Prawo do sprzeciwu wobec przetwarzania

Zgodnie z art. 21 RODO podmiotowi danych przysługuje prawo do sprzeciwu wobec przetwarzania jego danych. Należy tu wyróżnić kilka sytuacji:

Jeśli dane są przetwarzane na cele marketingu bezpośredniego, to podmiot danych może w każdej chwili wnieść sprzeciw wobec takiego przetwarzania, w tym również profilowania. Wykonanie prawa sprzeciwu oznacza, że danych tej osoby nie można już przetwarzać na takie cele. Mogą one pozostać jedynie w bazie klientów, bazach służących fakturowaniu czy wykonywaniu umowy z klientem. Powinny natomiast zniknąć ze wszelkich baz marketingowych.

Jeżeli przetwarzanie danych odbywa się na podstawie interesu publicznego lub na podstawie prawnie usprawiedliwionego interesu administratora danych, to osoba, której dane dotyczą, może wnieść sprzeciw wobec takiego przetwarzania, jednak musi uzasadnić to przyczynami związanymi z jej szczególną sytuacją. Inaczej niż w przypadku celów marketingowych, taki sprzeciw nie ma skutku „bezwzględnego”. Administrator może nie respektować takiego sprzeciwu, jeśli wykaże, że:

  • istnieją po jego stronie ważne, prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów podmiotu danych, albo
  • przetwarzanie jest potrzebne do ustalenia, dochodzenia lub obrony roszczeń.

Reguły respektowania prawa do sprzeciwu są dosyć skomplikowane, dlatego trudno byłoby z góry ustalić wszelkie procedury postępowania w przypadku otrzymania informacji o tym, że ktoś chce skorzystać z tego prawa. W ramach audytu warto jednak zapamiętać kilka zasad.
 

Ważne!

1. O prawie do sprzeciwu wobec przetwarzania należy poinformować podmiot danych najpóźniej przy okazji pierwszej komunikacji. Musi to nastąpić jas­nym, zrozumiałym komunikatem, wyraźnie oddzielonym od innych.

Jeśli zatem przedsiębiorca posiada bazę klientów i ich dane zaczyna przetwarzać na cele marketingowe z powołaniem się na przesłankę prawnie usprawiedliwionego interesu (a nie na zgodę), to wówczas przy pierwszej komunikacji może wypełnić powyższy obowiązek:

Twoje dane osobowe przetwarzane są przez XYZ Sp. z o.o. na cele marketingu bezpośredniego. Jeśli nie chcesz otrzymywać komunikatów reklamowych od nas, możesz zgłosić sprzeciw, pisząc na adres: kontakt@xyz.pl.

Przesyłanie komunikatów marketingowych w wiadomościach e-mail zawsze będzie wymagało zgody odbiorcy – nie na przetwarzanie danych osobowych, ale ze względu na art. 10 ustawy o świadczeniu usług drogą elektroniczną. O powyższej sytuacji można więc mówić, jeśli przedsiębiorca przesyła materiały marketingowe pocztą lub np. wyświetla reklamy w panelu logowania udostępnianej przez siebie usługi elektronicznej (np. reklamy produktów bankowych w bankowości elektronicznej).

2. Prawo do sprzeciwu może być wykonane w dowolnej formie, a więc za pośrednictwem wiadomości e-mail, faksu, telefonicznie, SMS-em. Jeśli przetwarzanie danych następuje w związku z usługą elektroniczną, to podmiot danych także ma prawo złożyć sprzeciw za pomocą „środków zautomatyzowanych”. Może tu chodzić o systemy automatycznie wywołujące połączenia telefoniczne. Wówczas należy zapewnić możliwość złożenia sprzeciwu również za pomocą tych środków (np. w pierwszej wypowiedzi odczytywanej przez automat powinien być komunikat, że można złożyć sprzeciw, naciskając odpowiedni klawisz na klawiaturze telefonu. Gdyby komunikacja odbywała się za pomocą automatycznego chatu z użyciem bota, należy tak go zaprogramować, by odczytywał on i od razu respektował złożony sprzeciw.

3. Jeśli klient wniesie sprzeciw wobec przetwarzania jego danych na cele marketingowe, to jego dane powinny zostać usunięte:

  • z listy subskrybentów newslettera;
  • z narzędzi do tworzenia niestandardowych grup odbiorców na portalu Facebook;
  • z baz służących do remarketingu i retargetingu, jeśli w tych narzędziach klient jest w jakiś sposób śledzony i identyfikowany za pomocą adresu e-mail;
  • z narzędzi do notyfikacji web push i narzędzi do odzyskiwania porzuconych koszyków, jeśli ich funkcjonalności są wykorzystywane w połączeniu z identyfikacją użytkownika (np. po adresie e-mail);
  • jeśli użytkownikowi jest udostępniany jakiś panel logowania (np. w bankowości elektronicznej),
  • w którym oprócz dostępu do usługi wyświet­lane są komunikaty reklamowe (jak to zdarza się w przypadku banków po zalogowaniu się, a przed wyświetleniem panelu dającego dostęp do środków pieniężnych wyświetlane są reklamy innych produktów finansowych), to takie działanie również powinno być zatrzymane wobec klienta, który zgłosił omawiany sprzeciw.

4. Warto pamiętać, że na podstawie art. 21 RODO podmiot danych może złożyć sprzeciw wobec profilowania zwykłego, a dokonywanego zazwyczaj na podstawie prawnie usprawiedliwionego interesu. Chodzi tu o „mniej poważne” profilowanie, bo tylko ono może być wykonywane na podstawie prawnie usprawiedliwionego interesu administratora.

Profilowanie bardziej poważne może występować tylko na podstawie zgody podmiotu danych, a więc w takim przypadku podmiot danych może odwołać zgodę na profilowanie, a nie składać wobec niego sprzeciw.

Przepis art. 21 dotyczy profilowania na jakikolwiek cel, nie tylko tego dokonywanego na cele marketingowe.