świąteczny wieniec

Art 21 Prawo do sprzeciwu w szczególnej sytuacji

Prawo do sprzeciwu zgodnie z art 21 RODO daje możliwość odwołania zgody na przetwarzanie danych osobowych z powodu naszej szczególnej sytuacji. Dotyczy to dwóch przypadków. Pierwszy, gdy administrator przetwarza nasze dane w celu realizacji zadania publicznego. Drugi, w celu realizacji własnego interesu przez administratora. Wiemy już, że ów akt prawny nie dostarcza wystarczających wytycznych co do przetwarzania danych w systemach informatycznych. Nie gwarantuje tego również posiadanie IOD. Pozostaje pytanie, w jakim stopniu możemy z niego skorzystać aby egzekwować swoje uprawnienia? W tym celu posunąłem się do prowokacji i powołując się na wyznanie religijne postanowiłem na chwilę wcielić się w rolę filmowego Grinch’a. Świąt nie będzie! Przynajmniej na mojej skrzynce pocztowej.

Treść wiadomości

Realizując prawo, o którym wspomina Rozporządzenie … (RODO) chciałbym zgłosić sprzeciw wobec przetwarzania moich danych osobowych z przyczyn związanych z moją szczególną sytuacją (art. 21 pkt 1). Szczególna sytuacja polega na tym, że od niedawna jestem wyznawcą buddyzmu, co nie pozwala mi afirmować istnienia boga, jako istoty będącej przedmiotem kultu religijnego. W związku z powyższym zwracam się do Państwa z prośbą o niekierowanie pod moim adresem wiadomości, które zawierają treści powiązane z ogólnie przyjętymi symbolami wiary katolickiej. (…) Niemniej chciałbym, aby moja prośba pozostała bez uszczerbku dla przetwarzania moich danych osobowych do celów „normalnego” marketingu bezpośredniego.

Zakres

Ponieważ, lista moich „usługodawców” nie jest długa, ciężko mówić o reprezentatywnej próbie. Jednakże z tego grona postanowiłem wybrać dwudziestu kandydatów, z różnych sektorów o różnych typach działalności. W ten sposób na liście mailingowej znalazły się grube ryby tj. linie lotnicze, pośrednik nieruchomości, sklep internetowy, portal aukcyjny, operator usługi kluczowej i prywatnej służby zdrowia. Ale znalazło się też miejsce dla dostawców i twórców oprogramowania, usług transportowych, providera internetowego, firmy szkoleniowej i tzw. usług drobnych. W tym zakresie uwzględniłem również miejsce dla administratora – podpuchy. Pomyślałem, że warto sprawdzić czy administratorzy nie sieją na odlew autoresponderami lub utartymi regułkami. Ciekawie byłoby usłyszeć, „Uwzględniliśmy Twój wniosek” mimo niekorzystania z jakichkolwiek usług. Co do samej treści, zaznaczyłem, żeby moja prośba została bez uszczerbku dla przetwarzania danych na potrzeby „zwykłego” marketingu bezpośredniego. To znaczy, niezawierającego odniesienia do symboli religijnych. Mój wniosek wysłałem na dwa tygodnie przed Bożym Narodzeniem.

Wyniki

Z dwudziestu wysłanych wiadomości, tematem postanowiło zająć się jedynie dziewięciu administratorów. O dziwo, wszystkie sprawy zostały wszczęte przed Wigilią. W dwóch przypadkach poproszono mnie o uzupełnienie informacji, ponieważ osoba procedująca wniosek, nie była w stanie zweryfikować mojej tożsamości na podstawie adresu e-mail. Jest to na tyle dziwne, że wykorzystuję go właśnie w systemie transakcyjnym tych administratorów. Co więcej, czasem system prosi mnie o potwierdzenie aktualności danych kontaktowych. Oczywiście nie wykluczam opcji, że była to forma dodatkowej weryfikacji z ich strony, jednak nie było to wyartykułowane w odpowiedzi. Dlatego bardziej skłaniałbym się do tego, że po prostu nie wiedzieli z kim rozmawiają. W pięciu przypadkach jedyną metodą rozwiązania problemu była prośba o odznaczenie zgody marketingowej, co nie było przedmiotem mojego zgłoszenia. U jednego administratora moja prośba była obsługiwana przez trzy osoby. Trzecia oznajmiła, że odpowiedź zostanie udzielona w przeciągu miesiąca. Koniec końców wniosek został uwzględniony jedynie w trzech przypadkach.

Wnioski

Dziewięć odpowiedzi to średni wynik, trzy realizacje mojej prośby już słaby. Daje to podstawę aby sądzić, że administratorzy nie są przygotowani na art 21 i prawo do sprzeciwu w szczególnej sytuacji. Nie ma znaczenia wielkość i ranga organizacji. Ciężko skorzystać z tego uprawnienia, a jeżeli już pojawia się rozwiązanie to nie w takim kształcie jak zakładał legislator lub wnioskodawca. Odwołanie zgody na marketing bezpośredni może doprowadzić do sytuacji, w której nie będziemy mogli skorzystać z darmowych usług, które nam ewentualnie obiecywano. Co stwarza kolejny problem warty zgłębienia. Żądanie dodatkowych informacji pozostawia pewien niesmak. Można założyć, że administrator nie posiada jednej spójnej bazy klientów i pracownicy są zmuszeni przetwarzać bazy lokalne. Obsługa jednego wniosku przez trzy osoby może wskazywać na nieprawidłowy obieg informacji. Tym bardziej, że sprawa została wyjaśniona zanim otrzymałem wiadomość od trzeciego obsługującego. Pomimo uwzględnienia mojej prośby przez jedną z firm, i tak otrzymałem korespondencję z choinką w tle.

Jakie działania powinien podjąć administrator?

Po pierwsze przemyśleć czy może uznać wniosek za zasadny jeżeli pozostaje to w konflikcie z innymi kwestiami (umownymi, prawnymi, własnymi). Jeżeli uzna wniosek za zasadny lub przynajmniej warty rozpatrzenia, powinien niezwłocznie „zamrozić” adres e-mail w bazie marketingowej lub usunąć go z listy mailingowej. Następnie zaktualizować rejestr czynności przetwarzania o nową kategorię osób w oparciu o wyznanie religijne. Dla jednostkowego przypadku ten krok można w zasadzie pominąć ale przy okazji następnych świat może pojawić się więcej takich Grinch’ów. Kolejno, stworzyć odrębną bazę osób lub skrypt, który będzie wyłapywał takie „kolorowe ptaki” podczas wysyłki korespondencji. Na koniec zadanie dla chętnych z tzw. „gwiazdką”, dostosować swoje systemy lub wymóc to na dostawcach oprogramowania. Choć to akurat nie jest takie proste. Zawsze przed oczekiwaniami klienta, wyżej ulokowane są argumenty biznesowe, aby czegoś nie robić – bo się nie opłaca.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.