W jaki sposób należy wnieść skargę w związku z nieprawidłowym przetwarzaniem danych? Jakie prawa przysługują osobom, których dane są przetwarzane nieprawidłowo? W jakim terminie UODO przeprowadzi postępowanie ws. nieprawidłowego przetwarzania danych?
Prawo do wniesienia skargi do organu nadzorczego
Zgodnie z art. 77 RODO:
Bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
Obowiązkiem organu nadzorczego – w tym przypadku UODO – jest informowanie osoby, która wnosi skargę o postępach i efektach w zakresie rozpatrywania wniosku.
W jakich sytuacjach można złożyć skargę w związku z nieprawidłowym przetwarzaniem danych osobowych?
- administrator danych odmawia osobie dostępu do danych, którymi dysponuje;
- administrator danych odmawia usunięcia danych z bazy danych;
- osoba fizyczna otrzymuje na swój adres e-mail wiadomości, na których otrzymywanie nie wyraziła zgody;
- osoba fizyczna powzięła informację o bezpodstawnym przetwarzaniu jej danych osobowych.
Kontrola przestrzegania zasad przetwarzania danych
Prezes UODO jest organem powołanym do kontroli przestrzegania przepisów dot. zarządzania danymi osobowymi. Obowiązkiem urzędu jest badanie zgodności postępowania administratorów danych zgodnie z przepisami RODO oraz regulacjami w ustawie o ochronie danych osobowych. Organ odpowiada również za rozpatrywanie skarg w zakresie nieprawidłowego przetwarzania danych.
Kto ma prawo do wniesienia skargi na nieprawidłowe przetwarzanie danych osobowych?
Każda osoba fizyczna, której dane dotyczą, na prawo wniesienia skargi w zakresie nieprawidłowego przetwarzania danych. Zgodnie z przepisami RODO – administrator danych jest zobligowany do zapewnienia danym osobowym bezpieczeństwa i ochrony. Przedsiębiorcy oraz podmioty przetwarzające i przechowujące dane osobowe muszą wdrożyć procedury, których celem będzie zapewnienie bezpieczeństwa danych. Co ważne – administrator danych może przetwarzać dane jedynie w ściśle określonym zakresie na bazie zgody osoby, której dane dotyczą. Ponadto powinien w wyczerpujący sposób poinformować osoby, których dane dotyczą o celach i zakresach przetwarzania danych, planowanym okresie przetwarzania danych oraz szeregu praw, które posiada użytkownik – prawo do bycia zapomnianym, prawie dostępu do danych oraz możliwości wniesienia skargi.
Przed złożeniem skargi należy złożyć oficjalny sprzeciw u administratora danych wobec bezprawnego przetwarzania danych. W momencie, gdy nastąpi wniesienie sprzeciwu, administrator nie ma prawa dalszego przetwarzania naszych danych. Jedynym wyjątkiem może być fakt, że istnieje prawnie uzasadniony interes uzasadniający potrzebę kontynuowania przetwarzania albo jest to niezbędne z uwagi na konieczność zabezpieczenia ewentualnych roszczeń. Jeśli sprzeciw u administratora nie przyniesie efektu, konieczne będzie złożenie skargi do Prezesa UODO.
Możliwość wniesienia skargi do Prezesa UODO:
- w formie elektronicznej za pomocą Elektronicznej Skrzynki Podawczej UODO (potwierdzona podpisem elektroniczny, podpisem zaufanym, podpisem osobistym lub w inny sposób, który potwierdza pochodzenie lub integralność weryfikowanych danych)
- w tradycyjnej formie papierowej,
- ustnie do protokołu w siedzibie Urzędu.
O sposobie formy złożenia skargi decyduje osoba fizyczna. Wniesienie skargi jest wolne od opłat. Zgodnie z art. 63 kpa – wnoszona skarga powinna spełniać określone wymogi:
- musi zawierać dane skarżącego (imię, nazwisko, adres korespondencyjny),
- własnoręczny podpis;
- możliwie najbardziej szczegółowe wskazanie podmiotu, który w ocenie skarżącego narusza zasady przetwarzania danych osobowych (np. wskazanie nazwy, siedziby, danych strony internetowej, adresu korespondencyjnego)
- dokładny opis naruszenia;
- żądanie podjęcia określonych działań przez organ nadzorczy.
Jakie prawa posiada osoba, której dane są przetwarzane nieprawidłowo?
Osoba fizyczna ma prawo domagać się nakazania usunięcia posiadanych danych z bazy danych, wypełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych itp.
Jak długo trwa postępowanie?
Postępowanie opiera się o przepisy Kodeksu postępowania administracyjnego. Prezes UODO jako organ administracji publicznej jest obowiązany rozpatrywać sprawy bez zbędnej zwłoki. Postępowanie wyjaśniające powinno nastąpić nie później niż w ciągu miesiąca, natomiast w sprawach szczególnie skomplikowanych – nie później niż w ciągu 2 miesięcy od dnia wszczęcia postępowania. Po zbadaniu sprawy PUODO wydaje decyzję administracyjną, w której uwzględnia, bądź uznaje za bezzasadne żądanie stron.