Co należy zrobić, gdy podejrzewamy, że nasze prawa do ochrony danych osobowych nie są przestrzegane?
Jeżeli uważamy, że nasze prawa dotyczące ochrony danych zostały naruszone, mamy 3 możliwości:
- złożenie skargi do krajowego organu ochrony danych (OOD, w Polsce to PUODO); organ ten ma trzy miesiące na zbadanie sprawy i powiadomienie o poczynionych postępach bądź o wyniku rozpatrzenia skargi;
- wystąpienie na drogę sądową przeciwko firmie lub organizacji; jeśli uważasz, że Twoje prawa dotyczące ochrony danych zostały naruszone, złóż powództwo bezpośrednio przed sądem przeciwko firmie/organizacji łamiącej prawo; nie znaczy to, że nie możesz równocześnie złożyć także skargi do krajowego organu ochrony danych;
- wystąpienie na drogę sądową przeciwko OOD. Jeśli uznasz, że nastąpiły jakieś nieprawidłowości podczas rozpatrywania skargi przez organ ochrony danych, lub jesteś nieusatysfakcjonowany z odpowiedzi bądź organ nie powiadomił Cię o postępach w sprawie lub wyniku po upływie trzech miesięcy od dnia złożenia skargi, możesz złożyć powództwo przeciwko organowi bezpośrednio przed sądem.
Niekiedy firmy, przeciwko którym wniesiono skargę, przetwarzają dane w kilku różnych państwach członkowskich UE. W takich szczególnych przypadkach właściwy OOD rozpatruje skargę we współpracy z OOD ustanowionymi w innych państwach członkowskich UE. Taki system, nazywany „mechanizmem kompleksowej współpracy”, ma na celu większą skuteczność podczas rozpatrywania skarg. Na przykład może pomóc w łączeniu podobnych skarg złożonych w różnych państwach członkowskich UE. Głównym punktem kontaktowym pozostaje OOD, do którego została wniesiona skarga.
Przykład:
Lubisz biegać. Masz zegarek z funkcją pomiaru tętna, szybkości, śledzenia trasy i zapisywania innych istotnych danych. Wszystkie te dane są przesyłane do strony internetowej. Odkrywasz, że Twoje dane zostały pomieszane z danymi innej osoby. Wówczas możesz złożyć skargę przeciwko administratorowi strony internetowej do organu ochrony danych.
Czym są organy ochrony danych i jak można się z nimi kontaktować?
Organy ochrony danych to niezależne organy publiczne posiadające uprawnienia do prowadzenia postępowań wyjaśniających oraz uprawnienia naprawcze, które pełnią nadzór nad stosowaniem przepisów o ochronie danych. Zajmują się specjalistycznym doradztwem w zakresie ochrony danych i rozpatrywaniem skarg przeciwko naruszeniom ogólnego rozporządzenia o ochronie danych oraz stosownych przepisów krajowych. W każdym państwie członkowskim UE znajduje się jeden taki organ.
Ogólnie rzecz biorąc, w przypadku pytań dotyczących ochrony danych rolę głównego punktu kontaktowego pełni OOD znajdujący się w państwie członkowskim UE, w którym dana firma/organizacja ma siedzibę. Jeśli jednak firma/organizacja przetwarza dane w różnych państwach członkowskich UE lub należy do grupy podmiotów z różnych państw członkowskich UE, głównym punktem kontaktowym może być OOD z innego państwa członkowskiego UE.
Wyszukaj online organ ochrony danych w swoim kraju.
Czy organizacja pozarządowa (NGO) może dochodzić roszczeń w moim imieniu?
Każda osoba ma prawo upoważnić organizację NGO do złożenia skargi w jej imieniu, ale po spełnieniu trzech następujących warunków:
- NGO została utworzona zgodnie z prawem;
- NGO realizuje cele związane z interesem publicznym (np. ułatwiając obywatelom sprawy związane z prawami konsumentów);
- NGO działa w obszarze dotyczącym ochrony danych.
Skargę można wnieść do organu ochrony danych, a w stosownych przypadkach – także do organu sądowego. W niektórych państwach członkowskich UE prawo krajowe dopuszcza wniesienie skargi przez NGO bez upoważnienia udzielonego jej przez osobę, której dane dotyczą.
Czy można wystąpić o odszkodowanie?
O odszkodowanie można wystąpić, w przypadku gdy firma lub organizacja nie przestrzega przepisów prawa o ochronie danych, wskutek czego osoba doznała szkód majątkowych (np. straty materialne) bądź szkód niemajątkowych (np. cierpienie psychiczne czy utrata dobrego imienia). Z roszczeniem można wystąpić albo do firmy lub organizacji, której ono dotyczy, albo do sądu w danym państwie członkowskim. Można także domagać się wypłaty odszkodowania na drodze sądowej w państwie członkowskim UE, w którym administrator lub podmiot przetwarzający dane ma swoją siedzibę. Alternatywnie można też wszcząć postępowanie o odszkodowanie w państwie członkowskim UE, w którym znajduje się miejsce zwykłego pobytu osoby, której dane dotyczą.
Przykład:
Składasz zamówienie za pośrednictwem strony internetowej. Strona internetowa stała się celem ataku cybernetycznego, ponieważ nie była odpowiednio zabezpieczona. Dane z Twojej karty kredytowej zostały wykorzystane na innej stronie internetowej do zakupu przedmiotów, które nie były przez Ciebie zamówione. Wówczas możesz wystąpić o należne odszkodowanie od administratora strony internetowej z tytułu szkód majątkowych. W tym przypadku administrator naruszył bowiem przepisy prawa o ochronie danych, gdyż nie zapewnił odpowiednich zabezpieczeń podczas przetwarzania danych.
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - art. 55, 57, 58, 60, 77, 78, 79, 80 i 82 oraz motywy preambuły 141, 142, 143, 145, 146 i 147.
Na podst. ec.europa.eu