Poradnik Przedsiębiorcy

Cofnięcie zgody na przetwarzanie danych osobowych, czyli jak ją wypowiedzieć?

Mimo że nowe rozporządzenie mogło przysporzyć problemów przedsiębiorcom, którzy do prowadzenia działalności przetwarzają dane osobowe osób trzecich, to  dla samych konsumentów RODO ułatwiło wiele kwestii. Zasady przetwarzania danych osobowych stały się łatwiejsze i bardziej przejrzyste. Dzięki nowym przepisom, konsumenci uzyskali prawo do „bycia zapomnianym w sieci”. Co zrobić, aby cofnięcie zgody na przetwarzanie swoich danych osobowych było skuteczne?

Czym właściwie jest przetwarzanie danych osobowych?

Przetwarzanie danych osobowych zostało zdefiniowane w artykule 4 ust. 2 RODO. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:

  • zbieranie,

  • utrwalanie,

  • organizowanie,

  • porządkowanie,

  • przechowywanie,

  • adaptowanie,

  • modyfikowanie,

  • pobieranie,

  • rzeglądanie,

  • wykorzystywanie,

  • ujawnianie poprzez przesyłanie,

  • rozpowszechnianie,

  • udostępnianie,

  • dopasowywanie,

  • łączenie,

  • ograniczanie,

  • usuwanie,

  • niszczenie.

Kiedy dane osobowe mogą być przetwarzane?

Szczegółowy katalog sytuacji, które dopuszczają przetwarzanie danych, jest wymieniony w artykule 6 RODO. Są nimi sytuacje, w których:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;

  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą jest dzieckiem.

Pamiętać należy, że przetwarzanie jest zgodne z prawem w przypadku, gdy spełniony jest co najmniej jeden z powyższych warunków. Każda z przesłanek ma charakter niezależny i wystarczy, że wystąpi tylko jedna z nich, a przetwarzanie danych będzie zgodne z prawem.

Czy można wykorzystywać dane bez zgody RODO?

Może się zdarzyć, że mimo odwołania przez osobę fizyczną zgody na przetwarzanie jej danych osobowych, dopuszczalne będzie dalsze ich wykorzystywanie. Będzie to sytuacja, w której druga strona umowy, będąca jednocześnie administratorem baz danych osobowych, dochodzić będzie roszczeń z tytułu zawartej umowy. Kolejnym przypadkiem będzie sytuacja, w której dane są niezbędne do zrealizowania trwającej umowy. Wtedy dopiero zakończenie trwania umowy lub rezygnacja z niej sprawi, że cofnięcie zgody będzie skuteczne.

Jednocześnie trzeba zaznaczyć, że dane osobowe mogą być przetwarzane wyłącznie w zakresie, na jaki pozwala złożone upoważnienie konsumenta. Tak więc uprawnienia do przetwarzania danych można ograniczyć do niezbędnego minimum. Np. w sytuacji w której podczas zawierania umowy, złożone zostały zgody na przetwarzanie danych w celach marketingowych oraz na otrzymywanie informacji handlowych, można ograniczyć uprawnienia do przetwarzania danych osobowych do danych niezbędnych dla realizacji umowy (m.in. imię, nazwisko, adres, NIP), a cofnąć zgody na przetwarzanie danych osobowych w celach marketingowych oraz na otrzymywanie informacji handlowych.

Kiedy cofnięcie zgody na przetwarzanie danych osobowych jest skuteczne?

Osoba, której dane są przetwarzane, ma prawo w dowolnym momencie wycofać swoją zgodę na przetwarzanie danych osobowych. Wycofanie zgody nie wpływa na przetwarzanie, którego dokonano przed jej wycofaniem. Przepisy Rozporządzenia mocno podkreślają, że wycofanie zgody musi być równie łatwe jak jej wyrażenie. Ponadto wycofanie zgody powinno odbyć się bez żadnych dodatkowych trudności czy dodatkowych kosztów.

Wymagania jakie stawia RODO to przede wszystkim obowiązek poinformowania, przed wyrażeniem zgody przez konsumenta, o możliwości i trybie jej wycofania. Dodatkowo  nie może być tak, że sama zgoda została wyrażona poprzez kliknięcie odpowiedniego przycisku na stronie internetowej, natomiast już jej wycofanie jest uzależnione od złożenia pisemnego oświadczenia.

Prawo do bycia zapomnianym – co to właściwie znaczy?

Każda osoba, której dane dotyczą, w wypadkach wskazanych w rozporządzeniu, ma prawo żądania od administratora niezwłocznego usunięcia swoich danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki je usunąć. Administrator będzie zobowiązany do usunięcia danych osobowych w przypadku, gdy:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane;

  • osoba, której dane dotyczą, cofnęła zgodę, w sytuacji kiedy przetwarzanie opierało się wyłącznie na dobrowolnej zgodzie;

  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

  • dane osobowe były przetwarzane niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.

Czy muszę potwierdzać usunięcie danych?

Rozporządzenie nie nakłada na administratorów danych osobowych obowiązku potwierdzania usunięcia przetwarzanych danych. Niemniej jednak zaleca się sporządzenie takiego potwierdzenia. Forma nie ma znaczenia, może być to forma pisemnego protokołu, wiadomość mailowa czy chociażby zrzut ekranu z potwierdzeniem usunięcia danych z bazy.   

Istnieją  okoliczności w których administrator ma prawo odmówić usunięcia danych osobowych. Artykuł 17 ust. 3 RODO wskazuje jedyne dopuszczalne okoliczności, w których administrator danych ma prawo odmówić usunięcia danych. Są to dane niezbędne:

  1. do korzystania z prawa do wolności wypowiedzi i informacji;

  2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;

  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych;

  5. do ustalenia, dochodzenia lub obrony roszczeń.

Jak wygląda cofnięcie zgody na przetwarzanie danych w praktyce?

W zależności od administratora baz danych istnieje wiele sposobów na wycofanie zgody na przetwarzanie danych osobowych. Możemy to uczynić ustnie, np. w trakcie rozmowy z przedstawicielem handlowym przedsiębiorstwa, które za naszą zgodą przetwarza nasze dane. W przypadku list mailingowych, za pomocą których strony internetowe rozsyłają informacje handlowe, najczęściej w wiadomości mailowej znajduje się odsyłacz do adresu internetowego, gdzie można za pomocą kilku kliknięć myszką cofnąć zgodę na przetwarzanie danych. W praktyce jednak najskuteczniejszą metodą wycofanie zgody na przetwarzanie swoich danych jest sporządzenie wiadomości mailowej i skierowanie jej do administratora danych osobowych z oświadczeniem o wycofaniu zgody wraz z żądaniem usunięcia danych osobowych.

Co daje nam RODO?

Dzięki wejściu w życie RODO dane osobowe mogą być przetwarzane wyłącznie za dobrowolną zgodą konsumenta i wyłącznie w celach do jakich zostały pozyskane. Co więcej, dane osobowe mogą być przechowywane nie dłużej niż jest to konieczne do celów, dla których dane te zostały pozyskane. Każda osoba fizyczna, bez wyjątku, posiada prawo do sprawdzania, poprawiania, przenoszenia oraz żądania zaprzestania przetwarzania swoich danych osobowych. Jednocześnie złożenie oświadczenia o modyfikacji czy wycofaniu danych osobowych powinno być tak samo proste jak sama zgoda.

Należy pamiętać, że każda osoba, która nie zgadza się z polityką przetwarzania jej danych osobowy ma prawo wnieść skargę do organu nadzorczego w zakresie przetwarzania danych osobowych – obecnie jest nim Prezes Urzędu Ochrony Danych Osobowych.