Poradnik Przedsiębiorcy

Nieprawidłowe przetwarzanie danych osobowych - jak wnieść skargę?

Prezes Urzędu Ochrony Danych Osobowych jest organem powołanym do kontroli przestrzegania przepisów dotyczących danych osobowych w Polsce. Jego zadaniem jest badanie zgodności postępowania administratorów danych zarówno z przepisami RODO, jak i z regulacjami zawartymi w polskiej ustawie o ochronie danych osobowych. Organ ten rozpatruje skargi składane w sytuacjach, gdy występuje nieprawidłowe przetwarzanie danych osobowych

Osoba fizyczna ma prawo do wniesienia skargi na nieprawidłowe przetwarzanie danych osobowych

Zgodnie z zasadami RODO na administratorze danych ciąży wiele obowiązków wynikających z przepisów rozporządzenia. Administrator danych jest zobligowany do zapewnienia danym osobowym (tj. danym umożliwiającym pośrednią lub bezpośrednią identyfikację osoby fizycznej) bezpieczeństwa i ochrony. W związku z tym celem przedsiębiorca oraz każdy podmiot przetwarzający i przechowywujący dane osobowe, musi wdrożyć odpowiednie do swoich potrzeb procedury, a także postępować w określony przepisami sposób względem osób, których dane przetwarza. Administrator danych może przetwarzać dane osobowe tylko w ściśle określonym zakresie, zazwyczaj po uzyskaniu wyraźnej zgody osoby fizycznej na podjęcie tej czynności. Ponadto musi w wyczerpujący sposób poinformować osobę, której dane dotyczą, o szeregu okoliczności związanych z przetwarzaniem danych (m.in. celu i zakresie przetwarzania danych, planowanym okresie przechowywania danych, prawie do bycia zapomnianym, prawie dostępu do przechowywanych danych czy prawie do wniesienia skargi).Art. 77 RODO – Prawo do wniesienia skargi do organu nadzorczego
"1. Bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
2.Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78."

Prawo do wniesienia skargi do organu nadzorczego, gdy wystąpiło nieprawidłowe przetwarzanie danych osobowych wynika z przepisu art. 77 RODO, zgodnie z którym każda osoba, której dotyczą dane osobowe (na przykład pracownik, konsument, kontrahent biznesowy), ma prawo do wniesienia skargi do organu nadzorczego w państwie członkowskim UE, które jest:

  • miejscem jej zwykłego pobytu (zazwyczaj będzie to miejsce zamieszkania);

  • miejscem pracy;

  • miejscem popełnienia naruszenia.

Wybór miejsca złożenia skargi będzie należał do osoby fizycznej. Jak wspomniano na wstępie, organem właściwym do rozpoznawania skarg w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.

Jak złożyć skargę na nieprawidłowe przetwarzanie danych osobowych?

Złożenie skargi na nieprawidłowe przetwarzanie danych osobowych może okazać się zasadne, jeśli przykładowo:

  • administrator danych odmawia osobie dostępu do danych, którymi dysponuje;

  • administrator danych odmawia usunięcia danych z bazy danych;

  • osoba fizyczna otrzymuje na swój adres e-mail wiadomości, na których otrzymywanie nie wyraziła zgody;

  • osoba fizyczna powzięła informację o bezpodstawnym przetwarzaniu jej danych osobowych.

Osoba fizyczna ma prawo do wniesienia sprzeciwu do podmiotu przetwarzającego jej dane osobowe.

Wniesienie skargi na nieprawidłowe przetwarzanie danych osobowych powinno zostać poprzedzone złożeniem oficjalnego sprzeciwu do administratora danych. Osoba fizyczna, której dane dotyczą, ma prawo do wniesienia sprzeciwu względem bezprawnego przetwarzania jej danych osobowych. Po wniesieniu sprzeciwu administrator danych nie ma prawa dalszego przetwarzania danych osobowych, chyba że wykaże ważny, prawnie uzasadniony interes uzasadniający potrzebę kontynuowania przetwarzania albo jest to niezbędne z uwagi na konieczność zabezpieczenia ewentualnych roszczeń. Jeżeli sprzeciw nie odniesie spodziewanego rezultatu, niezbędne będzie złożenie skargi do Prezesa Urzędu Ochrony Danych Osobowych.Skarga do Prezesa Urzędu Ochrony Danych może zostać złożona na trzy różne sposoby:
1. w formie elektronicznej;
2. w tradycyjnej formie papierowej;
3. ustnie do protokołu w siedzibie Urzędu.
Osoba fizyczna ma prawo wybrać sposób, w jaki złoży skargę. Może uczynić to w formie elektronicznej, w formie papierowej albo do protokołu w siedzibie Urzędu. Ponadto skarga w formie elektronicznej musi zostać opatrzona kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym lub powinna zostać uwierzytelniona w sposób zapewniający możliwość potwierdzenia pochodzenia i integralności weryfikowanych danych w postaci elektronicznej. Skarga w formie elektronicznej jest wnoszona za pośrednictwem Elektronicznej Skrzynki Podawczej UODO.Wniesienie skargi jest wolne od opłat.Wnoszona skarga musi spełnić wymogi określone w przepisach Kodeksu postępowania administracyjnego (przepis art. 63 kpa). W związku z tym musi zawierać co najmniej:

  1. dane skarżącego (imię, nazwisko, adres korespondencyjny);

  2. własnoręczny podpis;

  3. możliwie wyczerpujące wskazanie podmiotu, który w ocenie skarżącego narusza zasady przetwarzania danych osobowych (np. wskazanie nazwy, siedziby, danych strony internetowej, adresu korespondencyjnego);

  4. dokładny opis naruszenia;

  5. żądanie podjęcia określonych działań przez organ nadzorczy.

Treść żądania będzie różniła się w zależności od okoliczności sprawy i rodzaju naruszenia. Przykładowo, osoba fizyczna może domagać się nakazania usunięcia posiadanych danych z bazy danych, wypełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych itp. 

Osoba fizyczna, której dotyczy nieprawidłowe przetwarzanie danych osobowych, ma prawo podjąć również inne kroki w celu ochrony swoich praw. Może m.in. domagać się zasądzenia odszkodowania na drodze postępowania cywilnego. Odszkodowanie nie zostanie jednak zasądzone w postępowaniu zainicjowanym złożeniem skargi. Z kolei w postępowaniu skargowym osoba fizyczna nie jest uprawniona do domagania się nałożenia na podmiot przetwarzający dane kary finansowej – postępowanie w sprawie nałożenia kary jest wszczynane przez Prezesa UODO z urzędu, a nie na wniosek.

Ile czasu zajmie postępowanie?

Postępowanie wszczynane po złożeniu skargi toczy się w oparciu o przepisy Kodeksu postępowania administracyjnego. Zgodnie z zasadami obowiązującymi w postępowaniu administracyjnym, Prezes UODO jako organ administracji publicznej jest obowiązany załatwiać sprawy bez zbędnej zwłoki. Ponadto załatwienie sprawy wymagającej postępowania wyjaśniającego powinno nastąpić nie później niż w ciągu miesiąca, a sprawy szczególnie skomplikowanej – nie później niż w ciągu dwóch miesięcy od dnia wszczęcia postępowania.Sprawa wszczęta wskutek złożonej skargi powinna zostać załatwiona niezwłocznie. Jeżeli sprawa jest szczególnie skomplikowana, powinna zostać rozstrzygnięta nie później niż w terminie dwóch miesięcy od dnia jej wszczęcia.

Po zbadaniu sprawy i rozpatrzeniu zasadności skargi, Prezes UODO wydaje decyzję administracyjną, w której może uwzględnić żądanie strony albo uznać je za oczywiście bezzasadne. Zarówno skarżącemu, jak i administratorowi danych przysługuje prawo do wniesienia odwołania od wydanej decyzji do sądu administracyjnego. Odwołanie powinno zostać wniesione w terminie 30 dni od daty doręczenia stronie decyzji za pośrednictwem organu, który wydał orzeczenie.