Prowadzę sklep sprzedający AGD. Do promocji wykorzystuję m.in. newsletter. Zakupiłem bazę danych osobowych od przedsiębiorcy, który prowadził sklep przede mną. Następnie wysłałem informację o tym do osób, których dane nabyłem. Otrzymałem kilka sprzeciwów oraz żądań usunięcia danych osobowych. Jak powinienem z nimi postąpić?
Ustawa o ochronie danych osobowych (dalej: u.o.d.o.) przyznaje osobie, której dane są przetwarzane, prawo do wystąpienia do przedsiębiorcy administrującego jej danymi osobowymi:

z żądaniem zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; co ważne, żądanie takie musi być wniesione na piśmie oraz umotywowane,ze sprzeciwem wobec przetwarzania jej danych osobowych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Obie instytucje mają zastosowanie, gdy przesłanką przetwarzania danych jest ich niezbędność:

do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4 u.o.d.o.), albodla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 u.o.d.o.).

Powyższe przesłanki niezbędności brzmią dość enigmatycznie. W praktyce druga z nich obejmuje m.in. marketing bezpośredni własnych produktów lub usług. Stanowi jedną z najczęstszych przesłanek legitymizujących przetwarzanie danych osobowych i jest szeroko wykorzystywana przez przedsiębiorców. Przesłanka wskazana w art. 23 ust. 1 pkt 5 u.o.d.o. obejmuje również m.in. przetwarzanie danych osobowych na potrzeby dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej.
Podkreślić przy tym należy, że sprzeciw może być wniesiony w niektórych sytuacjach wskazanych w art. 23 ust. 1 pkt 4 i 5 u.o.d.o. – gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych. Z kolei żądanie zaprzestania przetwarzania danych osobowych dotyczyć może wszystkich sytuacji określonych w art. 23 ust. 1 pkt 4 i 5 u.o.d.o.
W każdym z tych przypadków przedsiębiorca powinien zachować się w inny sposób.
Żądanie zaprzestania
Otrzymując żądanie zaprzestania przetwarzania danych, czyli w praktyce ich usunięcia albo anonimizacji (czyli pozbawienia cech pozwalających na ich przyporządkowanie konkretnej osobie fizycznej), przedsiębiorca – jako administrator danych – ma do wyboru dwie możliwości.
1. Może uznać zgłoszone żądanie za zasadne – wówczas ma obowiązek zaprzestania przetwarzania danych osobowych osoby, która wystąpiła z tym żądaniem; dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
2. Może ocenić, że przedstawione przez żądającego uzasadnienie nie potwierdza, iż osoba ta znajduje się w szczególnej sytuacji, która nakazywałaby zaprzestanie przetwarzania jej danych. W takiej sytuacji ma prawo dalej przetwarzać te dane, lecz ciąży na nim obowiązek niezwłocznego przekazania zgłoszonego mu żądania wraz z własnym stanowiskiem względem niego do generalnego inspektora ochrony danych osobowych.
Organ ten rozstrzygnie o zasadności albo braku zasadności zgłoszonego przedsiębiorcy żądania. Ustawa nie precyzuje, co należy rozumieć przez pojęcie „szczególnej sytuacji osoby, której dane dotyczą”. Rozstrzygnięcie tej kwestii będzie każdorazowo wymagało analizy wszystkich okoliczności danej sprawy. Szczególna sytuacja może wynikać zarówno z przyczyn osobistych, rodzinnych, jak i zawodowych. Przykładem może być obowiązek zachowania określonych danych w poufności, bądź marketing bezpośredni naruszający w sposób nadmierny prywatność klientów. Należy jednak pamiętać, że ryzyko błędnej oceny spoczywa na administratorze danych, a dalsze ich przetwarzanie w przypadku wniesienia ww. żądania umotywowanego istnieniem szczególnej sytuacji żądającego jest równoznaczne z niedozwolonym przetwarzaniem danych.
Bez pola do manewru
Inaczej wygląda sytuacja w przypadku wniesienia sprzeciwu wobec przetwarzania danych osobowych (a więc w przypadkach, gdy administrator danych zamierzał je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi). W tym przypadku administratorowi nie pozostawiono żadnego pola do decyzji. Sprzeciw uniemożliwia przetwarzanie danych w ww. celach. Inaczej mówiąc, dalsze przetwarzanie byłoby niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres – wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
Co się zmieni po wejściu RODO
Przedsiębiorcy muszą zwrócić uwagę na zmiany wprowadzane przez rozporządzenie RODO. Stosowanie przepisów tego unijnego aktu prawnego będzie obowiązkowe od 25 maja 2018 r. RODO przewiduje bardziej restrykcyjne zasady w omawianym zakresie.
Zgodnie z art. 21 ust. 1 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na wskazanych wyżej przesłankach. Administrator danych będzie miał obowiązek zaprzestania przetwarzania danych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony jego roszczeń. Jednak jeżeli sprzeciw będzie dotyczył przetwarzania danych do celów marketingu bezpośredniego – po jego wniesieniu zaprzestanie przetwarzania będzie obligatoryjne (art. 21 ust. 2 RODO).
RODO nie zastrzega formy pisemnej dla sprzeciwu, stanowiąc wręcz, że sprzeciw można złożyć za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne. Naruszenie powyższych zasad będzie zagrożone karą pieniężną, która może sięgać nawet 20 mln euro.
Trzeba poinformować klienta
Na marginesie należy zwrócić uwagę, że zarówno pod rządami obecnie obowiązującej ustawy, jak i RODO, administrator danych ma obowiązek poinformować osobę, której dane osobowe pozyskał, m.in. o przysługujących jej uprawnieniach do wnoszenia sprzeciwu względem przetwarzania jej danych osobowych (a na gruncie u.o.d.o. – także żądania zaprzestania przetwarzania jej danych osobowych), jeżeli te dane zostały pozyskane z innego źródła aniżeli od osoby, której dotyczą (zob. art. 25 u.o.d.o.). Również i ten obowiązek zostanie zaostrzony na gruncie RODO. Rozporządzenie przewiduje bowiem, że informacje te muszą być przekazane osobie, której dane dotyczą, najpóźniej przy pierwszej komunikacji z nią, a ponadto należy je przedstawić wyraźnie, jasno oraz odrębnie od wszelkich innych informacji (art. 21 ust. 4 RODO).
WAŻNE
Zgodnie z RODO sprzeciw można złożyć pisemnie lub za pośrednictwem zautomatyzowanych środków.
Podstawa prawna
Art. 23 ust. 1 pkt 4 i 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.).
Art. 21, art. 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO, Dz.Urz. UE z 2016 r. L 116, s. 1).