Kiedy przysługuje?
Podmiot danych ma prawo do sprzeciwu dotyczącego przetwarzania jego danych osobowych. Prawo to określono w Ogólnym Rozporządzeniu o Ochronie Danych (dalej jako “RODO”), a jego zasady reguluje art. 21 RODO, który w ust. 1 przewiduje, iż podmiot danych może „w dowolnym momencie wnieść sprzeciw (…) wobec przetwarzania (…)”. Aby możliwe było skorzystanie z tego prawa, administrator musi przetwarzać dane osobowe konkretnej osoby na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), bądź w ramach sprawowania powierzonej mu władzy publicznej lub wykonywania zadań realizowanych w interesie publicznym (art. 6 ust. 1 lit. e RODO). Sprzeciw może też dotyczyć profilowania danych w oparciu o ww. przesłanki legalizujące przetwarzanie.
Już z pierwszego ustępu art. 21 RODO wynika, iż z prawa tego, podmiot danych może skorzystać tylko w konkretnych przypadkach, a więc sprzeciw nie zawsze będzie zasadny. Należy również wspomnieć o tym, iż motyw 39 RODO narzuca na administratora nie tylko poinformowanie podmiotu o jego prawach. Nakazuje także „uświadomić” osoby, których dane przetwarzamy, jak konkretne prawa działają, kiedy przysługują i jak może z nich korzystać. Można powiedzieć kolokwialnie, iż administrator musi wcielić się w rolę nauczyciela i przekazać odpowiednią wiedzę podmiotowi danych.
Kiedy i jak informować?
Zgodnie z art. 21 ust. 4 RODO, powiadomienie o przysługującym prawie sprzeciwu, powinno nastąpić nie później niż w momencie pierwszego kontaktu z tym podmiotem danych. Zgodnie z przytoczonym przepisem, administrator powinien wskazać przysługujące prawo do sprzeciwu w prosty i zrozumiały sposób dla podmiotu danych. Treść tego prawa nie powinna być ukryta wśród innych informacji (np. połączona z innym prawem). W praktyce jednak prawo do sprzeciwu wymieniane jest zwykle obok innych praw wynikających z RODO, co jednak nie do końca odpowiada wymogom wskazanego przepisu. Poza powyższymi, z treści tekstu musi wynikać, iż prawo do sprzeciwu jest jednym z odrębnych praw, które przysługują podmiotowymi danych.
Kiedy rozpatrujemy sprzeciw?
Zasadność sprzeciwu jak już wiemy z art. 21 ust. 1 oraz motywu 39 RODO nierozerwalnie wiąże się z przetwarzaniem danych osobowych na podstawie art. 6 ust. 1 lit e) oraz f) RODO. W celu realizacji omawianego prawa, osoba, której dane dotyczą, musi wykazać zasadność złożonego sprzeciwu. Wymaga to wykazania przez nią swojej szczególnie niekorzystnej sytuacji wynikającej z przetwarzania danych osobowych w określonym celu przez administratora. W szczególności uzasadnienia, iż przetwarzanie narusza jej interesy, prawa lub wolności. Administrator otrzymując sprzeciw, musi ocenić, czy istnieją „ważne uzasadnione podstawy” do dalszego przetwarzania danych, które przeważają nad interesami, prawami i wolnością osoby składającej sprzeciw. jeżeli w związku z dokonaną oceną, takich podstaw nie jest wstanie wykazać, zobowiązany jest do zaprzestania przetwarzania danych. W przeciwnym razie może on uznać sprzeciw za bezzasadny, uzasadniając to brakiem nadrzędnych interesów podmiotu danych. Także koniecznością przetwarzania danych w sytuacji wystąpienia ewentualnych sporów lub roszczeń ze strony osób, których dane dotyczą lub organu nadzorczego.
Kiedy należy bezwzględnie uwzględnić sprzeciw?
RODO wskazuje na sytuację, w której wniesienie sprzeciwu zobowiązuje administratora do zaprzestania przetwarzania danych w określonym celu, opartym na prawnie uzasadnionym interesie administratora. Taką sytuacją jest wniesienie sprzeciwu przez podmiot danych w związku z przetwarzaniem danych osobowych w celu marketingu bezpośredniego. Po otrzymaniu takiego sprzeciwu, administrator musi niezwłocznie zaprzestać przetwarzania danych w danym celu (art. 21 ust. 3 RODO), bez konieczności uprzedniego wykonania oceny słuszności wyrażonego sprzeciwu.
Ograniczenie stosowania prawa do sprzeciwu
Chociaż prawo do sprzeciwu jest szeroko chronione, istnieją pewne ograniczenia jego stosowania. Ograniczenia te mogą zostać uwzględnione w przepisach prawa krajowego zgodnie z art. 89 ust. 2 i 3 RODO. Wskazany artykuł zezwala państwom członkowskim na wprowadzenie ograniczeń praw osób, których dane dotyczą. W tym prawa do sprzeciwu określonego w art. 21 RODO, w zakresie, w jakim takie prawa mogłyby uniemożliwić lub poważnie utrudnić osiągnięcie celów przetwarzania danych do celów archiwizacji w interesie publicznym, badań naukowych lub historycznych oraz celów statystycznych, i w zakresie, w jakim takie ograniczenie jest niezbędne do realizacji tych celów. Ustawodawca zdecydował się skorzystać z tego uprawnienia, m.in. w przepisach ustawy o statystyce publicznej, w której art. 35h ust. 1 wyłączył możliwość skorzystania ze sprzeciwu w stosunku do przetwarzania danych osobowych w celu wykonywania zadań określonych w ustawie przez służby statystyki publicznej.
W jakiej formie podmiot może wnieść sprzeciw?
Podmiot danych może wyrazić swój sprzeciw wobec przetwarzania danych w dowolny sposób. RODO wymaga, aby udostępnione kanały składania wniosków były łatwo dostępne dla podmiotów danych. Ostateczna decyzja co do form i kanałów zgłoszenia należy wyłącznie do administratora. Ważne jest, aby opracowany system nie utrudniał faktycznego wniesienia takiego żądania. Przez utrudnienie, należy rozumieć sytuację, gdy podmiot danych będzie musiał wielokrotnie przechodzić przez różnego rodzaju formy kontaktu lub klikać kolejne potwierdzenia złożonego oświadczenia. Każde utrudnianie przez administratora możliwości złożenia wniosku, traktujemy jako naruszenie przepisów o ochronie danych.
Nieuznanie prawa sprzeciwu i co dalej?
Kiedy administrator odrzuci sprzeciw, to wcale nie oznacza, iż podmiot danych musi zaakceptować jego decyzję. Zawsze istnieje możliwość przedstawienia całej sprawy organowi nadzorczemu, na podstawie prawa skargi zgodnie z art. 77 ust. 1 RODO. W ostateczności to Prezes Urzędu Ochrony Danych Osobowych zadecyduje, kto ma rację.
Wyzwanie dla administratora danych
Prawo do sprzeciwu stanowi istotny instrument w rękach osób fizycznych. Umożliwia im to skuteczną obronę swojej prywatności i kontrolę nad danymi osobowymi. Dla administratorów jest to zarazem wyzwanie, jak i szansa na budowanie zaufania i transparentności w relacjach z osobami, których dane dotyczą. Zastosowanie prawa do sprzeciwu wymaga od administratorów nie tylko dostosowania procedur wewnętrznych, ale także zapewnienia, iż systemy przetwarzania danych są zaprojektowane w sposób umożliwiający łatwą realizację tego prawa. To z kolei stwarza okazję do przeglądu i ewentualnej optymalizacji procesów przetwarzania danych. Co może przynieść korzyści zarówno dla organizacji, jak i dla osób, których dane dotyczą. Praktyczne wdrożenie prawa do sprzeciwu może również służyć jako narzędzie do oceny i minimalizacji ryzyka związanego z przetwarzaniem danych osobowych. Zachęcając do bardziej świadomego podejścia do zarządzania danymi osobowymi. Dzięki temu organizacje mogą lepiej zrozumieć oczekiwania i obawy osób, których dane przetwarzają. Dostosowując swoje praktyki w taki sposób, aby lepiej chronić prywatność i wzmocnić zaufanie.
Należy również pamiętać, iż skuteczne stosowanie prawa do sprzeciwu zależy od jasnej komunikacji i edukacji. Administratorzy powinni nie tylko informować osoby, których dane dotyczą, o ich prawach w przejrzysty i zrozumiały sposób. Powinni także zapewniać łatwy dostęp do informacji o tym, jak mogą z tych praw skorzystać. Edukacja i podnoszenie świadomości w zakresie ochrony danych osobowych są najważniejsze dla zapewnienia, iż osoby te będą w stanie efektywnie korzystać z przysługujących im praw, w tym prawa do sprzeciwu.
Podsumowanie
Prawo do sprzeciwu jest nie tylko uprawnieniem podmiotu danych przyznanym mu na gruncie RODO, któremu odpowiada szereg obowiązków po stronie administratora. Jest też okazją do uwzględnienia słusznych oczekiwań podmiotu danych, które mogły nie być znane administratorowi przy rozpoczęciu przetwarzania. Dzięki wdrożeniu skutecznych mechanizmów realizacji tego prawa, administrator może budować z podmiotami danych kulturę współpracy i reakcji na ich uzasadnione żądania, co pozwoli wyeliminować przetwarzanie godzące w ich interesy.