Jak poprawnie złożyć skargę do UODO na niewłaściwe przetwarzanie danych osobowych i jakie są tego konsekwencje?

  • 02.11.2022

  • Autor: Marcin Kempisty

  • News

Polacy są coraz bardziej świadomi posiadanych przez nich praw związanych z ochroną danych osobowych.

Nie dość, że samo zagadnienie przestało być interesujące tylko dla garstki prawników, ponieważ w stechnicyzowanej rzeczywistości możemy zostać  sprowadzeni do roli terabajtów danych przetwarzanych głównie w celach marketingowych, to na dodatek każdy na własnej skórze może odkryć, iż prywatność przestała być codziennością, a stała się przywilejem. Niechciany telefon od telemarketera sprzedającego garnki? Tysiące maili o promocjach przygotowanych „tylko dla ciebie”? Wyświetlające się na każdej odwiedzanej stronie internetowej reklamy sprofilowane pod gust użytkownika oceniony na podstawie ostatnio odwiedzanych witryn?

Powyższe przykłady to zaledwie ułamek spraw, z jakimi musimy się zmagać jako podmioty danych, o których informacje pędzą od jednego zaufanego partnera (czyt. głównie przedsiębiorstwa handlującego danymi) do drugiego. W związku z tym unijny ustawodawca wyszedł naprzeciw oczekiwaniom i w ramach rozporządzenia 2016/679, czyli RODO, skłonił państwa członkowskie do powołania nowoczesnych organów nadzorczych, do których zadań należy między innymi rozpatrywanie indywidualnych skarg osób fizycznych na naruszenia ich praw do ochrony danych osobowych.

Polacy piszą skargi

W roku 2018 powstał Urząd Ochrony Danych Osobowych, który był kontynuatorem działań podejmowanych przez Generalnego Inspektora Ochrony Danych Osobowych. Wraz z pojawieniem się nowego prawa lawinowo wzrosła liczba złożonych skarg – ze sprawozdania Prezesa UODO za rok 2019 wynika, iż w tamtym okresie wniesiono 9304 skargi do organu nadzorczego, podczas gdy rok wcześniej skarg było zaledwie 5565. Z kolei ze sprawozdania Prezesa UODO za rok 2021 wynika, iż we wskazanych dwunastu miesiącach Polacy wnieśli 8318 skarg.

Powyższa tendencja wskazuje, że Urząd był zasypany skargami w momencie, gdy RODO weszło w życie i jeszcze nie do końca było wdrożone przez liczne podmioty, aczkolwiek wzrost liczby wniesionych skarg po zatrzymaniu się kraju w trakcie covidowej pandemii wskazuje, że nadal ludzie nie są zadowoleni ze sposobu, w jaki ich dane osobowe są przetwarzane.

Kompetencje Prezesa Urzędu Ochrony Danych Osobowych

Zgodnie z art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych jest prowadzone przez Prezesa Urzędu. Jednocześnie art. 4 pkt 1 RODO stanowi, iż dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Z przytoczonych przepisów wynika, że Prezes UODO nie zajmuje się kwestiami niezwiązanymi z danymi osobowymi. Do danych osobowych nie można zatem zaliczyć nagrania z monitoringu jako fizycznego nośnika, tylko wizerunek uwieczniony na tym nagraniu; danymi osobowymi nie jest także dokument jako plik kartek, lecz uwieczniony na nim zapis umożliwiający identyfikację osoby fizycznej, do danych osobowych nie zalicza się także informacji dotyczącej spółki (np. liczby określającej wysokość przychodów w danym kwartale), ponieważ jak sama nazwa wskazuje, RODO dotyczy tylko osób fizycznych.

Co powinna zawierać skarga skierowana do Prezesa UODO?

Napisanie indywidualnej skargi na naruszenie prawa do ochrony danych osobowych jest proste, o ile będzie się pamiętać o kilku podstawowych kwestiach. Przede wszystkim pismo powinno musi być:

  1. Określone co do tożsamości osoby skarżącej (w treści skargi musimy podać swoje imię, nazwisko oraz adres zamieszkania).
  2. Określone co do podmiotu, na który składamy skargę (należy wskazać firmę (nazwę) i adres siedziby – określenia rodzaju „komisariat policji w Warszawie” są zbyt ogólne).
  3. Wniesione za pośrednictwem elektronicznej skrzynki ePUAP lub pocztą tradycyjną (skargi wniesione za pomocą wiadomości mailowej Urząd pozostawia bez rozpoznania).
  4. Podpisane w sposób adekwatny do formy wniesienia podania, tj. własnoręcznym podpisem w przypadku formy papierowej (ksero podpisanego pisma nie może być uznane za prawidłowo podpisane, gdyż nie jest oryginałem), lub kwalifikowanym podpisem elektronicznym w przypadku skargi wysłanej za pośrednictwem elektronicznej skrzynki ePUAP.
  5. Wniesione przez osobę, której dane dotyczą (nie możemy pisać w imieniu innej osoby, chyba że jesteśmy jej pełnomocnikiem lub opiekunem prawnym osoby niepełnoletniej).
  6. Określone co do rodzaju skarżonego naruszenia (trzeba napisać wprost, jaka czynność dokonana na danych osobowych stanowi według nas naruszenie, czyli np. nielegalne pozyskanie, lub udostępnienie bez podstawy prawnej).
  7. Konkretnie określone co do danych osobowych, których dotyczy skarga (należy wprost wskazać, o jakich danych mowa – „moje dane identyfikacyjne” nie jest precyzyjnym określeniem).
  8. Określone co do żądania, chyba że skarżoną czynnością jest samo udostępnienie (katalog praw podmiotów danych został określony w art. 12-22 RODO).

Jeżeli pismo ma braki formalne, wówczas Urząd wezwie do ich uzupełnienia w terminie siedmiu dni od doręczenia pisma pod rygorem pozostawienia pierwszego pisma bez rozpoznania. Jeżeli pismo nie ma braków formalnych, wówczas organ nadzorczy wszczyna postępowanie i wzywa podmiot, wobec którego została złożona skarga, o udzielenie wyjaśnień w sprawie.

Należy pamiętać, że Urząd nie występuje w imieniu żadnej ze stron. Wprawdzie postępowanie administracyjne jest wszczęte na podstawie złożonej skargi, niemniej osoba fizyczna nie jest w żaden sposób faworyzowana. Zgodnie z przepisami kodeksu postępowania administracyjnego, każda ze stron może na każdym etapie sprawy np. wnosić kolejne wyjaśnienia, a także zapoznawać się z aktami sprawy.

Ponadto organ jest związany treścią indywidualnej skargi. Oznacza to, że prowadzący sprawę urzędnik rozpatruje skargę tylko pod kątem tego, czy prawo do ochrony danych osobowych osoby, która złożyła skargę, zostało naruszone we wskazany przez tę osobę sposób. Innymi słowy, UODO w postępowaniu zainicjowanym skargą indywidualną nie bada, czy ogólnie dany podmiot narusza prawa osób trzecich, tylko czy to zrobił w konkretnym przypadku. Ponadto, jeżeli skarżący/skarżąca nie wskaże w treści skargi, iż np. naruszono wobec nich obowiązek informacyjny wskazany w art. 13 RODO, to UODO o ten aspekt sprawy pytać nie będzie, ponieważ w swoich działaniach nie może wykroczyć poza zakres skargi.

W związku z innymi często pojawiającymi się problemami związanymi ze składanymi skargami indywidualnymi warto przypomnieć, że w ramach postępowania wszczętego na podstawie skargi Prezes UODO nie bada zabezpieczeń danych osobowych, robi to tylko w postępowaniach wszczętych z urzędu. Jak bowiem wskazano w decyzji Prezesa UODO o sygn. akt ZSPU.440.131.2019 „kwestie te [badanie zabezpieczeń] nie mogą być przedmiotem indywidualnej skargi, z uwagi na charakter zawartych w takiej dokumentacji informacji. Dokumentację taką należy traktować jako dokumenty wewnętrzne udostępniane jedynie ograniczonemu kręgowi osób, tylko tym osobom, którym są niezbędne w związku z powierzonymi im zadaniami i tylko tym podmiotom zewnętrznym, które wykażą, że na mocy przepisów prawa są uprawnione do jej uzyskania. 

Kompleksowe badanie procedur przyjętych przez administratora danych osobowych w ww. zakresie może być tym samym dokonywane przez organ z urzędu, bowiem ma wpływ na przetwarzanie danych nieograniczonego kręgu osób, a ich ujawnienie może mieć szkodliwy wpływ na wykonywanie przez określony podmiot zadań w zakresie bezpieczeństwa przetwarzania danych. Udostępnienie polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym wiąże się z ujawnieniem stosowanych zabezpieczeń danych osobowych. Z tego też względu może mieć wpływ na skuteczność ochrony danych osobowych”.

Ponadto, organ nadzorczy nie nakłada kar administracyjnych na wniosek stron. W granicach kompetencji Prezesa UODO nie leży również rozpatrywanie skarg dotyczących przetwarzania danych osobowych w Kościele katolickim, ponieważ tym zajmuje się Kościelny Inspektor Ochrony Danych, a także skarg dotyczących przetwarzania danych w ramach sprawowania wymiaru sprawiedliwości przez sądy. Ta kwestia została unormowana w art. 175db i 175dd ustawy Prawo o ustroju sądów powszechnych.

Jakie konsekwencje może ponieść administrator danych osobowych, na którego została złożona skarga?

Wszczęte przez Prezesa UODO postępowanie administracyjne może zakończyć się na trzy sposoby:

  1. Umorzeniem postępowania, gdy organ uzna, iż postępowanie stało się bezprzedmiotowe
    w całości lub części (może tak się stać np. w momencie, gdy organ stwierdzi po wszczęciu postępowania, iż nie posiada kompetencji do wydania decyzji w zakresie wskazanym
    w skardze, lub że w ogóle dane osobowe osoby, która złożyła skargę, nie były przetwarzane przez podmiot, na który została złożona skarga).
  2. Odmową uwzględnienia wniosku, gdy Prezes UODO uzna, iż dane osobowe były przetwarzane zgodnie z obowiązującymi przepisami.
  3. Stwierdzeniem naruszenia prawa do ochrony danych osobowych, w związku z czym Prezes UODO, działając na podstawie art. 58 ust. 2 RODO, może m.in.:
    1. Upomnieć administratora danych osobowych za naruszenie (nie jest to jednak możliwe, gdy postępowanie jest prowadzone na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – potocznie zwanej „dodo”).
    2. Nakazać spełnienie żądania osoby, której dane dotyczą, wynikające z praw wskazanych w RODO.
    3. Nakazać sprostowanie lub usunięcie danych osobowych.

Z powyższego wynika, iż przysługujące Prezesowi UODO uprawnienia naprawcze, z których korzysta przy wydawaniu decyzji w sprawach wszczętych skargami indywidualnymi, nie powinny być uciążliwe dla ukaranych administratorów danych osobowych. Oprócz bowiem nakazania spełnienia wobec osób fizycznych obowiązków wskazanych w RODO, administrator może zostać upomniany za dokonane naruszenia. W praktyce jednak nałożone upomnienie nie skutkuje dodatkowymi problemami, z którymi administrator miałby się mierzyć w przyszłości. Wraz z wydaniem decyzji administracyjnej, o ile żadna ze stron nie zwróci się do Wojewódzkiego Sądu Administracyjnego ze skargą na tę decyzję, kończy się kontakt organu nadzorczego z podmiotem, na który została złożona skarga.

Nie wolno lekceważyć skarg indywidualnych

Wskazane rozważania bynajmniej nie świadczą o tym, że administratorzy danych osobowych mogą lekceważąco podchodzić do skarg indywidualnych składanych na ich działalność w zakresie przetwarzania danych osobowych. O ile wymieniony katalog kar nie jest bardzo surowy, o tyle w ramach prowadzonego postępowania na światło dzienne mogą wyjść okoliczności, które zachęcą organ nadzorczy do wszczęcia z urzędu postępowania i przeprowadzenia kontroli u danego administratora.

Posłużmy się hipotetycznym przykładem: Skarżąca składa skargę na spółdzielnię mieszkaniową na naruszenie jej prawa do ochrony danych osobowych, polegające na udostępnieniu bez podstawy prawnej jej danych osobowych firmie zajmującej się księgowością. W ramach wszczętego postępowania administracyjnego Prezes UODO ustala, iż księgowi mają podpisaną stosowną umowę o świadczeniu usług ze spółdzielnią, ale nie ma w niej żadnego zapisu dotyczącego ochrony danych osobowych. Jednocześnie, mimo że spółdzielnia przetwarza dane osobowe bardzo wielu osób, nie powołała ona inspektora ochrony danych. Na domiar złego, przez dłuższy czas nie współpracowała z organem nadzorczym, za co została ukarana administracyjną karą pieniężną (na pisma urzędu należy bowiem odpowiadać w terminie siedmiu dni od daty ich doręczenia).

W związku z powyższym Prezes UODO w decyzji administracyjnej uznaje, że spółdzielnia naruszyła prawa Pani Skarżącej do ochrony danych osobowych, ponieważ udostępniła jej dane osobowe bez podstawy prawnej i nałoży za to na spółdzielnię upomnienie. Jednocześnie sprawa z Departamentu Skarg, w którym rozpatrywane są skargi osób fizycznych, zostaje przekazana do departamentu UODO zajmującego się kontrolami wszczynanymi z urzędu, ponieważ w trakcie postępowania prowadzonego na podstawie skargi indywidualnej wyszedł na jaw szereg nieprawidłowości po stronie administratora danych osobowych. Pretekstem do poważniejszego ukarania spółdzielni, czyli np. nałożenia administracyjnej kary pieniężnej, może być brak zawartej umowy powierzenia między nią a firmą księgową, o czym przekonał się niedawno Sułkowicki Ośrodek Kultury (o czym napisano na stronie internetowej UODO w komunikacie pod adresem Aktualności – UODO).

Niezwykle istotne jest, by administrator w każdym momencie był w stanie udowodnić, że wszystkie procesy przetwarzania danych osobowych zachodzące w jego organizacji spełniają warunki określone w art. 5 RODO, a także że ich przetwarzanie znajduje oparcie w podstawie prawnej wskazanej w art. 6 lub art. 9 RODO. W przeciwnym razie „zwyczajna” skarga złożona w błahej sprawie, a na dodatek jeszcze zlekceważona, może sprawić, iż organ nadzorczy dowie się o znacznie większej liczbie zaniedbań i z urzędu przeprowadzi kontrolę, co może skutkować dotkliwą karą administracyjną.


Art. 83 ust. 4 i ust. 5 RODO stanowi, iż w zależności od rodzaju naruszenia na administratora może zostać nałożona kara nawet w wysokości dwudziestu milionów euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Prawo do składania skarg przez osoby fizyczne spełnia niezwykle istotną rolę. Dzięki nim UODO może kompleksowo zapoznawać się ze stanem wdrożenia RODO u administratorów danych, na które składane są skargi.  Niezadowolony klient może sprawić, że podmiot biznesowy stanie w obliczu współpracy z organem nadzorczym przeprowadzającym w organizacji gruntowną kontrolę.

Dlatego właśnie administrator na każdym etapie swojego funkcjonowania musi być w stanie wykazać, że przetwarza dane osobowe zgodnie z prawem, przejrzyście, rzetelnie i prawidłowo, a także stosuje się do zasad minimalizacji danych, ograniczenia przechowywania oraz integralności i poufności (art. 5 RODO). Powołanie inspektora ochrony danych, przeprowadzanie corocznych audytów oraz testowanie zabezpieczeń IT to ułamek czynności, jakie administrator może podjąć w celu spełnienia zasady rozliczalności, bez czego nie jest możliwe uniknięcie nałożonej przez UODO kary za niewłaściwe przetwarzanie danych osobowych.

Autor

Marcin Kempisty

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego.

Doświadczenie w zakresie prawa ochrony danych osobowych nabył w Urzędzie Ochrony Danych Osobowych, gdzie w Departamencie Skarg odpowiadał za merytoryczne rozpatrywanie skarg indywidualnych składanych w związku z naruszeniami prawa do ochrony danych osobowych dokonywanymi przez podmioty publiczne oraz prywatne. Sporządzał pisma procesowe w sprawach prowadzonych przez sądy administracyjne. Specjalizował się w tematyce ochrony danych osobowych dotyczącej branży telekomunikacyjnej, spółdzielczej, a także związanej z funkcjonowaniem jednostek samorządu terytorialnego. Interesuje się zagadnieniami przetwarzania danych osobowych przy wykorzystaniu nowoczesnych technologii.