Każdy administrator danych, a jest nim podmiot, osoba lub instytucja decydująca o celach i środkach przetwarzania danych osobowych, ma obowiązek stworzyć taki system, który pozwala legalnie i prawidłowo nimi zarządzać. Dotyczy to także sytuacji odnotowywania sprzeciwu osoby fizycznej, czyli sytuacji, gdy ta zwraca się o zaprzestanie wykorzystywania jej danych do celów marketingowych. Firma nie powinna się zasłaniać tym, że „system" nie przyjął tej informacji (sprzeciwu) lub pracownik błędnie ją zinterpretował. W ten bowiem sposób dochodzi do naruszenia przepisów i niezgodnego z prawem wykorzystania danych osobowych.

Przesłanki legalności

Tak jak bowiem firma może wykazać, że ma prawo wykorzystywać dane osoby fizycznej i nawet nie zawsze musi mieć jej zgodę, tak ta ostatnia ma prawo zastrzec, aby nie wykorzystywać ich do celów marketingowych. Ponadto może to zrobić w dowolnym terminie i nie ma znaczenia, że wcześniej na taki sposób przetwarzania informacji o sobie wyraziła zgodę. Zgodnie z prawem może się rozmyślić. A przedsiębiorca ma obowiązek to uszanować.

Wynika to wprost z przepisów ustawy o ochronie danych osobowych (DzU z 2014r. poz. 1182 ze zm.). Zaczynając od legalności przetwarzania danych, warto przypomnieć, że w zakresie tzw. danych zwykłych jest to możliwe, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

Reklama
Reklama

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5)

Tak stanowi art. 23 ust. 1 ustawy i, jak z niego wynika, zgoda zainteresowanej osoby jest tylko jedną, ale nie jedyną przesłanką legalizującą proces przetwarzania danych. Inna wskazuje na prawnie usprawiedliwiony cel realizowany przez administratora danych albo odbiorców danych. Jak wyjaśnia ustęp 4 tego artykułu, za taki uważa się w szczególności:

- marketing bezpośredni własnych produktów lub usług administratora danych,

- dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

To tyle, jeśli chodzi o uprawnienia administratorów danych. A co może zrobić osoba, która np. podpisała umowę z przedsiębiorcą, podała mu dane niezbędne do jej realizacji i dodatkowo zgodziła się na ich wykorzystanie do celów marketingowych?

Niechciane telefony

Jeżeli nie chce już odbierać telefonów z propozycjami zawarcia nowej umowy albo otrzymywać poczty (tradycyjnej, elektronicznej) z taką ofertą, to ma prawo zażądać zaprzestania takiej praktyki. Zgodnie bowiem z art. 32 ust. 1 ustawy, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i pkt 5. Dotyczy to zatem m.in. tych sytuacji, w których administrator danych zamierza je przetwarzać właśnie w celach marketingowych. W myśl art. 32 ust. 3, w razie wniesienia takiego sprzeciwu, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Przedsiębiorca, który się tego dopuszcza, narusza prawo. W takiej sytuacji jako administratorowi danych wolno mu tylko pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz jej numer PESEL lub adres, ale wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.

Casus banku

Niestety, zdarza się, że firmy nie wywiązują się z tego obowiązku, a w przypadku ponownej skargi albo interwencji Generalnego Inspektora Ochrony Danych Osobowych zasłaniają się błędem systemu. Tak było np. w przypadku byłego klienta jednego z banków, który złożył taki sprzeciw, ale po pewnym czasie otrzymał telefon z nową ofertą. Zirytowany zwrócił się do GIODO z prośbą o interwencję. W jej wyniku (odpowiadając na urzędowe pismo) bank próbował usprawiedliwić się, wyjaśniając, że skarżący za pośrednictwem infolinii banku rzeczywiście wyraził sprzeciw wobec wykorzystywania jego danych osobowych do celów marketingowych.

Złożona przez skarżącego dyspozycja nie została jednak odnotowana przez pracownika w systemie banku, czego konsekwencją był kolejny kontakt o charakterze sprzedażowym. Oczywiście bank zapewnił jednocześnie, że stosowna informacja została już wprowadzona do systemu i sytuacja nieprawidłowego wykorzystania danych już się nie powtórzy. Instytucja finansowa, w chwili interwencji GIODO, nie naruszała już prawa, ale czy zirytowana osoba jeszcze kiedykolwiek będzie jej klientem, to już pytanie otwarte.

Dyskusje o europejskiej reformie prawa

– W związku z obowiązującymi od 1 stycznia 2015 r. znowelizowanymi przepisami ustawy o ochronie danych osobowych oraz projektowanymi zmianami na poziomie prawa unijnego, przed administratorami danych osobowych i administratorami bezpieczeństwa informacji pojawia się wiele nowych wyzwań – mówi minister Edyta Bielak–Jomaa, nowy Generalny Inspektor Ochrony Danych Osobowych (GIODO). Ich szczegółowemu omówieniu poświęcona była odbywająca się 14 maja 2015 r. na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego ogólnopolska konferencja „Reforma ochrony danych osobowych nowe szanse i wyzwania". Została ona zorganizowana m.in. przez Centrum Ochrony Danych Osobowych i Zarządzania Informacją, które zostało utworzone w 2013 r. przez dr Edytę Bielak–Jomaa, i którym kierowała do dnia objęcia stanowiska GIODO.

– Konferencja była okazją do dyskusji i wymiany poglądów między przedstawicielami świata nauki a praktykami, w tym reprezentantami środowisk gospodarczych, na temat obecnego stanu regulacji prawnych, których przedmiotem jest ochrona danych osobowych – mówi dr Edyta Bielak–Jomaa. – Wystąpienia i debaty odnosiły się także do założeń europejskiej reformy w tym zakresie. Szczególnie cenne były dla mnie informacje dotyczące problemów, z jakimi na co dzień mają do czynienia zarówno administratorzy danych, jak i podmioty je wspierające, m.in. kancelarie prawne, czy organizacje pozarządowe – powiedziała dr Edyta Bielak–Jomaa. – Dzięki temu łatwiej będzie mi zabiegać o wypracowanie i wdrożenie rozwiązań respektujących podstawowe prawa jednostki, zwłaszcza prawo do prywatności i prawo do ochrony danych osobowych.

– To, że konferencja ta się odbyła jest bardzo ważna ze względu na nadchodzące zmiany w europejskim prawie ochrony danych osobowych. Najprawdopodobniej już w tym roku zostanie przyjęte tzw. rozporządzenie ogólne w sprawie ochrony danych osobowych, które zastąpi polską ustawę o ochronie danych osobowych. Będzie to zmiana fundamentalna, a – wbrew pozorom – mamy jako kraj niewiele czasu, żeby się do tej zmiany przygotować – mówił mecenas Paweł Litwiński.

dr Edyta Bielak–Jomaa, Generalny Inspektor Ochrony Danych Osobowych

W opisywanym przypadku bank powinien zastosować odpowiednie środki techniczno-organizacyjne, a także przeprowadzić szkolenia pracowników w zakresie ochrony danych osobowych, aby podobne sytuacje się nie powtarzały. Ponadto, jak każdy inny administrator danych, musi liczyć się z odpowiedzialnością za niezgodne z prawem przetwarzanie danych osobowych. Stosownie bowiem do treści art. 49 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Administrator powinien też przestrzegać zagwarantowanych ustawą praw osób, których dane przetwarza, aby nie musiały one domagać się ich realizacji, jak to miało miejsce w opisywanym przypadku.

Prawa osoby, której dane dotyczą

Zgodnie z art. 32 ustawy o ochronie danych osobowych, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

- uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska,

- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,

- uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,

- uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,

- uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,

- żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,

- wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,

- wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.