Sprzeciw wobec przetwarzania danych osobowych to jedno z najpopularniejszych praw wynikających z RODO. Gdy administrator danych osobowych otrzyma taki sprzeciw, wówczas musi podjąć określone działania w celu realizacji tego uprawnienia. Sprawdź, jak zareagować na wniesiony sprzeciw, aby nie naruszyć praw podmiotu danych i nie narazić się na konsekwencje finansowe względem podmiotu danych i Prezesa UODO.
Kiedy podmiot danych może złożyć skuteczny sprzeciw, czyli taki, który wykluczy dalsze przetwarzanie danych osobowych. Zgodnie z artykułem 21 RODO podmiot danych ma prawo w dowolnym momencie wnieść sprzeciw, gdy dane osobowe są przetwarzane na podstawie art. 6 ust. 1 lit. e lub f RODO. Podmiot danych ma prawo wnieść sprzeciw w przypadku przetwarzania danych osobowych:
Sprzeciw może być wniesiony wobec przetwarzania do celów marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
Sprzeciw wobec przetwarzania danych na potrzeby marketingu bezpośredniego może być wniesiony w każdym przypadku, a nie tylko w przypadku przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. e lub f RODO.
Uprawnienie z art. 21 ust. 2 RODO to sprzeciw szczególny, niezależny od prawa z art. 21 ust. 1 RODO. Taka interpretacja jest uzasadniona ze względu brak odwołania w art. 21 ust. 2 RODO do art. 21 ust. 1 RODO ale także użycie sformułowania „w dowolnym momencie”. Poza tym z motywu 70 RODO wynika, że podmiot danych powinien mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec przetwarzania danych w celu marketingu bezpośredniego - pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem
bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.
Ponadto podmiot danych może sprzeciwić się przetwarzaniu danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO – chyba że takie przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
Sklep przetwarza dane swoich klientów w celu tworzenia analiz statystycznych (popularność towarów, czas kupowania i inne dane przetwarzane m.in. w zakresie tzw. big data). Administrator odmawia realizacji sprzeciwu podmiotu danych przeciwko przetwarzaniu danych. Odmawiając realizacji uprawnienia podmiotu danych, administrator w tym zakresie postępuje nieprawidłowo, ponieważ osoba ta mogła złożyć skuteczny sprzeciw względem przetwarzania danych w celach statystycznych gdy nie jest to niezbędne do wykonania zadania realizowanego w interesie publicznym.
Przeczytaj także: Sprzeciw wobec przetwarzania danych osobowych według RODO – jakie wymogi formalne musi spełniać
Podmiot danych może złożyć sprzeciw w każdym czasie i w dowolnej formie:
W pierwszej kolejności administrator powinien zarejestrować złożony sprzeciw. Musi to zrobić niezależnie od formy jego złożenia.
Warto pouczyć swój personel o tym, że sprzeciw może być złożony nawet ustnie, a osoba przyjmująca musi niezwłocznie odnotować go w systemach informatycznych administratora danych oraz nadaniu dalszego biegu.
Wprawdzie administrator danych osobowych nie musi potwierdzać otrzymania sprzeciwu. Niemniej jednak warto to uczynić, ponieważ:
W wyniku skutecznego wniesienia sprzeciwu administrator danych osobowych powinien natychmiast zaprzestać przetwarzania danych osobowych objętych tym sprzeciwem. Sprzeciw wywołuje bowiem natychmiastowy skutek - w następstwie jego złożenia objętych nim danych osobowych nie wolno już przetwarzać. Nie jest to wniosek lecz czynność generująca z mocy samego prawa obowiązek ADO zaprzestania przetwarzania danych osobowych osoby zgłaszającej sprzeciw. Oczywiście, aby zrealizować uprawnienie, należy wnikliwie przeanalizować treść i zakres przedmiotowy sprzeciwu.
Przed realizacją sprzeciwu należy dokonać analizy jego treści, w szczególności:
Przedsiębiorca otrzymał sprzeciw w wiadomości wysłanej za pośrednictwem aplikacji Messenger w ramach profilu na swoim portalu społecznościowego. Z treści sprzeciwu wynikało, że złożyła go osoba o profilu, na którym znajduje się jedynie login tej osoby (brak natomiast danych identyfikacyjnych). W bazie danych klientów przedsiębiorcy nikogo takiego nie znaleziono.
W takiej sytuacji należy wystąpić za pośrednictwem tego samego kanału komunikacji do osoby, od której wpłynął sprzeciw, z prośbą o podanie danych osobowych, które pozwolą odnaleźć tę osobę w bazie danych klientów i w ten sposób zrealizować to uprawnienie.
Jak zrealizować sprzeciw? Po wyeliminowaniu wszelkich wątpliwości odnośnie jego treści należy zidentyfikować, które procesy u administratora danych opierają się na przetwarzaniu danych osobowych w zakresie objętym sprzeciwem. Następnie do dysponentów tych procesów należy skierować informację o konieczności zaprzestania przetwarzania danych osobowych. Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Co więcej, administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda (art. 19 RODO).
Dobrą praktyką jest także poinformowanie samego wnioskodawcy o realizacji prawa do sprzeciwu.
Pobierz wzór informacji o uwzględnieniu lub odmowie uwzględnienia sprzeciwu.
Administrator danych powinien też zwrócić szczególną uwagę na to, czy otrzymane żądanie jest na pewno sprzeciwem a nie dotyczy innego uprawnienia. Przykładowo zgodnie z art. 18 RODO podmiot danych może domagać się od ADO ograniczenia przetwarzania jego danych – w szczególności w przypadkach, gdy:
Jest to odmienne rozwiązanie w stosunku do sprzeciwu. Dlatego w razie ewentualnych wątpliwość interpretacyjnych w przedmiocie tego, czego domaga się podmiot danych, administrator powinien dążyć do ich wyjaśnienia. Administrator powinien to zrobić w taki sposób, by w razie ewentualnej kontroli mógł wykazać, jaki komunikat i kiedy został przez niego wysłany do podmiotu danych.
Na marginesie, sprzeciw ma jednak pewne powiązanie z ograniczeniem przetwarzania danych. Otóż jeżeli podmiot danych wniósł sprzeciw to wówczas może żądać od administratora ograniczenia przetwarzania jej danych osobowych ale tylko do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Administrator, który przetwarza dużą liczbę danych i który z tego tytułu może spodziewać się częstszych sprzeciwów, powinien rozważyć wdrożenie ujednoliconego systemu informatycznego służącego do zarządzania przetwarzaniem danych osobowych. W systemie takim mogłyby zostać zamieszczone najistotniejsze informacje dotyczące poszczególnych podmiotów danych, w szczególności:
Rozwiązanie takie minimalizuje ryzyko dalszego przetwarzania danych mimo skutecznego złożenia sprzeciwu. Poza tym jest ono zgodne z regułą privacy by design, która ta nakazuje wzięcie pod uwagę ochronę prywatności już na etapie projektowania, np. systemu informatycznego.
Tego typu system (dashboard) może przybrać formę osobnej zakładki w panelu użytkownika na stronie www administratora danych. Z tej zakładki użytkownik może dowiedzieć się:
Sprzeciw dotyczy wyłącznie przetwarzania danych w oparciu o podstawy do przetwarzania, o których mowa w art. 6 ust. 1 lit. e-f RODO i w związku z marketingiem bezpośrednim. Administrator danych może zatem wykazać inną podstawę prawną przetwarzania danych osobowych objętych sprzeciwem i dalej te dane przetwarzać.
Kiedy można dalej przetwarzać dane osobowe mimo sprzeciwu?
1. Podmiot danych zawarł wcześniej z administratorem umowę, w związku z realizacją której musi dochodzić do przetwarzania danych osobowych a umowa ta nie została rozwiązana;
2. Umowa z klientem została rozwiązana, klient wniósł sprzeciw ale administrator danych osobowych będzie dochodził od klienta zaległych opłat.
3. Podmiot publiczny przetwarza dane w związku z wypełnianiem zadań i obowiązków określonych w przepisach prawa.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl