Jak podmiot danych może dochodzić egzekucji praw przyznanych na gruncie RODO?

ochrona danych

Reforma unijnych regulacji ochrony danych osobowych daje osobom, których dane są przetwarzane, nowe uprawnienia i tym samym niesie nowe wyzwania dla firm i organizacji przetwarzających dane. Zagadnienie jest istotne dla administratora danych osobowych, gdyż po jego stronie istnieje obowiązek zapewnienia możliwości realizacji praw podmiotu danych. W sytuacji, gdy wdrożone przez administratora rozwiązania okażą się niewystarczające, osoba może skorzystać z innych sposobów egzekwowania swoich praw. Stwierdzenie naruszenia praw może prowadzić do pociągnięcia administratora do odpowiedzialności i nałożenia sankcji, przykładowo w postaci administracyjnej kary pieniężnej.

RODO wprowadza obowiązkową, przejrzystą komunikację na linii administrator – podmiot danych w kwestii informowania i ułatwiania wykonania praw przez podmioty danych. Administrator danych jest więc zobowiązany do udzielenia odpowiedzi na żądania podmiotu danych bez zbędnej zwłoki tj. w terminie do  14 dni, jednak nie później niż w ciągu miesiąca. Jeśli administrator nie zamierza spełnić żądania musi podać tego powody i wskazać możliwości wniesienia skargi do organu nadzorczego lub wejścia na drogę sądową. Tak skonstruowany obowiązek stanowić będzie ciężar dla administratora , zwłaszcza w przypadku dużej ilości wniesionych zapytań. Jest szansą na wyjaśnienie wątpliwości podmiotu danych i załatwienie sprawy zanim zajdzie konieczność skierowania jej do właściwego organu.

Jeżeli natomiast załatwienie sprawy poprzez bezpośrednią komunikację pomiędzy administratorem i osobą nie będzie możliwe to osoba, której dane dotyczą ma prawo zwrócić się do:

  • organu nadzorczego – W Polsce organem właściwym do spraw związanych z ochroną danych osobowych będzie Urząd Ochrony Danych Osobowych,
  • sądu właściwego dla administratora danych osobowych lub podmiotu przetwarzającego lub sądu właściwego ze względu na miejsce swojego zwykłego pobytu.

Osoba może dochodzić swoich praw przed sądem niezależnie od postępowania toczącego się przed organem nadzorczym. Rozstrzygnięcia wydane przez organ nadzorczy mogą stać się przedmiotem postępowania sądowego zarówno z inicjatywy osoby, jak i administratora. Dodatkowo podmiot danych może zaskarżyć organ nadzorczy do sądu, jeżeli ten nie rozpatrzy jego sprawy lub nie poinformuje podmiotu danych o postępach w ciągu trzech miesięcy.

Poza sankcjami nakładanymi przez organ nadzorczy na administratora danych każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku danego naruszenia ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę na drodze cywilnej.

Bartosz Czernek

Autor

Bartosz Czernek

Praktykował w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Ma doświadczenie w prowadzeniu audytów ochrony danych osobowych, opiniowaniu umów i regulaminów.