Poradnik Przedsiębiorcy

Kiedy możliwe jest odwołanie zgody na przetwarzanie danych osobowych?

W związku ze zmianami wprowadzonymi przez RODO wielu przedsiębiorców najchętniej w ogóle zaprzestałoby przetwarzania danych osób fizycznych, ale w praktyce nie jest to w zasadzie możliwe. Administratorzy danych na co dzień przetwarzają informacje umożliwiające identyfikację osób, na przykład w związku z zawartymi umowami o pracę czy działaniami marketingowymi. W poniższym artykule sprawdzimy, kiedy jest możliwe odwołanie zgody na przetwarzanie danych osobowych.

Cofnięcie zgody nie działa wstecz

RODO gwarantuje osobom, których dane są przetwarzane szereg rozmaitych praw, m.in. prawo do:

  • wyrażenia zgody na przetwarzanie danych osobowych;
  • żądania ograniczenia przetwarzania;
  • uzyskania informacji o posiadanych danych i zakresie ich przetwarzania;
  • dostępu do danych;
  • bycia zapomnianym;
  • złożenia skargi na nieprawidłowości związane z przetwarzaniem do Prezesa Urzędu Ochrony Danych Osobowych.

Co do zasady przedsiębiorca musi uzyskać od osoby fizycznej zgodę na przetwarzanie danych umożliwiających jej identyfikację w sposób pośredni lub bezpośredni (np. imię i nazwisko, adres, numer PESEL, numer dowodu osobistego, adres e-mail, numer telefonu itd.). Proces wyrażenia zgody musi spełniać kryteria określone w przepisach RODO, tj. m.in. umożliwiać osobie fizycznej zapoznanie się z danymi administratora, celem i zakresem przetwarzania czy planowanym okresem przechowywania danych. Administrator musi minimalizować dane, czyli uzyskiwać od osoby fizycznej wyłącznie te z nich, które są w bezpośredni sposób związane z celem przetwarzania.

Jednym z podstawowych uprawnień osoby fizycznej jest odwołanie zgody na przetwarzanie danych – raz udzielona może zostać w każdym momencie wycofana i tylko od osoby fizycznej zależy, czy tego zażąda.Art. 7 ust. 3 RODO
„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie”.
Odwołanie zgody na przetwarzanie danych nie wpływa na ważność czynności dokonanych po uzyskaniu zgody, a przed jej odwołaniem.

Przykład 1.

Konsument Jan był zainteresowany zakupem nowej pary jeansów. W tym celu przeglądał ofertę różnych sklepów i na stronie internetowej „Wymarzone Jeansy” wyraził zgodę na przetwarzanie jego danych osobowych w celu otrzymywania wiadomości marketingowych i uzyskania kodu promocyjnego na kolejne zakupy. Po kilku miesiącach Jan był zmęczony codziennym kasowaniem wiadomości mailowych z nowymi ofertami i wreszcie podjął decyzję o wypisaniu z newslettera i tym samym o usunięciu zgody na przetwarzaniu jego danych. Przedsiębiorca jest zobowiązany do niezwłocznego usunięcia danych osobowych z prowadzonej przez siebie bazy i nie może zaniedbać tego obowiązku. Wycofanie zgody nie działa w sposób retroaktywny – wiadomości marketingowe wysłane przed odwołaniem zgody były wysłane w sposób zgodny z przepisami prawa. Przedsiębiorca naruszy obowiązujące przepisy dopiero wówczas, jeżeli nie uszanuje żądania osoby fizycznej.

Co istotne, RODO wymaga, aby odwołanie zgody na przetwarzanie danych było tak łatwe, jak jej wyrażenie. Jeżeli zatem na przykład wyrażenie zgody nastąpiło poprzez zaznaczenie odpowiedniego pola na stronie internetowej przedsiębiorcy, odwołanie zgody na przetwarzanie danych poprzez jej zaznaczenie odpowiedniej opcji w otrzymywanym newsletterze będzie odpowiednią metodą na jej cofnięcie. Osoba fizyczna może w każdym przypadku sporządzić odwołanie zgody na przetwarzanie danych, poprzez przesłanie żądania do administratora danych.

Nie istnieje jedna poprawna formuła oświadczenia o odwołanie zgody na przetwarzanie danych, stąd osoba fizyczna ma prawo użycia możliwie najprostszego dokumentu (przesłanego nawet za pośrednictwem wiadomości mailowej). Administrator danych ma obowiązek uszanowania woli osoby po otrzymaniu żądania.

Odwołanie zgody na przetwarzanie danych nie zawsze jest możliwe

Prawo do odwołania zgody na przetwarzanie danych osobowych nie jest nieograniczone. Ustawodawca przewidział, że w niektórych sytuacjach prawo osoby fizycznej będzie musiało ustąpić wyższej konieczności i z tego względu w przepisach RODO zawarto katalog wypadków, w których administrator danych nie musi uwzględniać odwołanie zgody na przetwarzanie danych osoby fizycznej. Chodzi o dane niezbędne:

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Ostatni z przypadków będzie miał najistotniejsze znaczenie w przypadku przedsiębiorców, w toku swojej działalności mogą oni bowiem zetknąć się z koniecznością zachowania danych w związku ze sporami, czasem nawet sporami sądowymi.

Przykład 2.

Przedsiębiorca prowadzący sklep internetowy sprzedał konsumentowi towar płatny za pobraniem. Z powodu pomyłki w wysyłce konsument odebrał towar, ale nie uregulował należności, mimo ponagleń ze strony sprzedawcy. Kilka tygodni później przedsiębiorca odebrał od klienta wiadomość e-mail z żądaniem usunięcia jego danych osobowych. Przedsiębiorca nie musi w tym wypadku respektować żądania konsumenta – dane będą niezbędne do dochodzenia roszczenia o zapłatę należności z umowy sprzedaży, jeżeli okaże się to konieczne w związku z zachowaniem klienta. Przedsiębiorca będzie musiał usunąć dane niezwłocznie po ustaniu tej konieczności.

Przedsiębiorca ma obowiązek uszanować wolę osoby fizycznej

Oprócz wskazanych powyżej przypadków administrator danych jest zobowiązany do respektowania żądania zgłoszonego przez osobę, której dane są przez niego przetwarzane.Administrator danych nie może w żaden sposób utrudniać procesu odwołania zgody na przetwarzanie danych osobowych.
Nie może on również domagać się od osoby fizycznej podania informacji o przyczynach wycofania zgody.
Odwołanie zgody na przetwarzanie danych i cały proces temu towarzyszący musi być prosty – administrator danych nie może przykładowo wprowadzać konieczności kilkukrotnego potwierdzenia cofnięcia zgody czy uzależniać usunięcia danych od wskazania przyczyny odwołania zgody. Nieprzestrzeganie tych przepisów może grozić administratorowi danych odpowiedzialnością finansową.