iSecure logo
  • pl
  • en
    • Blog

    Kiedy mogę złożyć sprzeciw na przetwarzanie moich danych osobowych?

    Maciej Łukaszewicz
    Kategorie

    Prawo do sprzeciwu jest jednym z praw przyznanych podmiotom danych na gruncie przepisów Rozporządzenia o ochronie danych osobowych. Prawo do sprzeciwu na przetwarzanie danych osobowych uregulowane jest w art. 21 RODO. Jest to prawo ograniczone, możliwe do realizacji w określonych przypadkach. W jaki sposób wygląda realizacja prawa do sprzeciwu, o czym powinniśmy pamiętać jako administrator i podmiot danych? O tym w dalszej części artykułu.

    Po pierwsze, prawo do sprzeciwu dot. przetwarzania danych osobowych przysługuje, gdy:

    1. Gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e) oraz
    2. Gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, (art. 6 ust. 1 lit. f RODO).

    Tylko w przypadku, gdy dane osobowe przetwarzane są na jednej z tych dwóch podstaw, osobie fizycznej przysługuje prawo do realizacji prawa sprzeciwu. Wyrażenie sprzeciwu nie wymaga określonej formy. Nie trzeba wypowiadać lub wpisywać słowa „sprzeciw”. Nie ma wymogu, aby sprzeciw był wyrażony w jakiejkolwiek formie. Treść oświadczenia woli podmiotu danych powinna wyraźnie wskazywać, że osoba fizyczna nie chce, aby jego dane osobowe były dalej przetwarzane.

    Wyrażenie sprzeciwu i automatyczne zaprzestanie przetwarzania danych osobowych nie jest jednak do końca tak proste i oczywiste. Zgodnie ze wspomnianym art. 21 RODO, wniesienie sprzeciwu powinno być uzasadnione „szczególną sytuacją podmiotu danych”. Jak wskazuje się w doktrynie, przez szczególną sytuację osoby należy rozumieć takie sytuacje, w których przetwarzanie danych osobowych może powodować w stosunku do podmiotu danych negatywne konsekwencje. Przez negatywne konsekwencje możemy rozumieć wszelkie sytuacje, które powodują, że sfera prywatności podmiotu danych jest zagrożona. Motyw 69 do preambuły wskazuje, że prawo do sprzeciwu w związku ze szczególną sytuacją podmiotu danych powinno przysługiwać również, jeżeli dane osobowe przetwarzane są zgodnie z prawem. Administrator może nie zaakceptować sprzeciwu dot. przetwarzania danych osobowych, gdy wykaże, że prawnie uzasadnione interesy administratora mają nadrzędny charakter wobec interesów lub podstawowych praw i wolności podmiotów danych.

    W tym samym motywie do RODO zwrócono uwagę, że ważne prawnie uzasadnione interesy administratora mają nadrzędny charakter wobec interesów lub podstawowych praw i wolności. Co to oznacza? Administrator może nie zaakceptować sprzeciwu podmiotu danych, gdy wykaże, że interesy administratora przeważają nad interesami i prawami podmiotu danych. Administrator powinien to zrobić w taki sposób, aby nie zaakceptowanie sprzeciwu było udokumentowane. Administrator musi wykazać i udowodnić, że jego interesy przeważają nad interesami osób fizycznych. Bardzo często metodą na wykazanie tej zgodności, tj. przetwarzania danych na podstawie prawnie uzasadnionego interesu jest tzw. test balansu interesu. W ramach takiego testu administrator ocenia celowość, niezbędność i legalność przetwarzania danych w określonym celu. W jakich sytuacjach interesy administratora będą przeważać nad interesami podmiotu danych? Na przykład, gdy pracodawca przetwarza dane z modułu GPS w godzinach służbowych pracownika, który korzysta ze służbowego samochodu. Pracodawca ma prawo i jego interesy przewyższają interesy podmiotu danych polegające na kontroli użytkowania służbowego pojazdu i realizacji zadań służbowych.

    Ust. 2 wspomnianego art. 21 RODO wskazuje na sytuację, w których wyrażenie sprzeciwu musi być bezpośrednio egzekwowane. Oznacza to, że administrator nie może już zasłonić się swoimi nadrzędnymi interesami, a jedyne co może zrobić, to zaprzestać przetwarzania danych osobowych. Chodzi o sytuacje, w których przetwarzane są dane w celach marketingowych. Wniesienie sprzeciwu wobec przetwarzania danych do celów marketingu bezpośredniego sprawia, że danych osobowych nie wolno już przetwarzać do takich celów. Administrator nie ma więc w tym przypadku innej możliwości, jak tylko zaprzestania przetwarzania do celów marketingowych danych objętych sprzeciwem.

    W ust. 5 art. 21 RODO wskazano również wymóg stworzenia możliwości skorzystania z prawa do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne. Co należy przez to rozumieć? Możliwość wyrażenia sprzeciwu za pomocą serwisu internetowego, z którego korzysta podmiot danych. Najczęściej taki sprzeciw powinien być wyrażony za pomocą funkcjonalności dostępnej na wspomnianej stronie internetowej np. przycisk wyrażający sprzeciw.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Katarzyna Ułasiuk-Delamare

    Zawiadomienie o odwołaniu dotychczasowego i wyznaczeniu nowego IOD

    Czy w Twojej organizacji został wyznaczony Inspektor Ochrony Danych, ale doszło do zmiany osoby pełniącej tę funkcję? Być może poprzedni Inspektor przebywa na dłuższym zwolnieniu (i nie ma Zastępcy) albo zmienia pracę i powierzacie tę funkcję innej osobie? Jeżeli tak, to ten wpis jest dla Ciebie, ponieważ zamierzam w nim krok po kroku przeprowadzić Cię […]

    Czytaj więcej
    Maciej Łukaszewicz

    Szczepienia przeciw COVID-19 w zakładzie pracy

    Temat szczepień w zakładach pracy jest w ostatnich tygodniach jednym z istotniejszych kwestii w każdym większym przedsiębiorstwie. Dostępność szczepionek przeciw Covid-19 stała się na tyle wysoka, że zakłady pracy starają się zapewnić swoim pracownikom możliwość zaszczepienia się. W tym czasie większość Inspektorów Ochrony Danych w Polsce zastanawia się, w jaki sposób zaprojektować proces szczepień w […]

    Czytaj więcej
    O ochronie danych osobowych w Nowoczesnej Firmie
    Bartosz Migas

    Nieoczywiste korzyści z audytu RODO

    Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki
    UWAGA!
    Informujemy, że w ostatnim czasie pojawiły się przypadki podszywania się pod naszą firmę. Oszuści wykorzystują naszą nazwę, adres, NIP oraz logo, wysyłając fałszywe faktury z nieprawidłowym numerem rachunku bankowego.
    ⚠️ Prosimy o zachowanie szczególnej ostrożności i dokładne weryfikowanie danych nadawcy oraz numeru konta przed dokonaniem płatności.
    Prawdziwe faktury wystawiane przez iSecure zawsze zawierają numer konta: PL62 1140 2004 0000 3202 7863 9118 (dla płatności w PLN) bądź PL17 1140 2004 0000 3612 0768 4683 (dla płatności w EUR).
    W razie wątpliwości prosimy o kontakt pod adresem: kontakt@isecure.pl
    Dziękujemy za czujność i współpracę.