Skarga do UODO
Od momentu wejścia w życie RODO w 2018 r. świadomość społeczeństwa w zakresie ochrony danych osobowych znacząco wzrosła. Ilustrują to dane dotyczące ilości skarg, które wpłynęły na przestrzeni ostatnich lat do Prezesa Urzędu Ochrony Danych Osobowych.
Z roku na rok skarg jest coraz więcej. Tylko w 2021 roku do UODO wpłynęło ponad 8000 skarg, a administratorzy zgłosili blisko 13.000 naruszeń przepisów o ochronie danych osobowych.
Powyższe statystyki pokazują, że coraz bardziej zwracamy uwagę na poszczególne problemy w zakresie naszych danych. W sytuacji naruszenia danych osobowych jesteśmy skłonni złożyć skargę, po której urząd wyda decyzję o nałożeniu kary lub przywróceniu do stanu zgodnego z prawem. Dlatego każdy administrator z jeszcze większą starannością i dbałością powinien podchodzić do przetwarzania danych osobowych, aby w możliwie największym stopniu zminimalizować ryzyko naruszenia przepisów o ochronie danych osobowych.
Prawo do wniesienia skargi
Prawo do wniesienia skargi do organu nadzorczego to jedno z kluczowych praw, przyznawanych przez RODO osobom, których dane dotyczą. Świadczy o tym chociażby to, że administrator, spełniając obowiązek informacyjny wobec osoby, której dane dotyczą, jest każdorazowo zobowiązany do podania informacji o prawie do wniesienia skargi.
Co istotne, zgodnie z RODO, osoba, której dane dotyczą może złożyć skargę, jeżeli sądzi, że przetwarzanie dotyczących ją danych osobowych, narusza RODO. Czyli dla skorzystania z tego uprawnienia wystarczające jest subiektywne przekonanie osoby, której dane dotyczą, że przetwarzanie jej danych następuje z naruszeniem przepisów o ochronie danych osobowych.
Warto również zauważyć, że prawo do wniesienia skargi jest niezależne od innych środków ochrony prawnej. Szczególnie w przypadku, gdy naruszenie przepisów o ochronie danych osobowych spowodowało szkodę majątkową lub niemajątkową. Wtedy mówimy o możliwości dochodzenia odszkodowania lub zadośćuczynienia od administratora.
Innymi słowy, osoba której dane dotyczą nie musi przed złożeniem skargi wdawać się w spór z administratorem i praktycznie zawsze może wnieść skargę na administratora do prezesa UODO.
Kto może złożyć skargę?
Postępowanie związane ze skargą może zainicjować samodzielnie osoba, której dane dotyczą (podmiot). RODO umożliwia również wniesienie skargi, w imieniu podmiotu danych, przez podmiot, organizację lub zrzeszenie, które:
- zostały należycie ustanowione zgodnie z prawem państwa członkowskiego,
- nie mają charakteru zarobkowego,
- mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą.
RODO kreuje zatem szeroki krąg podmiotów legitymowanych do wniesienia skargi.
Z jakich powodów można złożyć skargę do Urzędu Ochrony Danych Osobowych?
Przedmiotem skargi do UODO może być praktycznie każde naruszenie przepisów RODO, którego dopuścił się administrator, współadministrator lub podmiot przetwarzający (procesor). Warto przy tym pamiętać, że naruszeniem może być zarówno działanie, jak i zaniechanie po stronie wymienionych wcześniej podmiotów.
Skargę do Urzędu Ochrony Danych Osobowych można złożyć w szczególności w przypadku naruszenia:
- zasad przetwarzania danych, w tym danych szczególnej kategorii (np. danych dotyczących zdrowia),
- podstaw prawnych przetwarzania danych,
- warunków wyrażenia zgody na przetwarzanie danych,
- wymogów dotyczących przejrzystości informowania i komunikacji,
- prawa do sprostowania danych,
- prawa do usunięcia danych ("prawa do bycia zapomnianym"),
- prawa do ograniczenia przetwarzania danych,
- obowiązku powiadomienia o sprostowaniu lub usunięciu danych.
W jaki sposób można złożyć skargę? Jakie są dostępne kanały komunikacji z UODO?
Zgodnie z RODO, każdy organ nadzorczy w UE, w tym UODO, jest zobowiązany ułatwić wnoszenie skarg. Osiąga się to za pomocą takich środków, jak gotowy formularz skargi, który można również wypełnić elektronicznie. Nie wyklucza to oczywiście innych sposobów komunikacji.
Do Prezesa Urzędu Ochrony Danych Osobowych można złożyć skargę zasadniczo w dwojaki sposób:
- w tradycyjnej formie pisemnej,
- w formie elektronicznej.
Skargę w formie pisemnej, oprócz przesłania na adres UODO, można również złożyć do protokołu w siedzibie UODO.
Natomiast skargę w formie elektronicznej należy przesłać na Elektroniczną Skrzynkę Podawczą Prezesa Urzędu. Skarga w tej formie musi zawierać adres elektroniczny, a nadto powinna być opatrzona kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo osobistym, lub uwierzytelniona w sposób zapewniający możliwość potwierdzenia pochodzenia i integralności weryfikowanych danych w postaci elektronicznej.
Jeżeli masz jakieś pytania związane z formą skargi albo oddziałem UODO, do którego możesz się zwrócić, to regularnie działa infolinia UODO. Jest ona czynna w dni robocze od 10:00 do 14:00 pod numerem 606 950 000. Możesz tam również zadać pytania dotyczące ustawy o ochronie danych osobowych, swoich praw, lub zgłosić inne żądanie czy skargę.
Co powinna zawierać skarga, aby prawdopodobieństwo jej rozpatrzenia było wysokie?
Przepisy RODO oraz ustawy o ochronie danych osobowych nie zawierają szczególnych wymogów co do jej treści. Urząd Ochrony Danych Osobowych podaje jednak, że każda skarga, oprócz podstawowych danych kontaktowych, powinna wskazywać:
- podmiot, na który składana jest skarga (tj. dane dotyczące administratora, współadministratora lub procesora),
- dokładny opis naruszenia przepisów o ochronie,
- żądanie, jakiego podmiot oczekuje od Prezesa UODO (żądanie może dotyczyć np.usunięcia danych, wypełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych).
Urząd Ochrony Danych Osobowych zaleca również, aby do skargi dołączyć dowody świadczące o naruszeniu.
Postępowanie przed Prezesem UODO i sankcje
W toku postępowania administracyjnego toczącego się na skutek wniesienia skargi Prezes UODO może skorzystać z szeregu środków, które mają wyjaśnić czy faktycznie doszło do naruszenia. W szczególności, administrator lub podmiot przetwarzający może zostać zobowiązany do dostarczenia wszelkich informacji potrzebnych UODO do rozpatrzenia skargi.
Ponadto, w toku postępowania administracyjnego administrator może zostać zobowiązany do udostępnienia danych osobowych. Prezes UODO może uzyskać dostęp do do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych.
Jeżeli po przeprowadzeniu postępowania administracyjnego zostaną stwierdzone naruszenia przepisów o ochronie danych osobowych, prezes UODO może zastosować sankcje w postaci administracyjnej kary pieniężnej czy niepieniężnej, lub wydać decyzję o przywróceniu do stanu zgodnego z prawem.
W ramach uprawnień naprawczych stosowanych przez Prezesa UODO, administrator lub procesor może m.in.:
- otrzymać ostrzeżenie lub upomnienie,
- zostać zobowiązany do spełnienia żądania osoby, której dane dotyczą,
- zostać zobowiązany do dostosowania operacji przetwarzania do przepisów,
- otrzymać nakaz zawieszenia przepływu danych do odbiorcy w państwie trzecim.
Co możemy zrobić jeżeli wiemy, że ktoś złożył na nas skargę do UODO?
W przypadku wszczęcia postępowania z tytułu skargi wniesionej na administratora lub procesora konieczne jest podjęcie dwutorowych działań.
Po pierwsze, należy dokładnie zweryfikować wewnątrz swojej organizacji wszelkie procesy związane z przetwarzaniem danych osobowych i zidentyfikować potencjalne źródło lub przyczynę naruszenia.
Po drugie, konieczna jest należyta współpraca z Urzędem Ochrony Danych Osobowych. Tylko w ten sposób podmiot, na który złożono skargę może zminimalizować ryzyko nałożenia dotkliwej sankcji.
Jak skutecznie chronić swoją firmę przed skargami?
Działania prewencyjne związane z ochroną przed potencjalną skargą wymagają przemyślanego wdrożenia przez administratora środków organizacyjnych i prawnych wewnątrz organizacji. Mają one na celu zapewnić prawidłowe przetwarzanie danych osobowych.
Wdrożenie takich środków musi być poprzedzone skrupulatną analizą (audytem) procesów dotyczących danych osobowych. Audyt powinien być połączony z identyfikacją zadań związanych z przetwarzaniem danych osobowych, a także z osobami lub podmiotami, którym te zadania są lub będą przypisane. Taka analiza nie tylko pozwoli wdrożyć stosowne środki organizacyjne i prawne, ale również umożliwi zidentyfikowanie i wyeliminowanie ryzyka związanego z przetwarzaniem danych osobowych.
Autorem artykułu jest radca prawny: Jakub Pawłowski.