zaległych opłat.

3. Podmiot publiczny przetwarza dane w związku z wypełnianiem zadań i obowiązków określonych w przepisach prawa.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x