Krzysztof Wiączek
Wprowadzenie
Niniejsze opracowanie stanowi ostatnią część serii analiz dotyczących dokumentacji RODO w organizacji. Poruszone w nim zostaną kwestie odnoszące się do dokumentów związanych z realizacją praw osób, których dane dotyczą – prawa otrzymania kopii danych, ich sprostowania, ograniczenia, usunięcia czy wniesienia sprzeciwu. Dokumenty te nie muszą być wykorzystywane w firmie, gdyż zazwyczaj osoby, których dane są przetwarzane, nie korzystają z praw gwarantowanych im przez przepisy rozporządzenia o ochronie danych osobowych. Warto jednak być przygotowanym na sytuacje, w których uprawniony podmiot zechce np. skorzystać z prawa do bycia zapomnianym (a więc usunięcia wszelkich danych dotyczących jego osoby) bądź ograniczenia przetwarzania do niezbędnego minimum. Administrator musi być przygotowany nie tylko na ocenę zasadności takiego żądania, ale także odpowiednie odnotowanie jej w swojej dokumentacji. Oprócz konieczności wpisania w rejestrze czynności przetwarzania danych (RCPD) poszczególnych działań związanych z realizacją praw osób, których dane przetwarzamy, koniecznym będzie także posiadanie dowodów związanych z ich żądaniami oraz naszą reakcją na te żądania. Warto więc posiadać w swojej dokumentacji RODO gotowe wzory w tym zakresie, które z pewnością usprawnią postępowanie w tego rodzaju przypadkach.
Dokument wykazujący realizację obowiązku dostarczenia kopii danych
Jednym z praw osób, których dane dotyczą, jest możliwość żądania udostępnienia kopii danych osobowych przetwarzanych przez administratora. Odbiciem tego uprawnienia jest obowiązek administratora, polegający nie tylko na dostarczeniu kopii danych, lecz także posiadania dowodu dokonania tej czynności. Treść dokumentu, który będzie służył celom dowodowym (przede wszystkim na wypadek kontroli UODO) można odczytać wprost z treści art. 15 ust. 3 RODO. Przepis ten stanowi:
„Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.”.
Dokument wykazujący realizację obowiązku dostarczenia kopii danych (w formie papierowej bądź elektronicznej, w zależności od formy żądania uprawnionego podmiotu) może mieć następujący format:
W związku z żądaniem złożonym przez Panią/Pana w dniu ………… (podajemy tu datę otrzymania żądania – wpływu pisma, otrzymania wiadomości e-mail czy ustnego zgłoszenia), administrator Pani/Pana danych osobowych – ……………… (tu podajemy pełną nazwę administratora) udostępnia Pani/Panu kopię Pani/Pana danych osobowych, załączoną do niniejszego pisma.
Data ……………. (nie jest konieczna, jednak zaleca się jej umieszczenie)
Podpis osoby udostępniającej dane w imieniu administratora ……………..
Do najczęściej pojawiających się w praktyce błędów w zakresie udostępnienia kopii danych osobowych osobie uprawnionej, należą:
– brak odpowiedzi na żądanie i nieudostępnienie kopii,
– zlekceważenie żądania, gdy administrator nie posiada danych osoby wnioskującej, które może skopiować i udostępnić (należy wówczas odpowiedzieć na żądanie i wyjaśnić wnioskodawcy, iż nie posiadamy jego danych),
– naliczenie opłaty za pierwszą kopię danych,
– naliczenie za drugą i kolejne kopie danych opłaty wyższej niż wynikająca z kosztów administracyjnych,
– brak dowodu (odpowiedzi w formie papierowej lub wiadomości e-mail), dzięki któremu administrator może wykazać, że udostępnił kopię danych.
Sprostowanie danych osobowych
Dokument umożliwiający realizację prawa żądania sprostowania danych
Kolejnym uprawnieniem osoby, której dane dotyczą, jest żądanie do sprostowania danych osobowych lub ich uzupełnienia, co stwarza po stronie administratora obowiązek stworzenia dwóch dokumentów: pierwszego, umożliwiającego realizację tego prawa przez osobę uprawnioną oraz drugiego, wykazującego realizację obowiązku w tym zakresie. Jako podstawę można tu wskazać art. 16 RODO, zgodnie z którym:
„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.”.
Powyższy przepis nie definiuje treści wymienionych dokumentów, jak i obowiązku ich posiadania, jednak takowy wywieść można z art. 5 ust. 2 RODO, zgodnie z którym administrator ma obowiązek wykazania realizacji obowiązków wynikających w przepisów rozporządzenia. Bezpieczną metodą dowodową może tu być np. stworzenie odpowiedniego formularza (w edytorze tekstu – do pobrania i samodzielnego wypełnienia, a następnie przesłania w formie pisemnej, bądź w postaci dokumentu elektronicznego, z możliwością zaznaczenia odpowiednich opcji żądań i wysłania na adres e-mail administratora). Przykładowo, dokument ten może wyglądać następująco:
Żądanie niezwłocznego sprostowania danych osobowych osoby fizycznej, administrowanych przez ……. (tu należy wpisać pełną nazwę administratora)
Żądam niezwłocznego sprostowania dotyczących mnie danych osobowych, ponieważ dane, które mnie dotyczą, są nieprawidłowe.
Nieprawidłowe dane, jakich sprostowania żądam to…….
Nieprawidłowość w danych polega na………..
Żądam poprawienia danych na następującą wersję………
Żądam sprostowania dotyczących mnie danych osobowych, ponieważ dane, które mnie dotyczą, są niekompletne.
Niekompletne dane, jakich uzupełnienia żądam to…….
Niekompletność danych polega na……..
Żądam uzupełnienia danych na następującą wersję………….
W celu uzupełnienia niekompletnych danych oświadczam, że ………. (tu należy wskazać co się zmieniło, jaki jest brak itd.)
Data złożenia żądania …………
Dane osoby składającej żądanie ………………..
Podpis osoby składającej żądanie ……………. (niekonieczny, jednak z ostrożności lepiej, aby dokument go zawierał, zwłaszcza jeśli jest to dokument w wersji papierowej)
Jeśli zaś chodzi o pojawiające się w tym zakresie błędy, których należy unikać, są to:
– uzależnienie realizacji prawa do sprostowania danych osobowych od złożenia stosownego żądania na formularzu zaproponowanym przez administratora (formularz ma bowiem ułatwiać osobie uprawnionej realizację przysługującego jej uprawnienia, jednak może ona wystosować żądanie, formułując je samodzielnie, byleby z treści pisma wynikało, czego się domaga),
– wykonywanie jakichkolwiek czynności związanych ze sprostowaniem lub uzupełnieniem danych osobowych bez uprzedniej weryfikacji tożsamości osoby składającej żądanie,
– lekceważenie obowiązku korekcyjnego w sytuacji, gdy w danych nie ma błędów – w takiej sytuacji żądanie należy przyjąć i zweryfikować, zaś po stwierdzeniu braku błędów wystosować odpowiedź z informacją, iż żądanie sprostowania danych jest bezprzedmiotowe z uwagi na brak wskazanego przez wnioskodawcę błędu (analogicznie w sytuacji żądania uzupełnienia danych, które nie wymagają uzupełnienia),
– poprawianie danych niezawierających błędów lub uzupełnianie danych niewymagających uzupełnienia – administrator musi ocenić zasadność skierowanego żądania, natomiast niezależnie od wyniku tej oceny, należy zarchiwizować dokument, z użyciem którego uprawniona osoba złożyła żądanie (wypełniony formularz, kopię maila, czy notatkę pracownika administratora),
– poprawienie/uzupełnienie danych i brak odnotowania, że dane zostały poprawione/uzupełnione na żądanie
Dokument wykazujący realizację prawa żądania sprostowania danych
Z perspektywy administratora danych osobowych ważniejszym dokumentem jest jednak odpowiedź na żądanie wnioskodawcy, a więc potwierdzenie sprostowania lub uzupełnienia danych osobowych osoby fizycznej. Stworzenie wzoru takiego dokumentu i stosowanie go w przypadku żądań uprawnionych osób stanowi wykazanie realizacji prawa do sprostowania lub uzupełnienia danych, zatem warto posiadać taki formularz w dokumentacji RODO firmy. Przykład wzoru odpowiedzi administratora, z możliwymi wariantami załatwienia żądania wnioskodawcy, może przedstawiać się jak poniżej:
Potwierdzenie sprostowania – uzupełnienia danych osobowych osoby fizycznej, administrowanych przez …. (tu należy wpisać pełną nazwę administratora)
Administrator danych osobowych – ………… (pełna nazwa administratora):
Wariant 1:
– potwierdza poprawienie nieprawidłowych danych osobowych, na podstawie żądania złożonego przez …… (tu należy wpisać imię i nazwisko osoby, która złożyła żądanie) dnia ………… (data złożenia żądania)
Nieprawidłowe dane, jakich sprostowania żądano to…….
Nieprawidłowość w danych polegała na………..
Żądano poprawienia danych na następującą wersję………
Dane poprawiono dnia …….
Imię i nazwisko oraz podpis osoby reprezentującej administratora: ……
Wariant 2:
– rozważywszy poprawienie nieprawidłowych danych osobowych, na podstawie żądania złożonego przez …… (imię i nazwisko osoby, która złożyła żądanie) dnia ……. (data złożenia żądania)
Nieprawidłowe dane, jakich sprostowania żądano to…….
Nieprawidłowość w danych polegała na………..
Żądano poprawienia danych na następującą wersję………
Administrator danych osobowych decyduje o niepoprawieniu danych, o których poprawienie wnoszono.
Administrator nie poprawia danych osobowych, ponieważ ….. (należy podać powód i uzasadnić odmowę spełnienia żądania).
Data: …….
Imię i nazwisko oraz podpis osoby reprezentującej administratora: ……
Wariant 3:
– potwierdza sprostowanie nieaktualnych danych osobowych, na podstawie żądania złożonego przez …… (imię i nazwisko osoby, która złożyła żądanie) dnia ……. (data złożenia żądania)
Niekompletne dane jakich uzupełnienia żądano to: …..
Niekompletność danych polegała na: ….
Żądano uzupełnienia danych na następującą wersję: …….
Dane uzupełniono dnia: ……
Imię i nazwisko oraz podpis osoby reprezentującej administratora: ……
Wariant 4:
– rozważywszy uzupełnienie nieaktualnych danych osobowych, na podstawie żądania złożonego przez: ….. (imię i nazwisko osoby, która złożyła żądanie) dnia ……. (data złożenia żądania)
Niekompletne dane jakich uzupełnienia żądano to: …..
Niekompletność danych polegała na: ….
Żądano uzupełnienia danych na następującą wersję: …….
Administrator danych decyduje o nieuzupełnieniu danych, o których uzupełnienie wnoszono.
Administrator nie uzupełnia danych osobowych, ponieważ (należy wskazać przyczynę oraz uzasadnić swoje stanowisko)
Data: …..
Imię i nazwisko oraz podpis osoby reprezentującej administratora: ……
Błędy pojawiające się przy powyższym dokumencie są zbliżone do błędów występujących przy sporządzaniu dokumentu umożliwiającego realizację prawa do sprostowania lub uzupełnienia danych, dlatego też kwestia ta zostanie w tym miejscu pominięta. Warto jednak przypomnieć, iż każde działanie związane z rozpatrzeniem żądania osoby, której dane dotyczą, powinno być również odnotowane w RCPD, o czym administratorzy (bądź ich pracownicy) często zapominają.
Dokument umożliwiający realizację prawa żądania usunięcia danych (prawa do bycia zapomnianym)
Prawo żądania usunięcia danych osobowych, zwane też prawem do bycia zapomnianym, wynika z art. 17 ust. 1 RODO:
„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.”.
Realizacja tego uprawnienia powinna przebiegać w ramach procedury obejmującej trzy etapy:
1) etap 1 – żądanie usunięcia danych przez osobę uprawnioną
2) etap 2a – potwierdzenie usunięcia danych osobowych z uzasadnieniem LUB etap 2b – potwierdzenie nieusunięcia danych osobowych z uzasadnieniem
3) etap 3 – informowanie osoby, która zażądała usunięcia dotyczących jej danych
Jeśli chodzi o etap 1 i etap 2, nie będą one szerzej omawiane, gdyż metodyka ich sporządzenia jest analogiczna do wcześniej opisanych dokumentów. Nie ma też jednego uniwersalnego wzoru takiego dokumentu, więc administratorzy mają w tym zakresie pewną dowolność. Jeśli chodzi o żądanie usunięcia danych powinno ono zawierać przede wszystkim podstawę wynikającą z jednej z przesłanek art. 17 ust. 1 lit. a-f RODO, natomiast przy rozpatrywaniu żądania należy zwrócić uwagę na formę jego wniesienia – gdyż w analogicznej formie powinna zostać sporządzona odpowiedź administratora danych. W przypadku odmowy usunięcia danych należy też pamiętać o obowiązkowym uzasadnieniu takiego rozstrzygnięcia.
Ograniczenie przetwarzania danych osobowych
Dokument umożliwiający realizację prawa żądania ograniczenia przetwarzania danych
Kolejnym prawem osoby, której dane dotyczą jest żądanie ograniczenia przetwarzania danych osobowych. Treść dokumentu umożliwiającego realizację tego prawa wynika z art. 18 ust. 1 RODO:
„Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.”.
Jak więc można wydedukować z brzmienia powyższej normy, prawo do ograniczenia przetwarzania danych osobowych nie ma charakteru bezwzględnego, przysługuje bowiem jedynie w ściśle określonych sytuacjach.
Równie istotną kwestią jest ustalenie, czym zgodnie z przepisami RODO jest ograniczenie przetwarzania danych osobowych. Odpowiedź na to pytanie daje treść przepisu art. 4 pkt 3 rozporządzenia, zgodnie z którym: „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
Samą procedurę ograniczenia przetwarzania danych osobowych można podzielić na pięć etapów:
1) Etap 1 – Żądanie ograniczenia przetwarzania danych osobowych
2) Etap 2 – Sporządzenie potwierdzenia ograniczenia przetwarzania
3) Etap 3 – Informowanie osoby, która zażądała ograniczenia przetwarzania
4) Etap 4 – Informowanie osoby, której dane dotyczą o uchyleniu ograniczenia przetwarzania
5) Etap 5 – Sporządzenie dokumentu uchylenia przetwarzania
Jeśli chodzi o dokument związany z realizacją prawa żądania ograniczenia przetwarzania danych, może on wyglądać następująco:
Żądanie ograniczenia przetwarzania danych osobowych
Żądam ograniczenia przetwarzania dotyczących mnie danych osobowych:
ponieważ:
– dane, które mnie dotyczą, są nieprawidłowe,
– przetwarzanie danych, które mnie dotyczą, jest niezgodne z prawem, sprzeciwiam się jednak usunięciu tych danych,
– administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne mnie, do ustalenia, dochodzenia lub obrony roszczeń,
– wniosłem/wniosłam sprzeciw wobec przetwarzania, na mocy art. 21 ust. 1 RODO
(niepotrzebne skreślić)
Żądam ograniczenia przetwarzania następujących danych osobowych …………………..
Żądam ograniczenia przetwarzania rozumianego jako:
– czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, do czasu ……..
– uniemożliwienie użytkownikom dostępu do następujących danych, do czasu ……….
– czasowe usunięcie opublikowanych danych ze strony internetowej, do czasu ……….
– oznaczenie danych w celu usunięcia w przyszłości w terminie ………
– oznaczenie danych w celu ograniczenia ich przetwarzania w przyszłości, które polegać ma na ……..
Data złożenia żądania………….
Dane osoby składającej żądanie…………….
Podpis osoby składającej żądanie…………………..
Dokument potwierdzający ograniczenie przetwarzania danych
Jeśli chodzi o potwierdzenie ograniczenia przetwarzania danych, a więc dokument wykazujący realizację uprawnienia osoby, której dane dotyczą, należy przede wszystkim skontrolować czy przetwarzanie zostało rzeczywiście ograniczone. Wówczas należy stworzyć i uzupełnić dokument, którego treść może być następująca:
Dokument potwierdzający ograniczenie przetwarzania (art. 18 ust. 2 RODO)
Na mocy art. 18 ust. 1 i 2 RODO administrator danych osobowych …. (pełna nazwa administratora), ograniczył przetwarzanie następujących danych osobowych …. (dane osoby, której dane dotyczą i ogólny opis danych osobowych, których przetwarzanie ograniczono).
Ograniczenie przetwarzania polega na ……. (należy opisać na czym polega ograniczenie przetwarzania zastosowane przez administratora).
Administrator danych będzie przetwarzał dane osobowe:
– wyłącznie za zgodą osoby, której dane dotyczą (w takim wypadku zgodę tę należy udokumentować, najlepiej w formie pisemnej, jako załącznik do dokumentu, którym może być także wydruk wiadomości e-mail czy wydruk z Platformy ePUAP),
– w celu ustalenia, dochodzenia lub obrony roszczeń,
– w celu ochrony praw innej osoby fizycznej
– lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego
(niepotrzebne skreślić)
Data ograniczenia przetwarzania: …………..
Dane osoby sporządzającej dokument………..
Podpis osoby sporządzającej dokument……….
Informacja skierowana do osoby, której dane dotyczą, o uchyleniu ograniczenia przetwarzania
Kolejnym etapem jest skierowanie do wnioskodawcy informacji o uchyleniu ograniczenia. Obowiązek stworzenia odrębnego dokumentu w tym zakresie wynika z treści art. 18 ust. 3 RODO, który stanowi, iż „Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.”. Forma dokumentu powinna być skorelowana z formą żądania wnioskodawcy, jeśli więc np. wnioskodawca skierował żądanie w wiadomości e-mail, to informacja o uchyleniu powinna być również przekazana za pomocą maila. Przykładowa treść takiej informacji może być skonstruowana następująco:
Informacja skierowana do osoby, której dane dotyczą, o uchyleniu ograniczenia przetwarzania
Na mocy art. 18 ust. 3 RODO w zw. z art. 18 ust. 1 pkt a RODO administrator danych osobowych (pełna nazwa administratora) uchylił ograniczenie przetwarzania następujących danych osobowych: …. (tu należy podać dane osoby, której dane dotyczą oraz dane osobowe, których przetwarzanie ograniczono) ponieważ:
– administrator ustalił, że dane osobowe są prawidłowe,
– administrator poprawił nieprawidłowe dane osobowe
(niepotrzebne skreślić)
O fakcie uchylenia ograniczenia przetwarzania administrator informuje.
Data uchylenia ograniczenia przetwarzania………..
Data sporządzenia niniejszego dokumentu…………
Dane osoby sporządzającej dokument………..
Podpis osoby sporządzającej dokument……….
Dokument uchylenia ograniczenia przetwarzania
Wreszcie ostatnim dokumentem z zakresu ograniczenia przetwarzania danych osobowych jest wewnętrzny dokument administratora wykazujący uchylenie przetwarzania danych osobowych (jeśli to uchylenie rzeczywiście nastąpiło). Może on mieć następującą treść:
Dokument uchylenia ograniczenia przetwarzania
Na mocy art. 18 ust. 3 RODO w zw. z art. 18 ust. 1 pkt a RODO administrator danych osobowych (pełna nazwa administratora)uchyla ograniczenie przetwarzania następujących danych osobowych: …. (tu należy podać dane osoby, której dane dotyczą oraz dane osobowe, których przetwarzanie ograniczono) ponieważ:
– administrator ustalił, że dane osobowe są prawidłowe,
– administrator poprawił nieprawidłowe dane osobowe
(niepotrzebne skreślić)
Data uchylenia ograniczenia przetwarzania………..
Data sporządzenia niniejszego dokumentu…………
Dane osoby sporządzającej dokument………..
Podpis osoby sporządzającej dokument……….
Sprzeciw wobec przetwarzania danych osobowych
Dokument umożliwiający realizację wniesienia sprzeciwu
Ostatnim z uprawnień osoby, której dane dotyczą jest prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych. Wynika ono z art. 21 ust. 1 RODO, zgodnie z którym:
„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.”.
Wzór dokumentu stanowiącego formularz dla osoby wnoszącej sprzeciw może wyglądać następująco:
Wniesienie sprzeciwu, z przyczyn związanych ze szczególną sytuacją osoby fizycznej, wobec przetwarzania danych opartego na podstawie art. 6 ust. 1 lit. e RODO lub art. 6 ust. 1 lit. f RODO przez: …. (pełna nazwa administratora)
Składam sprzeciw wobec przetwarzania dotyczących mnie danych
– przetwarzanie ma miejsce na podstawie art. 6 ust. 1 lit. e RODO: TAK/NIE
lub
– przetwarzanie ma miejsce na podstawie art. 6 ust. 1 lit. f RODO: TAK/NIE
lub
– składam sprzeciw wobec profilowania: TAK/NIE
Dane, wobec przetwarzania których składam sprzeciw to: ………..
Przetwarzanie, wobec którego składam sprzeciw to: …………
Profilowanie, wobec którego składam sprzeciw to: ……………
Sprzeciw składam z uwagi na moją szczególną sytuację (nie ma konieczności wyjaśniania, na czym szczególna sytuacja polega).
Data wniesienia sprzeciwu: …………
Dane osoby wnoszącej sprzeciw: ………
Podpis osoby wnoszącej sprzeciw: …………..
Dokument wykazujący realizację wniesienia sprzeciwu
Analogicznie, jak przy wcześniejszych procedurach, również w przypadku przyjęcia i rozpatrzenia sprzeciwu administrator powinien móc ten fakt wykazać. Najprościej uczynić to poprzez wytworzenie dokumentu rejestrującego tę czynność, którego wzór przedstawia się następująco:
Potwierdzenie realizacji obowiązku przyjęcia sprzeciwu wobec przetwarzania danych na podstawie art. 6 ust. 1 lit. e RODO lub na podstawie art. 6 ust. 1 lit. f RODO, z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą.
Dane przetwarzane przez … (pełna nazwa administratora)
Administrator danych …..
– potwierdza, że osoba, której dane dotyczą złożyła sprzeciw wobec przetwarzania danych osobowych, z uwagi na jej szczególną sytuację
Imię i nazwisko osoby, która złożyła sprzeciw: ………..
Data złożenia sprzeciwu: ……….
Dane, wobec przetwarzania których wniesiono sprzeciw: …………
Dodatkowe elementy sprzeciwu: ……….
Administrator, w związku z wniesieniem sprzeciwu, zaprzestaje przetwarzania danych w celu wskazanym w sprzeciwie: ………
Wyjaśnienie: ……….
Data sporządzenia niniejszego dokumentu: ………….
Dane osoby sporządzającej dokument………..
Podpis osoby sporządzającej dokument……….
Dokument sprzeciwu wobec przetwarzania danych w celu marketingowym
Odrębnym rodzajem dokumentu, jest formularz sprzeciwu wobec przetwarzania danych w celu marketingowym. W takiej sytuacji treść dokumentu może się prezentować następująco:
Wniesienie sprzeciwu wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego prowadzonego przez: … (pełna nazwa administratora)
Składam sprzeciw wobec przetwarzania dotyczących mnie danych na potrzeby marketingu bezpośredniego…………… – TAK/NIE
lub
Składam sprzeciw wobec profilowania związanego z marketingiem bezpośrednim …………. – TAK/NIE
Dane, wobec przetwarzania których składam sprzeciw to: ………….
Profilowani, wobec którego składam sprzeciw to: …………
Data wniesienia sprzeciwu: ……..
Dane osoby wnoszącej sprzeciw: ………….
Podpis osoby, która wnosi sprzeciw: ……………
Dokument umożliwiający realizację przyjęcia sprzeciwu wobec przetwarzania danych w celu marketingowym
Analogicznie jak w przypadku wykazania realizacji przyjęcia standardowego sprzeciwu, również w sytuacji przyjęcia i rozpatrzenia sprzeciwu dotyczącego przetwarzania w celu marketingowym administrator powinien sporządzić odpowiedni dokument potwierdzający swoje działanie. Może on mieć postać jak poniżej:
Potwierdzenie realizacji obowiązku przyjęcia i rozpatrzenia sprzeciwu wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z marketingiem bezpośrednim
Administrator danych ………… (pełna nazwa administratora)
– potwierdza przyjęcie sprzeciwu złożonego przez ………….. (imię i nazwisko osoby, która złożyła sprzeciw)
– dnia: …………. (data złożenia sprzeciwu)
Dane, wobec przetwarzania których w celu marketingowym złożono sprzeciw to: ……………
Dane wobec profilowania, w oparciu o które złożono sprzeciw to: ……………
Szczegóły profilowania: ……………….
Rozważywszy opisany przypadek administrator:
– podejmuje decyzję o zaprzestaniu przetwarzania danych osobowych na potrzeby marketingu bezpośredniego …………: TAK/NIE
Data podjęcia decyzji: ………
Imię i nazwisko osoby podejmującej decyzję: ………..
Podpis osoby podejmującej decyzję: ……….
Podsumowanie
Warto posiadać wzory dokumentów służących realizacji praw osób, których dane dotyczą. Nie są one oczywiście jakimś wyznacznikiem jedynej słusznej drogi w zakresie wykazywania obowiązków z tego zakresu, bowiem administrator może być w stanie wykazać to innymi sposobami, np. dokumentując każdy przypadek ad hoc, bez uprzednio stworzonych formularzy. Posiadanie takich dokumentów znacząco jednak usprawni całą procedurę w przypadku, gdy osoba fizyczna, której dane przetwarzamy, zechce skorzystać ze swoich uprawnień.
Źródła:
J. Rzymowski, RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora, Oficyna Wydawnicza „Impuls”, Kraków 2019.
A. Sagan-Jeżowska, Ochrona danych osobowych w małej i średniej firmie. Kontrola poprawności wdrożenia RODO. Metodyka, procedury, wzory, Wyd. C.H. Beck, Warszawa 2018.