Zgłoszenie naruszenia ochrony danych osobowych

On 18/12/2018 by admin in Blog

Telemarketerzy zapraszający na darmowe pokazy, maile z przypadkowymi ofertami, newslettery, na które nigdy się nie zapisywałeś – jeśli zdarzyło Ci się kiedykolwiek otrzymywać wiadomości bądź telefony zawierające niezamawianą informację marketingową lub handlową (tzw. spam), ten tekst jest skierowany właśnie do Ciebie. Co prawda, do tej pory powyższe działania były zakazane na podstawie obowiązującego prawa telekomunikacyjnego oraz ustawy o świadczeniu usług drogą elektroniczną, jednak skuteczne narzędzia prawne do walki z wymienionymi zjawiskami przyniosło dopiero wprowadzone w maju bieżącego roku rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – zwane powszechnie: RODO.

Jeśli nie udzieliłeś wyraźnej zgody na przetwarzanie Twoich danych osobowych, RODO daje Ci prawo do sprzeciwienia się wykorzystywaniu i przekazywaniu tych danych innym podmiotom oraz żądania zaprzestania związanego z tym profilowania. Jednocześnie można w takiej sytuacji dochodzić usunięcia Twoich danych osobowych ze wszelkich baz i rejestrów podmiotu naruszającego Twoje prawa, w tym w szczególności z list mailingowych.

Dlatego też w pierwszej kolejności zalecane jest zwrócenie się z odpowiednim wezwaniem bezpośrednio do podmiotu, który przetwarza Twoje dane. Co istotne, już na tym etapie warto zastanowić się nad współpracą z kancelarią prawną specjalizującą się w ochronie danych osobowych – takie działanie gwarantuje wyższą skuteczność działań oraz minimalizuje czas potrzebny na pozytywne zakończenie sprawy.

Warto podkreślić, że jeżeli administrator danych nie podejmie działań w związku z Twoim żądaniem, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – powinien poinformować Cię o powodach niepodjęcia działań, o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Więc jeżeli wezwanie okaże się bezskuteczne, można złożyć oficjalną skargę do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. W wyniku zgłoszenia wszczęte zostanie postępowanie, które zakończyć się może decyzją nakazującą przywrócenie stanu zgodnego z prawem lub nałożeniem na podmiot naruszający kary pieniężnej. Co kluczowe, wszczęcie postępowania przed Prezesem Urzędu Ochrony Danych Osobowych nie podlega żadnej opłacie.

Zgłoszenia naruszenia można dokonać również za pośrednictwem pełnomocnika bądź wybranej organizacji pożytku publicznego (przy czym przepisy w tym zakresie są dość restrykcyjne, wskazując, że jej działalność nie może mieć charakteru zarobkowego, powinna działać w zakresie ochrony praw i wolności osób, których dane dotyczą oraz jej cele statutowe muszą leżeć w szeroko pojętym interesie publicznym).

Skargę można złożyć w formie tradycyjnej lub elektronicznej. Skarga składana w formie elektronicznej musi zostać zatwierdzona podpisem potwierdzonym profilem zaufanym ePUAP lub kwalifikowanym podpisem elektronicznym.

Skarga powinna zawierać między innymi: szczegółowy opis naruszenia oraz żądania wskazujące, jakich działań wnioskodawca oczekuje od organu (np. sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wypełnienia obowiązku informacyjnego, przeniesienia danych). W przypadku, w którym posiadasz dowody uprawdopodabniające okoliczności podniesione w piśmie, takie jak: umowy, zaświadczenia, pisma kierowane do naruszyciela czy jakąkolwiek inną korespondencję z administratorem danych osobowych wykazującą naruszenie – warto załączyć je do skargi.

Postępowanie prowadzone przed Prezesem Urzędu Ochrony Danych Osobowych prowadzone jest w trybie i na zasadach przewidzianych w kodeksie postępowania administracyjnego, co niestety bardzo formalizuje cały proces, narzucając chociażby konkretne, ustawowe terminy. Sprawa ma również charakter postępowania jednoinstancyjnego, które zakończone zostaje wydaniem postanowienia. Można je jednak przeważnie kwestionować, kierując odpowiednią skargę do sądu administracyjnego.

Na marginesie warto zaznaczyć, że przedmiotem postępowania przed Prezesem Urzędu Ochrony Danych Osobowych nie może być żądanie odszkodowania za naruszenie danych osobowych. Ta kwestia może zostać rozstrzygnięta wyłącznie przed właściwym sądem. I tak na przykład, przesyłanie niezamówionej informacji handlowej może zostać zakwalifikowane także jako naruszenie Twoich dóbr osobistych, w postaci swobodnego dostępu do korespondencji i komunikacji oraz prawa do prywatności.

Autor tekstu:
Jędrzej Brzykcy

Współpraca:
Mateusz Staszek, radca prawny