Przetwarzanie Twoich danych przez organizacje takie jak Schufa lub inne? – Stop! – Prawo do sprzeciwu na mocy art. 21 RODO

Przetwarzanie Twoich danych przez organizacje takie jak Schufa lub inne? – Stop! – Prawo do sprzeciwu na mocy art. 21 RODO

Każdy wie, że po otwarciu strony internetowej użytkownik jest natychmiast proszony o wyrażenie zgody na przetwarzanie danych osobowych. Są one również znane jako „pliki cookie” i stanowią powszechną metodę pozyskiwania danych osobowych. Zgodę tę można zazwyczaj odrzucić jednym kliknięciem. Niemniej jednak możliwe jest sprzeciwienie się legalnemu przetwarzaniu danych. Ta strona dotyczy w szczególności gromadzenia danych przez firmę Schufa.

Podstawowe informacje na temat przetwarzania danych osobowych

Teoretycznie można odmówić zgody na przetwarzanie danych osobowych. Oznacza to, że nie jest możliwe uzyskanie danych osobowych od osób, których dane dotyczą, bez szczególnego interesu. Jednak zgodnie z art. 6 I RODO przetwarzanie jest nadal dozwolone oprócz zgody osoby, której dane dotyczą, jeśli na przykład

• jest niezbędne do wykonania umowy między osobami, których dane dotyczą
• służy spełnieniu konieczności prawnej jest niezbędne do wykonania zadania realizowanego w interesie publicznym
• jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Dane, które zostały już zgromadzone, można również usunąć na żądanie. „Prawo do bycia zapomnianym” jest zapisane w art. 17 ogólnego rozporządzenia o ochronie danych. Obowiązują tu te same wymogi.

Dane osobowe mogą zostać usunięte, na przykład, jeśli:

• Cel, dla którego dane zostały zebrane, został osiągnięty.
• Ponieważ nie ma innej ważnej podstawy prawnej, zgoda została wycofana.
• Dane były przetwarzane niezgodnie z prawem.
• Dane muszą zostać usunięte ze względu na inne przepisy prawa.
• Dane zostały zebrane w związku z usługami oferowanymi przez społeczeństwo informacyjne.

Możliwość wniesienia sprzeciwu wobec dozwolonego przetwarzania danych

Pomimo dozwolonego przetwarzania danych osobowych można wnieść sprzeciw. Zgodnie z art. 21 RODO „wyjątkowa sytuacja” może w pewnych okolicznościach dawać prawo do sprzeciwu. Oznacza to nic innego jak wymóg, że sprzeciw musi być teoretycznie uzasadniony. Osoba fizyczna musi przedstawić uzasadnienie, a nie środowisko przetwarzania. Następnym krokiem jest wyważenie interesów wszystkich zaangażowanych stron, w którym administrator danych musi przedstawić przekonujące uzasadnienie dalszego przetwarzania danych. Administrator danych nie może kontynuować gromadzenia danych, jeśli czynniki te nie przeważają nad interesem osobistym osoby, której dane dotyczą.

Ogólnie rzecz biorąc, ustawodawca nie podaje szczegółowej listy wymogów dotyczących „wyjątkowych przypadków”. Decyzje są zatem podejmowane indywidualnie dla każdego przypadku. Na przykład Schufa jest zdania, że zapytania kredytowe nie uzasadniają wniosku o usunięcie danych. Ograniczenia muszą być przestrzegane, ponieważ leżą w interesie całej gospodarki. Szczególna okoliczność może wystąpić, na przykład, jeśli przetwarzanie danych adresowych działacza politycznego stwarza osobiste ryzyko, ponieważ osobie docelowej grożono już śmiercią z powodu jej działalności politycznej. Prawo do sprzeciwu może również wynikać z umowy o zachowaniu poufności.

Ponadto – a lista ta nie jest wyczerpująca – „wyjątkowy warunek” zakłada się w następujących sytuacjach:

• Znana osoba obawia się, że diagnozy medyczne lub hospitalizacje mogą zostać upublicznione.
• Jeśli pacjent dowiaduje się, że jego krewny będzie pracował na stanowisku kierowniczym w tym samym szpitalu, sprzeciwia się przechowywaniu tam jego dokumentacji medycznej.
• Dyplomata z kraju o podwyższonym ryzyku terroryzmu nie chce, aby jego dane były przechowywane przez biuro informacji kredytowej, ponieważ obawia się o swoje bezpieczeństwo, jeśli zostaną upublicznione.

Jak widać, w dotychczasowym orzecznictwie standard „wyjątkowej sytuacji” został ustalony bardzo wysoko.

Nie jest nawet konieczne podawanie powodu, jeśli użytkownik sprzeciwia się wykorzystywaniu jego danych do celów marketingu bezpośredniego. Dlatego w przypadku marketingu bezpośredniego istnieje nieograniczone prawo do sprzeciwu. Reklama listowna (LG Frankfurt nad Menem, 28 lutego 2019 r., sygn. 2-03 O 337/18) i częściowo zaadresowane listy reklamowe (OLG Monachium, 05 grudnia 2013 r., sygn. 29 U 2881/13) to dwa przykłady reklamy bezpośredniej.

Przynajmniej w momencie pierwszej komunikacji administratorzy danych muszą wyraźnie poinformować osoby, których dane dotyczą, o ich prawie do sprzeciwu zgodnie z art. 21 IV RODO. Przetwarzanie danych zostanie wówczas uznane za niezgodne z prawem.

Wniesienie skutecznego sprzeciwu ma konsekwencje prawne

Wszelkie dalsze gromadzenie danych jest niezgodne z prawem, jeśli wniesiono skuteczny sprzeciw, a przetwarzanie danych osobowych i tak jest kontynuowane. Można się przed tym zabezpieczyć. Można na przykład złożyć wniosek o wydanie tymczasowego nakazu zaprzestania bezprawnego gromadzenia danych. Nielegalnie zgromadzone dane można łatwo usunąć na żądanie. Wnioski można składać do właściwego organu nadzorczego ds. ochrony danych.

Wyjątkiem są dwa przypadki. Zgodnie z art. 21 RODO przetwarzanie danych jest dozwolone, jeżeli administrator może wykazać ważne i uzasadnione podstawy przetwarzania danych osobowych lub przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

W tej sytuacji w literaturze panuje jednak zgoda co do tego, że w razie wątpliwości należy przyjąć, że interesy osoby, której dane dotyczą, przeważają nad interesami administratora. Podmiot przetwarzający (w tym przypadku Schufa) ma obowiązek w jakiś sposób zareagować na sprzeciw osoby, której dane dotyczą.