Środki zaskarżenia w razie naruszenia prawa ochrony danych
Co należy zrobić, gdy podejrzewamy, że nasze prawa do ochrony danych osobowych nie są przestrzegane?
Jeżeli uważamy, że nasze prawa dotyczące ochrony danych zostały naruszone, mamy 3 możliwości:
- złożenie skargi do krajowego organu ochrony danych (OOD, w Polsce to PUODO); organ ten ma trzy miesiące na zbadanie sprawy i powiadomienie o poczynionych postępach bądź o wyniku rozpatrzenia skargi;
- wystąpienie na drogę sądową przeciwko firmie lub organizacji; jeśli uważasz, że Twoje prawa dotyczące ochrony danych zostały naruszone, złóż powództwo bezpośrednio przed sądem przeciwko firmie/organizacji łamiącej prawo; nie znaczy to, że nie możesz równocześnie złożyć także skargi do krajowego organu ochrony danych;
- wystąpienie na drogę sądową przeciwko OOD. Jeśli uznasz, że nastąpiły jakieś nieprawidłowości podczas rozpatrywania skargi przez organ ochrony danych, lub jesteś nieusatysfakcjonowany z odpowiedzi bądź organ nie powiadomił Cię o postępach w sprawie lub wyniku po upływie trzech miesięcy od dnia złożenia skargi, możesz złożyć powództwo przeciwko organowi bezpośrednio przed sądem.
Niekiedy firmy, przeciwko którym wniesiono skargę, przetwarzają dane w kilku różnych państwach członkowskich UE. W takich szczególnych przypadkach właściwy OOD rozpatruje skargę we współpracy z OOD ustanowionymi w innych państwach członkowskich UE. Taki system, nazywany „mechanizmem kompleksowej współpracy”, ma na celu większą skuteczność podczas rozpatrywania skarg. Na przykład może pomóc w łączeniu podobnych skarg złożonych w różnych państwach członkowskich UE. Głównym punktem kontaktowym pozostaje OOD, do którego została wniesiona skarga.
Przykład:
Lubisz biegać. Masz zegarek z funkcją pomiaru tętna, szybkości, śledzenia trasy i zapisywania innych istotnych danych. Wszystkie te dane są przesyłane do strony internetowej. Odkrywasz, że Twoje dane zostały pomieszane z danymi innej osoby. Wówczas możesz złożyć skargę przeciwko administratorowi strony internetowej do organu ochrony danych.
Czym są organy ochrony danych i jak można się z nimi kontaktować?
Organy ochrony danych to niezależne organy publiczne posiadające uprawnienia do prowadzenia postępowań wyjaśniających oraz uprawnienia naprawcze, które pełnią nadzór nad stosowaniem przepisów o ochronie danych. Zajmują się specjalistycznym doradztwem w zakresie ochrony danych i rozpatrywaniem skarg przeciwko naruszeniom ogólnego rozporządzenia o ochronie danych oraz stosownych przepisów krajowych. W każdym państwie członkowskim UE znajduje się jeden taki organ.
Ogólnie rzecz biorąc, w przypadku pytań dotyczących ochrony danych rolę głównego punktu kontaktowego pełni OOD znajdujący się w państwie członkowskim UE, w którym dana firma/organizacja ma siedzibę. Jeśli jednak firma/organizacja przetwarza dane w różnych państwach członkowskich UE lub należy do grupy podmiotów z różnych państw członkowskich UE, głównym punktem kontaktowym może być OOD z innego państwa członkowskiego UE.
Wyszukaj online organ ochrony danych w swoim kraju.
Czy organizacja pozarządowa (NGO) może dochodzić roszczeń w moim imieniu?
Każda osoba ma prawo upoważnić organizację NGO do złożenia skargi w jej imieniu, ale po spełnieniu trzech następujących warunków:
- NGO została utworzona zgodnie z prawem;
- NGO realizuje cele związane z interesem publicznym (np. ułatwiając obywatelom sprawy związane z prawami konsumentów);
- NGO działa w obszarze dotyczącym ochrony danych.
Skargę można wnieść do organu ochrony danych, a w stosownych przypadkach – także do organu sądowego. W niektórych państwach członkowskich UE prawo krajowe dopuszcza wniesienie skargi przez NGO bez upoważnienia udzielonego jej przez osobę, której dane dotyczą.
Czy można wystąpić o odszkodowanie?
O odszkodowanie można wystąpić, w przypadku gdy firma lub organizacja nie przestrzega przepisów prawa o ochronie danych, wskutek czego osoba doznała szkód majątkowych (np. straty materialne) bądź szkód niemajątkowych (np. cierpienie psychiczne czy utrata dobrego imienia). Z roszczeniem można wystąpić albo do firmy lub organizacji, której ono dotyczy, albo do sądu w danym państwie członkowskim. Można także domagać się wypłaty odszkodowania na drodze sądowej w państwie członkowskim UE, w którym administrator lub podmiot przetwarzający dane ma swoją siedzibę. Alternatywnie można też wszcząć postępowanie o odszkodowanie w państwie członkowskim UE, w którym znajduje się miejsce zwykłego pobytu osoby, której dane dotyczą.
Przykład:
Składasz zamówienie za pośrednictwem strony internetowej. Strona internetowa stała się celem ataku cybernetycznego, ponieważ nie była odpowiednio zabezpieczona. Dane z Twojej karty kredytowej zostały wykorzystane na innej stronie internetowej do zakupu przedmiotów, które nie były przez Ciebie zamówione. Wówczas możesz wystąpić o należne odszkodowanie od administratora strony internetowej z tytułu szkód majątkowych. W tym przypadku administrator naruszył bowiem przepisy prawa o ochronie danych, gdyż nie zapewnił odpowiednich zabezpieczeń podczas przetwarzania danych.
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - art. 55, 57, 58, 60, 77, 78, 79, 80 i 82 oraz motywy preambuły 141, 142, 143, 145, 146 i 147.
Na podst. ec.europa.eu
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?