Prawo do sprzeciwu wobec przetwarzania danych osobowych (art. 21 RODO) - 5 kroków administratora

Kiedy podmiot danych może złożyć skuteczny sprzeciw, czyli taki, który wykluczy dalsze przetwarzanie danych osobowych. Zgodnie z artykułem 21 RODO podmiot danych ma prawo w dowolnym momencie wnieść sprzeciw, gdy dane osobowe są przetwarzane na podstawie art. 6 ust. 1 lit. e lub f RODO. Podmiot danych ma prawo wnieść sprzeciw w przypadku przetwarzania danych osobowych:

•  które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

• jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec interesów ADO lub strony trzeciej mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Sprzeciw może być wniesiony wobec przetwarzania do celów marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

Uprawnienie z art. 21 ust. 2 RODO to sprzeciw szczególny, niezależny od prawa z art. 21 ust. 1 RODO. Taka interpretacja jest uzasadniona ze względu brak odwołania w art. 21 ust. 2 RODO do art. 21 ust. 1 RODO ale także użycie sformułowania „w dowolnym momencie”. Poza tym z motywu 70 RODO wynika, że podmiot danych powinien mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec przetwarzania danych w celu marketingu bezpośredniego - pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem

bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.

Ponadto podmiot danych może sprzeciwić się przetwarzaniu danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO – chyba że takie przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

Podmiot danych może złożyć sprzeciw w każdym czasie i w dowolnej formie:

•  ustnie w siedzibie administratora danych osobowych,

•  pisemnie za pośrednictwem poczty,

•  pocztą elektroniczną,

•  z wykorzystaniem formularza kontaktowego na stronie firmy albo jej profilu w mediach społecznościowych itp.

W pierwszej kolejności administrator powinien zarejestrować złożony sprzeciw. Musi to zrobić niezależnie od formy jego złożenia.

Wprawdzie administrator danych osobowych nie musi potwierdzać otrzymania sprzeciwu. Niemniej jednak warto to uczynić, ponieważ:

•  osoba wnosząca sprzeciw dostając potwierdzenie jego otrzymania może mieć przekonanie iż zostanie potraktowana zgodnie z przepisami prawa – rozwiązanie takie świadczy więc o profesjonalizmie administratora,

•  pracownik, który potwierdzi otrzymanie sprzeciwu, będzie czuł się bardziej zobowiązany do jego rozpoznania niż gdy tego nie zrobi.

W wyniku skutecznego wniesienia sprzeciwu administrator danych osobowych powinien natychmiast zaprzestać przetwarzania danych osobowych objętych tym sprzeciwem. Sprzeciw wywołuje bowiem natychmiastowy skutek - w następstwie jego złożenia objętych nim danych osobowych nie wolno już przetwarzać. Nie jest to wniosek lecz czynność generująca z mocy samego prawa obowiązek ADO zaprzestania przetwarzania danych osobowych osoby zgłaszającej sprzeciw. Oczywiście, aby zrealizować uprawnienie, należy wnikliwie przeanalizować treść i zakres przedmiotowy sprzeciwu.

Przed realizacją sprzeciwu należy dokonać analizy jego treści, w szczególności:

•  weryfikując czy wynika z jego treści kto go wnosi oraz czego żąda,

• wzywając osobę zgłaszającą sprzeciw do uzupełnienia jego braków - w przypadku gdy sprzeciw w przedstawionym brzmieniu nie może zostać zrealizowany.

W takiej sytuacji należy wystąpić za pośrednictwem tego samego kanału komunikacji do osoby, od której wpłynął sprzeciw, z prośbą o podanie danych osobowych, które pozwolą odnaleźć tę osobę w bazie danych klientów i w ten sposób zrealizować to uprawnienie.

Jak zrealizować sprzeciw? Po wyeliminowaniu wszelkich wątpliwości odnośnie jego treści należy zidentyfikować, które procesy u administratora danych opierają się na przetwarzaniu danych osobowych w zakresie objętym sprzeciwem. Następnie do dysponentów tych procesów należy skierować informację o konieczności zaprzestania przetwarzania danych osobowych. Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Co więcej, administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda (art. 19 RODO).

Administrator danych powinien też zwrócić szczególną uwagę na to, czy otrzymane żądanie jest na pewno sprzeciwem a nie dotyczy innego uprawnienia. Przykładowo zgodnie z art. 18 RODO podmiot danych może domagać się od ADO ograniczenia przetwarzania jego danych – w szczególności w przypadkach, gdy:

•  podmiot danych kwestionuje prawidłowość przetwarzanych danych (np. twierdzi, że jego numer telefonu został zapisany błędnie); albo

•  przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania (np. klient firmy twierdzi, że firma nie ma prawa przetwarzać jego danych o stanie zdrowia ale nie ma nic przeciwko dalszemu przetwarzaniu jego danych personalnych i adresowych).

Jest to odmienne rozwiązanie w stosunku do sprzeciwu. Dlatego w razie ewentualnych wątpliwość interpretacyjnych w przedmiocie tego, czego domaga się podmiot danych, administrator powinien dążyć do ich wyjaśnienia. Administrator powinien to zrobić w taki sposób, by w razie ewentualnej kontroli mógł wykazać, jaki komunikat i kiedy został przez niego wysłany do podmiotu danych.

Na marginesie, sprzeciw ma jednak pewne powiązanie z ograniczeniem przetwarzania danych. Otóż jeżeli podmiot danych wniósł sprzeciw to wówczas może żądać od administratora ograniczenia przetwarzania jej danych osobowych ale tylko do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Administrator, który przetwarza dużą liczbę danych i który z tego tytułu może spodziewać się częstszych sprzeciwów, powinien rozważyć wdrożenie ujednoliconego systemu informatycznego służącego do zarządzania przetwarzaniem danych osobowych. W systemie takim mogłyby zostać zamieszczone najistotniejsze informacje dotyczące poszczególnych podmiotów danych, w szczególności:

•  jakie dane osobowe tego podmiotu są przetwarzane;

•  kto ma upoważnienia imienne do przetwarzania których z danych;

• czy i z kim zostały zawarte umowy powierzenia przetwarzania danych osobowych;

•  czy są przetwarzane dane wrażliwe;

•  jakie sprzeciwy zostały złożone;

•  w jakiej wersji zostały wyrażone zgody na przetwarzanie danych osobowych.

Rozwiązanie takie minimalizuje ryzyko dalszego przetwarzania danych mimo skutecznego złożenia sprzeciwu. Poza tym jest ono zgodne z regułą privacy by design, która ta nakazuje wzięcie pod uwagę ochronę prywatności już na etapie projektowania, np. systemu informatycznego.

Sprzeciw dotyczy wyłącznie przetwarzania danych w oparciu o podstawy do przetwarzania, o których mowa w art. 6 ust. 1 lit. e-f RODO i w związku z marketingiem bezpośrednim. Administrator danych może zatem wykazać inną podstawę prawną przetwarzania danych osobowych objętych sprzeciwem i dalej te dane przetwarzać.