Nielegalne przetwarzanie danych – co robić? 

nielegalne przetwarzanie danychOsoby, których dane dotyczą wielokrotnie uważają, że ich dane osobowe przetwarzane są w sposób niezgodny z przepisami prawa – nielegalny. Pojęcie to ma jednak bardzo szerokie znaczenie, dlatego warto usystematyzować związane z nim informacje oraz wskazać, jakie prawa mają podmioty danych w sytuacji nielegalnego przetwarzania ich danych.  

Brak zgody to nie zawsze brak podstawy przetwarzania 

Praktyka pokazuje, że nieporozumienia budzą często same podstawy przetwarzania danych osobowych przez administratora. Podmioty danych wskazują bowiem, że nie udzielały one zgody na przetwarzanie ich danych osobowych przez konkretnego administratora. Tymczasem trzeba pamiętać, że zgoda jest tylko jedną z sześciu przesłanek, na których administratorzy mogą przetwarzać dane osobowe. Wśród pięciu pozostałych znajduje się m.in. niezbędność do wykonania zawartej z podmiotem danych umowy, niezbędność do wypełnienia obowiązku prawnego, czy chociażby realizacja celów wynikających z prawnie uzasadnionego interesu administratora. 

Ważne! Administrator danych nie zawsze musi mieć zgodę podmiotu danych na przetwarzanie jego danych, aby mógł on je legalnie pozyskać i dokonywać na nich innych operacji.  

Przykład: administrator nie musi (nie powinien!) pozyskiwać zgody na przetwarzanie naszych danych osobowych zawartych w zawieranej z podmiotem danych umowie, jeżeli podanie tych danych jest niezbędne do jej zawarcia i wykonania. Tak samo, administrator nie powinien pobierać zgody, np. na przetwarzanie danych osobowych w fakturach VAT, które wystawia, czy na przekazywanie danych pracowników do ZUS. Nie musi on też odbierać zgody od podmiotu danych, aby prowadzić wobec niego działania windykacyjne w razie braku zapłaty za fakturę lub innych należności. 

Aby zatem stwierdzić, że administrator nielegalnie, czyli bez podstawy prawnej, przetwarza dane osobowe, nie można ograniczyć się jedynie do stwierdzenia, że nie ma on zgody na takie przetwarzanie. Trzeba bowiem ustalić, czy nie opiera on przetwarzania na innej podstawie. W tym celu możemy wykorzystać prawo dostępu do danych, które pozwala nam uzyskać informacje o tym, czy administrator przetwarza nasze dane, a jeżeli tak to m.in. w jakim celu to robi. 

Kluczowy kontakt z administratorem 

Warto podkreślić, że wiele nieporozumień związanych z przetwarzaniem danych osobowych można rozwiązać po kontakcie z administratorem danych lub wyznaczonym przez niego inspektorem ochrony danych. Powinna to być pierwsza z dróg wybieranych przez podmiot danych, gdyż zapewnia nie tylko najszybszą możliwość rozwiązania problemu, ale pozwala też uniknąć formalności, które wiążą się ze skorzystaniem ze środków ochrony prawnej przewidzianych w RODO.  

Z administratorem lub wyznaczonym przez niego IOD-em warto skontaktować się każdorazowo, gdy mamy wątpliwości związane z przetwarzaniem danych. Są to też osoby, od których możemy żądać realizacji uprawnień przysługujących nam na gruncie RODO, np. udostępnienia kopii danych, usunięcia danych, ich sprostowania lub przeniesienia. Warto pamiętać, że podmioty te co do zasady w ciągu miesiąca powinny udzielić odpowiedzi na skierowane przez podmiot danych żądanie. Odpowiedź ta powinna być przedstawiona w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie oraz jasnym i prostym językiem. 

Jeżeli pomimo kontaktu administrator lub jego IOD nie udzielą odpowiedzi na żądanie lub pytanie podmiotu danych związane z przetwarzaniem jego danych, bądź okoliczności wskazują, że kontakt taki nie będzie skuteczny, podmiotowi takiemu przysługują środki ochrony prawnej. 

Skarga do Prezesa UODO 

Podstawowym środkiem jest skarga do organu nadzorczego. W Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych (dalej Prezes UODO), który wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie. 

Skarga wniesiona do Prezesa UODO może dotyczyć naruszenia wszelkich przepisów o ochronie danych osobowych – np. niespełnienia obowiązku informacyjnego, nieudzielenia odpowiedzi na nasze żądanie lub niezrealizowanie żądania zgodnie z treścią wniosku, naruszenia ochrony danych osobowych, naruszenia zasad przetwarzania danych (np. zbyt długiego przechowywania danych), przetwarzania danych bez podstawy prawnej. 

Uprawniona do wniesienia skargi jest osoba fizyczna, której dane osobowe są przetwarzane przez administratora. Nie można zatem skutecznie poskarżyć się do Prezesa UODO, np. na to, że któryś z administratorów nielegalnie przetwarza dane osobowe innej osoby, a tym bardziej, np. na nielegalne wykorzystanie przez inny podmiot adresu e-mail spółki – gdyż w tym przypadku nie znajdą zastosowania przepisy RODO.  

Skarga może być wniesiona do Prezesa Urzędu Ochrony Danych Osobowych w formie pisemnej (na adres Organu lub przez złożenie jej na dzienniku podawczym w Urzędzie) albo w formie elektronicznej (przez ePUAP lub eDoręczenia).  

Pamiętaj! Nie można wnieść skutecznej skargi drogą telefoniczną ani e-mailową.  

Treść skargi nie jest ściśle uregulowana. Pismo takie powinno jednak zawierać imię i nazwisko skarżącego oraz adres do doręczeń. Organ nie rozpatruje anonimów, a skarga niezawierająca ww. danych będzie pozostawiona co do zasady bez rozpoznania, jeżeli Prezes UODO nie będzie mógł się ustalić danych skarżącego. Inne elementy, które powinna zawierać skarga, to przede wszystkim: 

  • opis naruszenia – nie trzeba przy tym powoływać się na konkretne przepisy prawa, ale w miarę możliwości warto dokładnie opisać sytuację, oznaczyć terminy, w których określone zdarzenia miały miejsce, kanały komunikacji z administratorem i przedmiot wcześniejszej korespondencji z nim, 
  • załączniki – jeżeli prowadzona była komunikacja z administratorem danych lub inspektorem ochrony danych warto załączyć ją do skargi. Jeżeli dysponujemy innymi dowodami na potwierdzenie naruszenia, np. zrzutami ekranu, kopią pliku, je również warto załączyć,  
  • żądanie (oczekiwanie) – czyli określenie, czego oczekujemy od Prezesa UODO, np. nakazanie administratorowi usunięcia Twoich danych, realizacji Twojego prawa dostępu do danych czy udzielenia administratorowi upomnienia, że niewłaściwie przetwarzał dane. Pamiętaj, że jako podmiot danych nie masz uprawnienia, aby żądać od Organu nałożenia administracyjnej kary pieniężnej na administratora – takie żądanie nie dyskwalifikuje skargi, ale Prezes UODO nie jest nim związany, ponieważ nakładanie takich kar jest jego indywidualną kompetencją, którą może wykonywać jedynie z urzędu, 
  • podpis – skarga powinna być podpisana. W przypadku skargi bez podpisu, Prezes UODO wezwie skarżącego do jej uzupełnienia, a to przedłuży czas jej rozpatrzenia. 

Skarga do Prezesa UODO nie podlega opłacie. Pamiętaj jednak, że przed Prezesem UODO nie musisz działać samodzielnie i możesz skorzystać z pomocy pełnomocnika. Wymaga to złożenia dokumentu pełnomocnictwa, w którym wskazane będą dane skarżącego oraz dane pełnomocnika i zakres umocowania (czyli określenie, do czego upoważniony jest pełnomocnik – w jakiej sprawie może działać). Złożenie dokumentu stwierdzającego pełnomocnictwo podlega wówczas opłacie skarbowej w wysokości 17 zł, którą uiszcza się na rachunek Centrum Obsługi Podatnika w Warszawie. Zwolnione od opłaty skarbowej jest pełnomocnictwo udzielone małżonkowi, wstępnemu (dziadkom), zstępnemu (dzieciom, wnukom) lub rodzeństwu. Pełnomocnikiem poza ww. osobami może być także inna osoba, a także upoważniony przez skarżącego podmiot, organizacja lub zrzeszenie, które: 

  • nie mają charakteru zarobkowego, 
  • zostały należycie umocowane zgodnie z prawem państwa członkowskiego, 
  • mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych. 

Po otrzymaniu skargi, jeżeli nie zawiera ona braków formalnych, Organ przeprowadzi postępowanie administracyjne, w którym z pewnością poprosi administratora o złożenie stosownych wyjaśnień, a postępowanie to zakończy się wydaniem decyzji administracyjnej. Pamiętaj, że Twoje dane osobowe zawarte w skardze będą także dostępne dla administratora, który będzie mógł zapoznać się z całymi aktami postępowania administracyjnego, a ponadto zostanie on poinformowany o tym, kto wniósł skargę przez Prezesa UODO. W toku postępowania Organ może prosić o wyjaśnienia również Ciebie, jeżeli będzie tego wymagało wyjaśnienie wszystkich okoliczności sprawy. 

Wskazane postępowanie administracyjne powinno zakończyć się w terminie trzech miesięcy od momentu wniesienia skargi. W tym terminie Organ powinien poinformować Cię o postępach lub efektach rozpatrywania skargi, a jeżeli postępowanie nie zostanie na tym etapie zakończone, powinien on poinformować Cię o niezałatwieniu sprawy w terminie, wskazać nowy termin załatwienia sprawy oraz poinformować o prowadzonych w jej toku czynnościach. Jeżeli Organ nie dopełni ww. formalności albo prowadzi postępowanie przewlekle, czyli nie podejmuje według Ciebie odpowiednich czynności w toku postępowania, które zmierzałyby do szybkiego załatwienia sprawy, możesz wnieść ponaglenie na przewlekłość postępowania (jeżeli trzymiesięczny termin jeszcze nie upłynął albo został przedłużony przez organ) albo na bezczynność – gdy w ciągu trzech miesięcy Organ nie odniósł się do Twojej skargi. Ponaglenie wnosi się do Prezesa UODO wraz z uzasadnieniem – czyli wskazanie, dlaczego Twoim zdaniem zachodzi w sprawie przewlekłość lub bezczynność. Organ ma obowiązek w ciągu 7 dni rozpoznać Twoje ponaglenie. Po wniesieniu ponaglenia (nawet, jeżeli nie zostało ono jeszcze rozpoznane) przysługuje Ci prawo wniesienia skargi na bezczynność lub przewlekłość postępowania do Wojewódzkiego Sądu Administracyjnego.  

Po przeprowadzeniu postępowania administracyjnego Prezes UODO może m.in.: 

  • stwierdzić, że administrator naruszył przepisy RODO i udzielić mu z tego tytułu upomnienia 
  • zobowiązać administratora do spełnienia Twojego żądania, np. żądania usunięcia Twoich danych osobowych, udostępnienia Ci kopii danych czy sprostowania danych nieprawidłowych, 
  • umorzyć postępowanie, gdy stało się ono bezprzedmiotowe, np. gdy żądasz usunięcia danych osobowych, które administrator już wcześniej usunął, czy też 
  • odmówić uwzględnienia Twojej skargi, jeżeli stwierdzi on, że do naruszenia przepisów o ochronie danych osobowych nie doszło.  
Podsumowanie 

Podsumowując, należy wskazać, że często zarzuty nielegalnego przetwarzania danych osobowych wynikają z niezrozumienia celów i podstaw prawnych, na których administrator faktycznie przetwarza dane osobowe. Jeżeli zatem uważasz, że Twoje dane osobowe są przetwarzane w sposób nieprawidłowy albo oczekujesz, że administrator zrealizuje któreś z Twoich uprawnień (np. prawo dostępu do danych, prawo do ich usunięcia, przeniesienia lub sprostowania), to w pierwszej kolejności najlepiej zwrócić się do niego ze stosownym wnioskiem. 

Jeżeli jednak polubowne sposoby rozstrzygnięcia sporu nie przyniosą efektu albo nie są one według Ciebie wystarczające, możesz skorzystać z przewidzianych przepisami prawa narzędzi, do których należy zaliczyć skargę do Prezesa UODO, ale też, np. żądanie zapłaty odszkodowania, o którym pisaliśmy w tym artykule.