Opoziția la prelucrarea datelor în scop de marketing - ce trebuie să știe companiile

Autoritatea ne spune, în cazul de față, că a aplicat (clasica) amenda de 2.000 de euro comerciantului pentru că nu a respectat prevederea din GDPR care garantează persoanei vizate dreptul de a se opune în orice moment, din motive legate de situaţia particulară în care se află, prelucrării datelor cu caracter personal care o privesc. 

Atenție! Aici nu vorbim de o solicitare de ștergere a datelor, ci de dreptul de opoziție față de un anumit tip de prelucrare.

Dacă ne raportăm la comunicatul publicat joi de ANSPDCP, operatorul de date a primit amenda doar pentru această faptă și doar pentru încălcarea dreptului unui singur petent, nu și a altora. Dacă situația prezentată e completă și nu au existat și alte constatări de încălcări ale prevederilor GDPR sau operatorul nu se află deja la a doua, a treia etc. încălcare, observăm că sancțiunea este destul de dură în comparație cu alte exemple din ultima perioadă în care s-au acordat amenzi similare și încălcările fie au vizat interesele mai multor persoane, fie vorbeam de un cumul de încălcări.

După exemplul de joi, chiar și ignorarea solicitărilor unei singure persoane poate aduce operatorului de date o sancțiune de câteva mii de euro. Deși compania a răspuns pozitiv dreptului de opoziție formulat de petentă, i-a transmis că nu îi vor mai fi prelucrate datele în scop de marketing, ulterior nu a pus în aplicare promisiunea.

În acest context, readucem în față condițiile dreptului la opoziție:

1. Opoziția la prelucrarea datelor se poate face în situațiile în care cineva prelucrează datele pentru îndeplinirea unei sarcini care servește unui interes public sau în scopul unor interese legitime. Prin urmare, o persoană se poate opune la prelucrarea datelor sale doar atunci când prelucrarea se face în baza unuia dintre aceste două scopuri/temeiuri.

2. GDPR prevede că persoana vizată poate să se opună, în orice moment, din motive legate de situația particulară în care se află, la prelucrarea datelor (inclusiv la crearea de profiluri) în temeiul:

• îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestită firma, autoritatea sau alt tip de operator de date personale sau
• intereselor legitime urmărite de cel care prelucrează datele sau de o parte terță (obținerea de profit, de pildă).

"Operatorul nu mai prelucrează datele cu caracter personal (ca o consecință opoziției petentului - n.red.), cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță", scrie în GDPR.

3. Persoanele se pot opune prelucrării în scop de marketing, așadar. „Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv", prevede GDPR. „În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop”.

4. Ce termen au la dispoziție companiile când primesc astfel de solicitări de opoziție ca să le răspundă petenților? Răspunsul ni-l oferă tot GDPR: cel mult o lună de zile. „Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format”.

O altă speță unde ANSPDCP a aplicat o amendă de 2.000 de euro pentru oferte telefonice nesolicitate.